Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure Key Vault menyediakan dua jenis sumber daya untuk menyimpan dan mengelola kunci kriptografi. Vault mendukung kunci yang dilindungi perangkat lunak dan dilindungi HSM (Modul Keamanan Perangkat Keras). HSM terkelola hanya mendukung kunci yang dilindungi HSM.
| Jenis Sumber Daya | Metode perlindungan kunci | URL dasar titik akhir data-pesawat |
|---|---|---|
| Vault | Dilindungi perangkat lunak dan dilindungi HSM (jenis kunci HSM di SKU Premium) | https://{vault-name}.vault.azure.net |
| HSM terkelola | Dilindungi HSM | https://{hsm-name}.managedhsm.azure.net |
- Vaults - Vaults menyediakan solusi manajemen kunci yang murah, mudah diterapkan, multi-penyewa, tahan zona (jika tersedia), sangat tersedia, cocok untuk sebagian besar skenario aplikasi cloud umum.
- HSM Terkelola - HSM Terkelola menyediakan HSM penyewa tunggal yang sangat tersedia untuk menyimpan dan mengelola kunci kriptografi Anda. Paling cocok untuk aplikasi dan skenario penggunaan yang menangani kunci bernilai tinggi. Juga membantu memenuhi persyaratan keamanan, kepatuhan, dan peraturan yang paling ketat.
Catatan
Vault juga memungkinkan Anda untuk menyimpan dan mengelola beberapa jenis objek seperti rahasia, sertifikat, dan kunci akun penyimpanan, selain kunci kriptografi.
Kunci kriptografi di Azure Key Vault direpresentasikan sebagai objek JSON Web Key [JWK]. Spesifikasi JavaScript Object Notation (JSON) dan JavaScript Object Signing and Encryption (JOSE) adalah:
Spesifikasi dasar JWK/JWA juga diperluas untuk mengaktifkan jenis kunci yang unik untuk implementasi Azure Key Vault dan HSM terkelola.
Kunci HSM dalam vault dilindungi oleh HSM; Kunci perangkat lunak tidak dilindungi oleh HSM.
- Kunci yang disimpan dalam vault mendapat manfaat dari perlindungan yang kuat menggunakan HSM yang divalidasi FIPS 140. Ada dua platform HSM berbeda yang tersedia: HSM Platform 1, yang melindungi versi kunci dengan FIPS 140-2 Level 2, dan HSM Platform 2, yang melindungi kunci dengan FIPS 140-3 Level 3 HSM tergantung pada kapan kunci dibuat. Semua kunci baru dan versi kunci sekarang dibuat menggunakan Platform HSM 2. Untuk menentukan platform HSM mana yang melindungi versi kunci, dapatkan atribut hsmPlatform-nya .
- HSM terkelola menggunakan modul HSM tervalidasi FIPS 140-3 Level 3 untuk melindungi kunci Anda. Setiap kumpulan HSM adalah instans penyewa tunggal terisolasi dengan domain keamanannya sendiri yang menyediakan isolasi kriptografi lengkap dari semua HSM lain yang berbagi infrastruktur perangkat keras yang sama. Kunci HSM terkelola dilindungi dalam kumpulan HSM penyewa tunggal. Anda dapat mengimpor kunci RSA, EC, dan simetris, dalam bentuk lunak atau dengan mengekspor dari perangkat HSM yang didukung. Anda juga dapat menghasilkan kunci di kumpulan HSM. Ketika Anda mengimpor kunci HSM menggunakan metode yang dijelaskan dalam spesifikasi BYOK (bawa kunci Anda sendiri), ini memungkinkan bahan kunci transportasi yang aman ke dalam kumpulan HSM terkelola.
Untuk informasi selengkapnya tentang batas geografis, lihat Pusat Kepercayaan Microsoft Azure
Jenis kunci dan metode perlindungan
Key Vault Premium dan Standard mendukung kunci RSA dan EC. HSM terkelola mendukung kunci RSA, EC, dan simetris.
Kunci yang dilindungi HSM
| Jenis Kunci | Vault (khusus SKU Premium) | HSM Terkelola |
|---|---|---|
| EC-HSM: Kunci Kurva Elips | Didukung (P-256, P-384, P-521, secp256k1/P-256K) | Didukung (P-256, secp256k1/P-256K, P-384, P-521) |
| RSA-HSM: Kunci RSA | Didukung (2048-bit, 3072-bit, 4096-bit) | Didukung (2048-bit, 3072-bit, 4096-bit) |
| okt-HSM: Kunci simetris | Tidak didukung | Didukung (128-bit, 192-bit, 256-bit) |
Kunci yang dilindungi perangkat lunak
| Jenis Kunci | Vault | HSM Terkelola |
|---|---|---|
| RSA: kunci RSA “dilindungi perangkat lunak" | Didukung (2048-bit, 3072-bit, 4096-bit) | Tidak didukung |
| EC: Kunci Kurva Elips “dilindungi perangkat lunak" | Didukung (P-256, P-384, P-521, secp256k1/P-256K) | Tidak didukung |
Kepatuhan
| Jenis kunci dan tujuan | Kepatuhan |
|---|---|
| Kunci yang dilindungi oleh perangkat lunak (Platform HSM 0) di brankas | FIPS 140-2 Level 1 (Tingkat 1) |
| Kunci yang dilindungi oleh Platform HSM 1 di dalam brankas (SKU Premium) | FIPS 140-2 Tingkat 2 |
| Kunci yang dilindungi oleh Platform HSM 2 di dalam vaults (SKU Premium) | FIPS 140-3 Tingkat 3 |
| Kunci dalam HSM Terkelola selalu dilindungi HSM | FIPS 140-3 Tingkat 3 |
Tahan-kuantum, Aman-kuantum, atau Kriptografi Pasca-kuantum
Kriptografi "tahan kuantum", "quantum-safe", dan "post-quantum" adalah semua istilah yang digunakan untuk menggambarkan algoritma kriptografi yang diyakini tahan terhadap serangan kriptal dari komputer klasik dan kuantum. OCT-HSM kunci 256-bit yang digunakan dengan algoritma AES yang ditawarkan oleh Managed HSM tahan kuantum. Untuk informasi selengkapnya, lihat FAQ Algoritma Keamanan Nasional Komersial Suite 2.0 dan Quantum Computing.
Lihat Jenis kunci, algoritme, dan operasi untuk detail tentang setiap jenis kunci, algoritma, operasi, atribut, dan tag.
Skenario penggunaan
| Waktu menggunakan | Contoh |
|---|---|
| Enkripsi data sisi server Azure untuk penyedia sumber daya terintegrasi dengan kunci yang dikelola pelanggan | - Enkripsi sisi server yang menggunakan kunci yang dikelola pelanggan di Azure Key Vault |
| Enkripsi data sisi klien | - Enkripsi Client-Side dengan Azure Key Vault |
| TLS tanpa kunci | Pustaka klien relai |