Információ a kulcsokról
Az Azure Key Vault kétféle erőforrást biztosít a titkosítási kulcsok tárolásához és kezeléséhez. A tárolók támogatják a szoftveres és HSM által védett (hardveres biztonsági modul) kulcsokat. A felügyelt HSM-k csak a HSM által védett kulcsokat támogatják.
Erőforrás típusa | Kulcsvédelmi módszerek | Adatsík végponti alap URL-címe |
---|---|---|
Kulcstartók | Szoftveres védelem és HSM által védett (prémium termékváltozattal) |
https://{vault-name}.vault.azure.net |
Felügyelt HSM-ek | HSM által védett | https://{hsm-name}.managedhsm.azure.net |
- Tárolók – A tárolók alacsony költségű, könnyen üzembe helyezhető, több-bérlős, zónareziliens (ahol elérhető), magas rendelkezésre állású kulcskezelési megoldást biztosítanak, amely a leggyakoribb felhőalkalmazási forgatókönyvekhez használható.
- Felügyelt HSM-ek – A felügyelt HSM egybérlős, zónareziliens (ahol elérhető), magas rendelkezésre állású HSM-eket biztosít a titkosítási kulcsok tárolásához és kezeléséhez. Leginkább olyan alkalmazásokhoz és használati forgatókönyvekhez alkalmas, amelyek nagy értékű kulcsokat kezelnek. Emellett segít megfelelni a legszigorúbb biztonsági, megfelelőségi és szabályozási követelményeknek is.
Megjegyzés
A tárolók emellett a titkosítási kulcsok mellett számos típusú objektum tárolását és kezelését is lehetővé teszik, például titkos kulcsokat, tanúsítványokat és tárfiókkulcsokat.
A Key Vault titkosítási kulcsai JSON-webkulcsként [JWK] objektumokként jelennek meg. A JavaScript Object Notation (JSON) és a JavaScript Object Signing and Encryption (JOSE) specifikációi a következők:
Az alap JWK-/JWA-specifikációk az Azure Key Vault és felügyelt HSM-implementációkra egyedi kulcstípusok engedélyezésére is ki vannak terjesztve.
A HSM által védett kulcsokat (más néven HSM-kulcsokat) hSM-ben (hardveres biztonsági modul) dolgozzák fel, és mindig HSM-védelmi határ marad.
- A tárolók a FIPS 140–2. szintű, 2. szintű ellenőrzött HSM-eket használják a HSM-kulcsok védelmére a megosztott HSM-háttérinfrastruktúrában.
- A felügyelt HSM a FIPS 140-2 3. szintű ellenőrzött HSM-modulokat használja a kulcsok védelméhez. Minden HSM-készlet egy elkülönített egybérlős példány saját biztonsági tartománnyal , amely teljes titkosítási elkülönítést biztosít az azonos hardverinfrastruktúrával rendelkező többi HSM-től.
Ezek a kulcsok egybérlős HSM-készletekben vannak védve. Az RSA, EC és szimmetrikus kulcsokat lágy formában vagy egy támogatott HSM-eszközről exportálva importálhatja. A HSM-készletekben kulcsokat is létrehozhat. Ha a HSM-kulcsokat a BYOK (saját kulcs) specifikációban leírt módszerrel importálja, az biztonságos szállításikulcs-anyagokat tesz lehetővé a felügyelt HSM-készletekbe.
További információ a földrajzi határokról: Microsoft Azure Adatvédelmi központ
Kulcstípusok és védelmi módszerek
Key Vault támogatja az RSA- és EC-kulcsokat. A felügyelt HSM támogatja az RSA, az EC és a szimmetrikus kulcsokat.
HSM-védett kulcsok
Kulcs típusa | Tárolók (csak prémium termékváltozat) | Felügyelt HSM-ek |
---|---|---|
EC-HSM: Elliptikus görbekulcs | Támogatott (P-256, P-384, P-521, secp256k1/P-256K) | Támogatott (P-256, secp256k1/P-256K, P-384, P-521) |
RSA-HSM: RSA-kulcs | Támogatott (2048 bites, 3072 bites, 4096 bites) | Támogatott (2048 bites, 3072 bites, 4096 bites) |
oct-HSM: Szimmetrikus kulcs | Nem támogatott | Támogatott (128 bites, 192 bites, 256 bites) |
Szoftveres védelem alatt álló kulcsok
Kulcs típusa | Kulcstartók | Felügyelt HSM-ek |
---|---|---|
RSA: "Szoftver által védett" RSA-kulcs | Támogatott (2048 bites, 3072 bites, 4096 bites) | Nem támogatott |
EC: "Szoftver által védett" elliptikus görbekulcs | Támogatott (P-256, P-384, P-521, secp256k1/P-256K) | Nem támogatott |
Megfelelőség
Kulcs típusa és célja | Megfelelőség |
---|---|
Szoftveres védelem alatt álló kulcsok tárolókban (Prémium & standard termékváltozatok) | FIPS 140-2 1. szint |
HSM által védett kulcsok tárolókban (prémium termékváltozat) | 2. szintű FIPS 140-2 |
HSM által védett kulcsok a felügyelt HSM-ben | FIPS 140-2 3. szint |
Az egyes kulcstípusokról, algoritmusokról, műveletekről, attribútumokról és címkékről további információt a Kulcstípusok, algoritmusok és műveletek című témakörben talál.
Használati forgatókönyvek
A következő esetekben használja | Példák |
---|---|
Azure-kiszolgálóoldali adattitkosítás integrált erőforrás-szolgáltatók számára ügyfél által felügyelt kulcsokkal | - Kiszolgálóoldali titkosítás ügyfél által felügyelt kulcsokkal az Azure Key Vault |
Ügyféloldali adattitkosítás | - Ügyféloldali titkosítás az Azure Key Vault |
Kulcs nélküli TLS | – Kulcs ügyfélkódtárak használata |