Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Key Vault kétféle erőforrást biztosít a titkosítási kulcsok tárolásához és kezeléséhez. A tárolók támogatják a szoftveres védelem és a HSM által védett (hardveres biztonsági modul) kulcsokat. A felügyelt HSM-k csak a HSM által védett kulcsokat támogatják.
| Erőforrás típusa | Kulcsvédelmi módszerek | Adatsík végpont alap URL-címe |
|---|---|---|
| Boltívek | Szoftveres védelem és HSM-védelem (HSM-kulcstípusok a Prémium termékváltozatban) | https://{vault-name}.vault.azure.net |
| Felügyelt HSM-k | HSM által védett | https://{hsm-name}.managedhsm.azure.net |
- Tárolók – A tárolók alacsony költségű, könnyen üzembe helyezhető, több-bérlős, zónareziliens (ahol elérhető), magas rendelkezésre állású kulcskezelési megoldást biztosítanak, amely a leggyakoribb felhőalkalmazás-forgatókönyvekhez használható.
- Felügyelt HSM - A felügyelt HSM egybérlős, magas rendelkezésre állású HSM-eket biztosít a titkosítási kulcsok tárolásához és kezeléséhez. Leginkább olyan alkalmazásokhoz és használati forgatókönyvekhez alkalmas, amelyek nagy értékű kulcsokat kezelnek. Emellett segít megfelelni a legszigorúbb biztonsági, megfelelőségi és szabályozási követelményeknek.
Feljegyzés
A tárolók lehetővé teszik, hogy a titkosítási kulcsok mellett többféle objektumot is tároljon és kezeljen, például titkos kulcsokat, tanúsítványokat és tárfiókkulcsokat.
A Key Vault titkosítási kulcsai JSON-webkulcs -[JWK] objektumokként jelennek meg. A JavaScript Object Notation (JSON) és a JavaScript Object Signing and Encryption (JOSE) specifikációi a következők:
Az alap JWK/JWA-specifikációk az Azure Key Vault és a felügyelt HSM-implementációk egyedi kulcstípusainak engedélyezéséhez is ki vannak terjesztve.
A tárolókban lévő HSM-kulcsokat HSM-ekkel védik; A szoftverkulcsokat nem védik HSM-ek.
- A tárolókban tárolt kulcsok hatékony védelmet nyújtanak a FIPS 140 által ellenőrzött HSM használatával. Két különböző HSM-platform érhető el: a HSM Platform 1, amely a kulcsverziókat a FIPS 140-2 Level 2 és a HSM Platform 2 használatával védi, amelyek a kulcsok fiPS 140-3 3. szintű HSM-ekkel vannak védve a kulcs létrehozásának időpontjától függően. Az összes új kulcs és kulcsverzió a HSM Platform 2 használatával jön létre (az Egyesült Királyság földrajzi régiója kivételével). Annak megállapításához, hogy melyik HSM-platform védi a kulcsverziót, szerezze be a hsmPlatform attribútumát.
- A felügyelt HSM a FIPS 140-3 3. szintű hitelesített HSM-modulokat használja a kulcsok védelméhez. Minden HSM-készlet egy különálló egybérlős példány saját biztonsági tartománnyal , amely teljes titkosítási elkülönítést biztosít az azonos hardverinfrastruktúrával rendelkező többi HSM-től. A felügyelt HSM-kulcsok védettek az egybérlős HSM-készletekben. Az RSA, EC és szimmetrikus kulcsok importálhatók puha formában, vagy egy támogatott HSM-eszközről való exportálással. A HSM-készletekben kulcsokat is létrehozhat. Ha a HSM-kulcsokat a BYOK (saját kulcs) specifikációban leírt módszerrel importálja, az biztonságos szállításikulcs-anyagokat tesz lehetővé a felügyelt HSM-készletekbe.
További információ a földrajzi határokról: Microsoft Azure Trust Center
Kulcstípusok és védelmi módszerek
A Key Vault Premium és Standard támogatja az RSA- és EC-kulcsokat. A felügyelt HSM támogatja az RSA, az EC és a szimmetrikus kulcsokat.
HSM-védett kulcsok
| Kulcs típusa | Tárolók (csak prémium termékváltozat) | Felügyelt HSM-k |
|---|---|---|
| EC-HSM: Elliptikus görbekulcs | Támogatott (P-256, P-384, P-521, secp256k1/P-256K) | Támogatott (P-256, secp256k1/P-256K, P-384, P-521) |
| RSA-HSM: RSA-kulcs | Támogatott (2048 bites, 3072 bites, 4096 bites) | Támogatott (2048 bites, 3072 bites, 4096 bites) |
| okt-HSM: Szimmetrikus kulcs | Nem támogatott | Támogatott (128 bites, 192 bites, 256 bites) |
Szoftverrel védett kulcsok
| Kulcs típusa | Kulcstartók | Felügyelt HSM-k |
|---|---|---|
| RSA: "Szoftver által védett" RSA-kulcs | Támogatott (2048 bites, 3072 bites, 4096 bites) | Nem támogatott |
| EC: "Szoftver által védett" elliptikus görbekulcs | Támogatott (P-256, P-384, P-521, secp256k1/P-256K) | Nem támogatott |
Megfelelőség
| Kulcs típusa és célja | Megfelelőség |
|---|---|
| Szoftveresen védett (HSM Platform 0) kulcsok a trezorokban | FIPS 140-2 1. szint |
| HSM Platform 1 védett kulcsok a tárolókban (prémium termékváltozat) | 2. szintű FIPS 140-2 |
| HSM Platform 2 védett kulcs a tárolókban (Prémium termékváltozat) | FIPS 140-3 3. szint |
| A felügyelt HSM-kulcsok mindig HSM-védelemmel vannak ellátva | FIPS 140-3 3. szint |
Kvantum-rezisztens, kvantumbiztos vagy poszt-kvantum titkosítás
A "kvantum-rezisztens", a "kvantumbiztos" és a "poszt-quantum" titkosítás mind olyan titkosítási algoritmusok leírására szolgálnak, amelyek úgy vélik, hogy ellenállnak a klasszikus és kvantumszámítógépek titkosítási támadásaival szemben. OCT-HSM felügyelt HSM által kínált AES-algoritmusokkal használt 256 bites kulcsok kvantumrezisztensek. További információ: The Commercial National Security Algorithm Suite 2.0 and Quantum Computing FAQ.
Az egyes kulcstípusok, algoritmusok, műveletek, attribútumok és címkék részleteiért tekintse meg a kulcstípusokat, algoritmusokat és műveleteket .
Használati forgatókönyvek
| Mikor érdemes használni? | Példák |
|---|---|
| Azure-kiszolgálóoldali adattitkosítás az ügyfél által felügyelt kulcsokkal rendelkező integrált erőforrás-szolgáltatók számára | - Kiszolgálóoldali titkosítás ügyfél által felügyelt kulcsokkal az Azure Key Vaultban |
| Ügyféloldali adattitkosítás | - Ügyféloldali titkosítás az Azure Key Vaulttal |
| Kulcs nélküli TLS | – Kulcs ügyfélkódtárak használata |