Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
Azure Key Vault proporciona dos tipos de recursos para almacenar y administrar claves criptográficas. Los almacenes admiten claves protegidas por software y protegidas con HSM (módulo de seguridad de hardware). Los HSM administrados solo admiten claves protegidas con HSM.
| Tipo de recurso | Métodos de protección de claves | URL base del punto de conexión del plano de datos |
|---|---|---|
| Almacenes | Protegido por software y protegida con HSM (tipos de claves HSM en SKU Premium) | https://{vault-name}.vault.azure.net |
| HSM administrados | Protegidas con HSM | https://{hsm-name}.managedhsm.azure.net |
- Almacenes: los almacenes proporcionan una solución de administración de claves de bajo costo, fácil de implementar, multiinquilino, resistente a zona (donde esté disponible) y que resulta adecuada para la mayoría de los escenarios de aplicaciones en la nube.
- HSM administrados: HSM administrado proporciona HSM de un solo inquilino y de alta disponibilidad para almacenar y administrar las claves criptográficas. Es más adecuado para aplicaciones y escenarios de uso que administran claves de alto valor. También ayuda a cumplir los requisitos de seguridad, cumplimiento normativo y regulación más estrictos.
Nota:
Los almacenes también le permiten almacenar y administrar varios tipos de objetos como secretos, certificados y claves de cuentas de almacenamiento además de las claves criptográficas.
Las claves criptográficas en Key Vault se representan como objetos de clave web JSON [JWK]. Las especificaciones de notación de objetos JavaScript (JSON) y de firma y cifrado de objetos JavaScript (JOSE) son:
Las especificaciones de JWK/JWA base también se han ampliado para habilitar los tipos de clave únicos para las implementaciones de Azure Key Vault y HSM administrado.
Las claves de HSM en almacenes están protegidas por HSM; las claves de software no están protegidas por HSM.
- Las claves almacenadas en almacenes se benefician de una protección sólida mediante HSM validad por FIPS 140. Hay dos plataformas HSM distintas disponibles: HSM Platform 1, que protege las versiones clave con FIPS 140-2 nivel 2 y HSM Platform 2, que protege las claves con HSM de nivel 3 FIPS 140-3 en función de cuándo se creó la clave. Ahora se crean todas las nuevas claves y versiones de clave con HSM Platform 2. Para determinar qué plataforma HSM protege una versión de clave, obtenga su atributo hsmPlatform .
- HSM administrado usa módulos HSM validados por FIPS 140-3 nivel 3 para proteger las claves. Cada grupo de HSM es una instancia aislada de un solo inquilino con su propio dominio de seguridad que proporciona un aislamiento criptográfico completo de todos los demás HSM que comparten la misma infraestructura de hardware. Las claves de HSM administrado están protegidas en grupos de HSM de un solo inquilino. Puede importar una clave RSA, EC y simétrica de forma temporal o mediante la exportación desde un dispositivo HSM compatible. También puede generar claves en los grupos de HSM. Al importar claves de HSM mediante el método descrito en la especificación Bring Your Own Key, se permite el transporte seguro del material de la clave a los grupos de HSM administrados.
Para más información acerca de los límites geográficos, consulte Centro de confianza de Microsoft Azure
Tipos de clave y métodos de protección
Key Vault Premium y Standard admiten claves RSA y EC. HSM administrado admite claves RSA, EC y simétricas.
Claves protegidas con HSM
| Tipo de clave | Almacenes (solo SKU Premium) | HSM administrados |
|---|---|---|
| EC-HSM: clave de curva elíptica | Compatible (P-256, P-384, P-521, secp256k1/P-256K) | Compatible (P-256, secp256k1/P-256K, P-384, P-521) |
| RSA-HSM: clave RSA | Compatible (2048 bits, 3072 bits, 4096 bits) | Compatible (2048 bits, 3072 bits, 4096 bits) |
| oct-HSM: clave simétrica | No compatible | Compatible (128 bits, 192 bits, 256 bits) |
Claves protegidas con software
| Tipo de clave | Almacenes | HSM administrados |
|---|---|---|
| RSA: clave RSA "protegida con software" | Compatible (2048 bits, 3072 bits, 4096 bits) | No compatible |
| EC: clave de curva elíptica "protegida con software" | Compatible (P-256, P-384, P-521, secp256k1/P-256K) | No compatible |
Cumplimiento normativo
| Tipo de clave y destino | Cumplimiento normativo |
|---|---|
| Claves protegidas por software (HSM Platform 0) en almacenes | FIPS 140-2 nivel 1 |
| Claves protegidas de HSM Platform 1 en almacenes (SKU Premium) | FIPS 140-2 nivel 2 |
| Claves protegidas de HSM Platform 2 en almacenes (SKU Premium) | FIPS 140-3 nivel 3 |
| Las claves de HSM administrado siempre están protegidas por HSM | FIPS 140-3 nivel 3 |
Criptografía resistente a la cuántica, Criptografía segura frente a cuántica o Criptografía post-cuántica
La criptografía "resistente a cuántica", "segura cuánticamente" y "post-cuántica" son términos que se utilizan para describir algoritmos criptográficos que se cree que son resistentes a los ataques criptanalíticos tanto de computadoras clásicas como cuánticas. Las claves OCT-HSM de 256 bits usadas con los algoritmos AES ofrecidos por HSM administrado son resistentes a la cuántica. Para obtener más información, consulte Preguntas más frecuentes sobre el conjunto de algoritmos de seguridad nacional comercial 2.0 y computación cuántica.
Consulte Tipos de claves, algoritmos y operaciones para más información sobre cada tipo de clave, algoritmos, operaciones, atributos y etiquetas.
Escenarios de uso
| Cuándo se usa | Ejemplos |
|---|---|
| Cifrado de datos del servidor de Azure para proveedores de recursos integrados con claves administradas por el cliente | - Cifrado del servidor mediante claves administradas por el cliente en Azure Key Vault |
| Cifrado de datos del cliente | - Cifrado del cliente con Azure Key Vault |
| TLS sin clave | - Uso de bibliotecas cliente de claves |