Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Catatan
Zero Trust adalah strategi keamanan yang terdiri dari tiga prinsip: "Verifikasi secara eksplisit", "Gunakan akses hak istimewa paling sedikit", dan "Asumsikan pelanggaran". Perlindungan data, termasuk manajemen kunci, mendukung prinsip "gunakan akses hak istimewa paling sedikit". Untuk informasi selengkapnya, lihat Apa itu Zero Trust?
Di Azure, kunci enkripsi dapat dikelola platform atau dikelola pelanggan.
Kunci yang dikelola platform (PMK) adalah kunci enkripsi yang dihasilkan, disimpan, dan dikelola sepenuhnya oleh Azure. Pelanggan tidak berinteraksi dengan PMK. Kunci yang digunakan untuk Azure Data Encryption-at-Rest, misalnya, adalah PMKs secara bawaan.
Kunci yang dikelola pelanggan (CMK), di sisi lain, adalah kunci yang dibaca, dibuat, dihapus, diperbarui, dan/atau dikelola oleh satu atau beberapa pelanggan. Kunci yang disimpan di brankas kunci milik pelanggan atau modul keamanan perangkat keras (HSM) adalah CMK. Bring Your Own Key (BYOK) adalah skenario CMK di mana pelanggan mengimpor (membawa) kunci dari lokasi penyimpanan luar ke layanan manajemen kunci Azure (lihat Azure Key Vault: Bawa spesifikasi kunci Anda sendiri).
Jenis kunci tertentu yang dikelola pelanggan adalah "kunci enkripsi kunci" (KEK). KEK adalah kunci utama yang mengontrol akses ke satu atau beberapa kunci enkripsi yang dienkripsi sendiri.
Kunci yang dikelola pelanggan dapat disimpan secara lokal atau, lebih umumnya, dalam layanan manajemen kunci cloud.
Layanan manajemen kunci Azure
Azure menawarkan beberapa opsi untuk menyimpan dan mengelola kunci Anda di cloud, termasuk Azure Key Vault, Azure Key Vault Managed HSM, Azure Cloud HSM, dan Azure Payment HSM. Opsi ini berbeda dalam hal tingkat kepatuhan FIPS, overhead manajemen, dan aplikasi yang dimaksudkan.
Untuk panduan komprehensif dalam memilih solusi manajemen kunci yang tepat untuk kebutuhan spesifik Anda, lihat Cara Memilih Solusi Manajemen Kunci yang Tepat.
Azure Key Vault (Lapisan Standar)
Adalah layanan manajemen kunci cloud multipenyewa yang tervalidasi FIPS 140-2 Level 1 yang dapat digunakan untuk menyimpan kunci asimetris, rahasia, dan sertifikat. Kunci yang disimpan di Azure Key Vault dilindungi perangkat lunak dan dapat digunakan untuk aplikasi enkripsi saat tidak aktif dan kustom. Azure Key Vault Standard menyediakan API modern dan luasnya penyebaran dan integrasi regional dengan Azure Services. Untuk informasi selengkapnya, lihat Tentang Azure Key Vault.
Azure Key Vault (Tingkat Premium)
Penawaran HSM multitenant yang divalidasi FIPS 140-3 Level 3 dan sesuai PCI yang dapat digunakan untuk menyimpan kunci asimetris, rahasia, dan sertifikat. Kunci disimpan dalam batas perangkat keras yang aman menggunakan Marvell LiquidSecurity HSMs*. Microsoft mengelola dan mengoperasikan HSM yang mendasar, dan kunci yang disimpan di Azure Key Vault Premium dapat digunakan untuk aplikasi enkripsi saat tidak aktif dan kustom. Azure Key Vault Premium juga menyediakan API modern dan luasnya penyebaran dan integrasi regional dengan Azure Services. Jika Anda adalah pelanggan Azure Key Vault Premium yang mencari kedaulatan kunci, penyewaan tunggal, dan/atau operasi kripto yang lebih tinggi per detik, Anda mungkin ingin mempertimbangkan HSM Terkelola Azure Key Vault sebagai gantinya. Untuk informasi selengkapnya, lihat Tentang Azure Key Vault.
HSM Terkelola Azure Key Vault
Penawaran HSM penyewa tunggal yang telah divalidasi untuk FIPS 140-2 Level 3, memberikan pelanggan kontrol penuh atas HSM untuk enkripsi saat data tidak digunakan, offload SSL/TLS Tanpa Kunci, dan aplikasi kustom. Azure Key Vault Managed HSM adalah satu-satunya solusi manajemen utama yang menawarkan kunci rahasia. Pelanggan menerima kumpulan tiga partisi HSM—bersama-sama bertindak sebagai satu perangkat HSM logis dan sangat tersedia—didukung oleh layanan yang menyediakan fungsi kriptografi melalui API Key Vault. Microsoft menangani penyediaan, patching, pemeliharaan, dan failover perangkat keras HSM, tetapi tidak memiliki akses ke kunci itu sendiri, karena layanan dijalankan dalam Infrastruktur Komputasi Rahasia Azure. Azure Key Vault Managed HSM terintegrasi dengan layanan Azure SQL, Azure Storage, dan Azure Information Protection PaaS dan menawarkan dukungan untuk Keyless TLS dengan F5 dan Nginx. Untuk informasi selengkapnya, lihat Apa itu Azure Key Vault Managed HSM?.
Azure Dedicated HSM
Penawaran HSM penyewa tunggal yang telah tervalidasi FIPS 140-2 Level 3, memberikan pelanggan kontrol penuh atas HSM untuk PKCS#11, memindahkan pemrosesan SSL/TLS, perlindungan kunci privat untuk otoritas sertifikat, enkripsi data transparan, serta termasuk fitur seperti penandatanganan dokumen dan kode, dan mendukung aplikasi kustom. Pelanggan memiliki kontrol administratif penuh atas kluster HSM mereka. Meskipun pelanggan memiliki penyebaran dan inisialisasi HSM mereka, Microsoft menangani provisi layanan dan hosting HSM. Azure Dedicated HSM mendukung kasus penggunaan yang ada, termasuk menggunakan beban kerja lift-and-shift, PKI, SSL Offloading dan Keyless TLS, aplikasi OpenSSL, Oracle TDE, dan Azure SQL TDE IaaS. Azure Dedicated HSM tidak terintegrasi dengan penawaran Azure PaaS apa pun. Untuk informasi selengkapnya, lihat Apa itu Azure Dedicated HSM?.
Azure Payment HSM
Penawaran HSM bare metal penyewa tunggal yang divalidasi sesuai dengan FIPS 140-2 Level 3 dan PCI HSM v3, yang memungkinkan pelanggan untuk menyewa perangkat HSM pembayaran di pusat data Microsoft untuk operasi pembayaran. Ini mencakup pemrosesan PIN pembayaran, penerbitan kredensial pembayaran, pengamanan kunci serta data autentikasi, dan perlindungan data sensitif. Layanan ini sesuai dengan PCI DSS, PCI 3DS, dan PCI PIN. Azure Payment HSM menawarkan HSM berbasis penyewa tunggal agar pelanggan dapat memiliki kendali administratif penuh dan akses eksklusif ke HSM. Setelah HSM dialokasikan untuk pelanggan, Microsoft tidak memiliki akses ke data pelanggan. Demikian juga, ketika HSM tidak lagi diperlukan, data pelanggan di-nol dan dihapus segera setelah HSM dirilis, untuk memastikan privasi dan keamanan lengkap dipertahankan. Untuk informasi selengkapnya, lihat Apa itu Azure Payment HSM?.
Catatan
* Azure Key Vault Premium memungkinkan pembuatan kunci yang dilindungi perangkat lunak dan HSM. Jika menggunakan Azure Key Vault Premium, periksa untuk memastikan bahwa kunci yang dibuat dilindungi HSM.
Harga
Tingkat Azure Key Vault Standard dan Premium ditagih secara transaksional, dengan biaya per kunci bulanan tambahan untuk kunci premium yang didukung perangkat keras. Azure Key Vault Managed HSM, Azure Dedicated HSM, dan Azure Payment HSM tidak mengenakan biaya secara transaksional; sebaliknya, perangkat tersebut selalu digunakan yang ditagih dengan tarif per jam tetap. Untuk informasi harga terperinci, lihat Harga Key Vault dan Harga Pembayaran HSM.
Batas layanan
Azure Key Vault Managed HSM, Azure Dedicated HSM, dan Azure Payment HSM menawarkan kapasitas khusus. Azure Key Vault Standard dan Premium menyediakan penawaran multipenyewa dan memiliki batas pembatasan akses. Untuk batas layanan, lihat Batas layanan Azure Key Vault.
Enkripsi Saat Tidak Aktif
Azure Key Vault dan Azure Key Vault Managed HSM memiliki integrasi dengan Azure Services dan Microsoft 365 for Customer Managed Keys, yang berarti pelanggan dapat menggunakan kunci mereka sendiri di Azure Key Vault dan Azure Key Vault Managed HSM untuk enkripsi saat tidak aktif data yang disimpan dalam layanan ini. Azure Dedicated HSM dan Azure Payment HSM adalah penawaran Infrastructure-as-Service dan tidak menawarkan integrasi dengan Azure Services. Untuk gambaran umum enkripsi saat tidak aktif dengan Azure Key Vault dan Azure Key Vault Managed HSM, lihat Azure Data Encryption-at-Rest.
API
Azure Dedicated HSM dan Azure Payment HSM mendukung API PKCS#11, JCE/JCA, dan KSP/CNG, tetapi Azure Key Vault dan Azure Key Vault Managed HSM tidak. Azure Key Vault dan Azure Key Vault Managed HSM menggunakan REST API Azure Key Vault dan menawarkan dukungan SDK. Untuk informasi selengkapnya tentang API Azure Key Vault, lihat Referensi API Azure Key Vault.