Gestione delle chiavi in Azure
Nota
Zero Trust è una strategia di sicurezza che comprende tre principi: "verifica esplicita", "accesso con privilegi minimi" e "presunzione di violazione". La protezione dei dati, inclusa la gestione delle chiavi, supporta il principio di "accesso con privilegi minimi". Per altre informazioni, vedere Che cos'è Zero Trust?
In Azure le chiavi di crittografia possono essere gestite dalla piattaforma o dal cliente.
Le chiavi gestite dalla piattaforma sono chiavi di crittografia generate, archiviate e gestite interamente da Azure. I clienti non interagiscono con le chiavi gestite dalla piattaforma. Le chiavi usate per Azure Data Encryption-at-Rest, ad esempio, sono chiavi gestite dalla piattaforma per impostazione predefinita.
Le chiavi gestite dal cliente (CMK), d'altra parte, sono chiavi lette, create, eliminate, aggiornate e/o gestite da uno o più clienti. Le chiavi archiviate in un modulo di protezione hardware o un insieme di credenziali delle chiavi di proprietà del cliente sono chiavi gestite dal cliente. Bring Your Own Key (BYOK) è uno scenario di chiavi gestite dal cliente in cui un cliente importa le chiavi da un percorso di archiviazione esterno in un servizio di gestione delle chiavi di Azure (vedere Azure Key Vault: specifiche di Bring Your Own Key).
Un tipo specifico di chiave gestita dal cliente è la "chiave di crittografia della chiave" (KEK). Una KEK è una chiave primaria che controlla l'accesso a una o più chiavi di crittografia crittografate.
Le chiavi gestite dal cliente possono essere archiviate in locale o, più comunemente, in un servizio di gestione delle chiavi cloud.
Servizi di gestione delle chiavi di Azure
Azure offre diverse opzioni per l'archiviazione e la gestione delle chiavi nel cloud, tra cui Azure Key Vault, HSM gestito di Azure, modulo di protezione hardware dedicato di Azure e modulo di protezione hardware di pagamento di Azure. Queste opzioni differiscono in termini di livello di conformità FIPS, sovraccarico di gestione e applicazioni di destinazione.
Per una panoramica di ogni servizio di gestione delle chiavi e una guida completa alla scelta della soluzione di gestione delle chiavi più adatta, vedere Come scegliere la soluzione di gestione delle chiavi appropriata.
Prezzi
I livelli Standard e Premium di Azure Key Vault vengono fatturati su base transazionale, con un addebito mensile aggiuntivo per chiave per le chiavi con supporto hardware Premium. Il modulo di protezione hardware gestito, il modulo di protezione hardware dedicato e il modulo di protezione hardware dei pagamenti non vengono addebitati su base transazionale; sono invece dispositivi sempre in uso fatturati a una tariffa oraria fissa. Per informazioni dettagliate sui prezzi, vedere Prezzi di Key Vault, Prezzi del modulo di protezione hardware dedicato e Prezzi del modulo di protezione hardware di pagamento.
Limiti del servizio
Il modulo di protezione hardware gestito, il modulo di protezione hardware dedicato e il modulo di protezione hardware pagamenti offrono capacità dedicata. Key Vault Standard e Premium sono offerte multi-tenant e hanno limiti di limitazione. Per i limiti del servizio, vedere Limiti del servizio Key Vault.
Crittografia dei dati inattivi
Azure Key Vault e il modulo di protezione hardware gestito di Azure Key Vault hanno integrazioni con i servizi di Azure e Microsoft 365 per le chiavi gestite dal cliente, ovvero i clienti possono usare le proprie chiavi in Azure Key Vault e il modulo di protezione hardware gestito con chiave di Azure per la crittografia dei dati archiviati in questi servizi. HSM dedicato e modulo di protezione hardware per i pagamenti sono offerte di infrastruttura distribuita come servizio e non offrono integrazioni con i servizi di Azure. Per una panoramica della crittografia dei dati inattivi con Azure Key Vault e HSM gestito, vedere Crittografia dei dati di Azure inattivi.
API
HSM dedicato e modulo di protezione hardware per i pagamenti supportano le API PKCS#11, JCE/JCA e KSP/CNG, ma Azure Key Vault e HSM gestito non lo fanno. Azure Key Vault e HSM gestito usano l'API REST di Azure Key Vault e offrono supporto SDK. Per altre informazioni sull'API di Azure Key Vault, vedere Azure Key Vault REST API Reference (Informazioni di riferimento sull'API REST di Azure Key Vault).