Manajemen kunci pada Azure
Catatan
Zero Trust adalah strategi keamanan yang terdiri dari tiga prinsip: "Verifikasi secara eksplisit", "Gunakan akses hak istimewa paling sedikit", dan "Asumsikan pelanggaran". Perlindungan data, termasuk manajemen kunci, mendukung prinsip "gunakan akses hak istimewa paling sedikit". Untuk informasi selengkapnya, lihat Apa itu Zero Trust?
Di Azure, kunci enkripsi dapat dikelola platform atau dikelola pelanggan.
Kunci yang dikelola platform (PMK) adalah kunci enkripsi yang dihasilkan, disimpan, dan dikelola sepenuhnya oleh Azure. Pelanggan tidak berinteraksi dengan PMK. Kunci yang digunakan untuk Azure Data Encryption-at-Rest, misalnya, adalah PMK secara default.
Kunci yang dikelola pelanggan (CMK), di sisi lain, adalah kunci yang dibaca, dibuat, dihapus, diperbarui, dan/atau dikelola oleh satu atau beberapa pelanggan. Kunci yang disimpan di brankas kunci milik pelanggan atau modul keamanan perangkat keras (HSM) adalah CMK. Bring Your Own Key (BYOK) adalah skenario CMK di mana pelanggan mengimpor (membawa) kunci dari lokasi penyimpanan luar ke layanan manajemen kunci Azure (lihat Azure Key Vault: Bawa spesifikasi kunci Anda sendiri).
Jenis kunci tertentu yang dikelola pelanggan adalah "kunci enkripsi kunci" (KEK). KEK adalah kunci utama yang mengontrol akses ke satu atau beberapa kunci enkripsi yang dienkripsi sendiri.
Kunci yang dikelola pelanggan dapat disimpan secara lokal atau, lebih umumnya, dalam layanan manajemen kunci cloud.
Layanan manajemen kunci Azure
Azure menawarkan beberapa opsi untuk menyimpan dan mengelola kunci Anda di cloud, termasuk Azure Key Vault, Azure Managed HSM, Azure Dedicated HSM, dan Azure Payment HSM. Opsi ini berbeda dalam hal tingkat kepatuhan FIPS, overhead manajemen, dan aplikasi yang dimaksudkan.
Untuk gambaran umum setiap layanan manajemen kunci dan panduan komprehensif untuk memilih solusi manajemen kunci yang tepat untuk Anda, lihat Cara Memilih Solusi Manajemen Kunci yang Tepat.
Harga
Tingkatan Standar dan Premium Azure Key Vault ditagih secara transaksional, dengan biaya per kunci bulanan tambahan untuk kunci premium yang didukung perangkat keras. HSM terkelola, Dedicated HSM, dan Payments HSM tidak mengenakan biaya secara transaksional; sebaliknya mereka adalah perangkat yang selalu digunakan yang ditagih dengan tarif per jam tetap. Untuk informasi harga terperinci, lihat Harga Key Vault, harga Azure Dedicated HSM, dan harga Azure Payment HSM.
Batas Layanan
HSM Terkelola, Azure Dedicated HSM, dan Azure Payment HSM menawarkan kapasitas khusus. Standar dan Premium Azure Key Vault adalah penawaran multi-penyewa dan memiliki batas pelambatan. Untuk batas layanan, lihat Batas layanan Azure Key Vault.
Enkripsi Saat Tidak Aktif
Azure Key Vault dan Azure Key Vault Managed HSM memiliki integrasi dengan Azure Services dan Microsoft 365 untuk Kunci Terkelola Pelanggan, yang berarti pelanggan dapat menggunakan kunci mereka sendiri di Azure Key Vault dan Azure Key Managed HSM untuk enkripsi-di-sisa data yang disimpan dalam layanan ini. Azure Dedicated HSM dan Azure Payment HSM adalah penawaran Infrastructure-as-Service dan tidak menawarkan integrasi dengan Azure Services. Untuk gambaran umum enkripsi saat istirahat dengan Azure Key Vault dan Managed HSM, lihat Enkripsi Saat Tidak Aktif Data Azure.
API
Azure Dedicated HSM dan Azure Payment HSM mendukung API PKCS#11, JCE/JCA, dan KSP/CNG, tetapi Azure Key Vault, dan HSM Terkelola tidak. Azure Key Vault dan HSM Terkelola menggunakan REST API Azure Key Vault dan menawarkan dukungan SDK. Untuk informasi selengkapnya tentang API Azure Key Vault, lihat Referensi API Azure Key Vault.