Informazioni sulle chiavi
Azure Key Vault fornisce due tipi di risorse per archiviare e gestire le chiavi crittografiche. Gli insiemi di credenziali supportano le chiavi con protezione software e con protezione HSM. Le risorse di tipo HSM gestito supportano solo le chiavi con protezione HSM.
| Tipo di risorsa | Metodi di protezione delle chiavi | URL di base dell'endpoint del piano dati |
|---|---|---|
| Vaults (Insiemi di credenziali) | Con protezione software e Con protezione HSM (con SKU Premium) |
https://{vault-name}.vault.azure.net |
| Moduli di protezione hardware gestiti | Con protezione HSM | https://{hsm-name}.managedhsm.azure.net |
- Insiemi di credenziali - Gli insiemi di credenziali offrono una soluzione di gestione delle chiavi a basso costo, facile da distribuire, multi-tenant, con resilienza della zona (dove disponibile) e a disponibilità elevata, adatta per gli scenari di applicazioni cloud più comuni.
- Moduli di protezione hardware gestiti - Un modulo di protezione hardware gestito offre moduli di protezione hardware a tenant singolo, con resilienza della zona (dove disponibile) e a disponibilità elevata per archiviare e gestire le chiavi crittografiche. Questa soluzione è ideale per applicazioni e scenari di utilizzo in cui vengono gestite chiavi con valore elevato. Consente inoltre di soddisfare i requisiti normativi, di conformità e sicurezza più rigorosi.
Nota
Gli insiemi di credenziali consentono anche di archiviare e gestire diversi tipi di oggetti, come segreti, certificati e chiavi dell'account di archiviazione, oltre alle chiavi crittografiche.
Le chiavi crittografiche in Key Vault sono rappresentate come oggetti JSON Web Key [JWK]. Le specifiche JSON (JavaScript Object Notation) e JOSE (JavaScript Object Signing and Encryption) sono:
Le specifiche JWK/JWA di base vengono estese anche per abilitare tipi di chiave univoci per le implementazioni di Azure Key Vault e HSM gestiti.
Le chiavi HSM negli insiemi di credenziali sono protette; Le chiavi software non sono protette dai moduli di protezione hardware.
- Le chiavi archiviate negli insiemi di credenziali traggono vantaggio da una protezione affidabile usando il modulo di protezione hardware convalidato FIPS 140. Sono disponibili due piattaforme HSM distinte: 1, che protegge le versioni chiave con FIPS 140-2 Livello 2 e 2, che protegge le chiavi con moduli di protezione hardware FIPS 140-2 Livello 3 a seconda della creazione della chiave. Tutte le nuove chiavi e le nuove versioni chiave vengono ora create usando la piattaforma 2 (ad eccezione dell'area geografica del Regno Unito). Per determinare quale piattaforma HSM protegge una versione chiave, ottenere hsmPlatform.
- Il modulo di protezione hardware gestito usa moduli HSM convalidati FIPS 140-2 livello 3 per proteggere le chiavi. Ogni pool di moduli di protezione hardware è un'istanza a tenant singolo isolato con il proprio dominio di sicurezza che fornisce un isolamento crittografico completo da tutti gli altri moduli di protezione hardware che condividono la stessa infrastruttura hardware.
Queste chiavi sono protette in pool di moduli di protezione hardware a tenant singolo. È possibile importare una chiave RSA, EC e simmetrica in formato software o esportandola da un dispositivo HSM supportato. È anche possibile generare chiavi nei pool di moduli di protezione hardware. Quando si importano chiavi con protezione HSM usando il metodo descritto nella specifica BYOK (Bring Your Own Key), viene abilitato il materiale della chiave di trasporto sicuro nei pool di moduli di protezione hardware gestiti.
Per ulteriori informazioni sui limiti geografici, vedere Centro di protezione Microsoft Azure
Tipi di chiavi e metodi di protezione
Key Vault supporta chiavi RSA ed EC. Una risorsa di tipo HSM gestito supporta chiavi RSA, EC e simmetriche.
Chiavi con protezione HSM
| Tipo di chiave | Insiemi di credenziali (solo SKU Premium) | HSM gestiti |
|---|---|---|
| EC-HSM: chiave curva ellittica | Supportato (P-256, P-384, P-521, secp256k1/P-256K) | Supportato (P-256, secp256k1/P-256K, P-384, P-521) |
| RSA-HSM: chiave RSA | Supportato (2048 bit, 3072 bit, 4096 bit) | Supportato (2048 bit, 3072 bit, 4096 bit) |
| oct-HSM: chiave simmetrica | Non supportato | Supportato (128 bit, 192 bit, 256 bit) |
Chiavi con protezione software
| Tipo di chiave | Insiemi di credenziali | HSM gestiti |
|---|---|---|
| RSA: chiave RSA "protetta da software" | Supportato (2048 bit, 3072 bit, 4096 bit) | Non supportato |
| EC: chiave a curva ellittica protetta da software | Supportato (P-256, P-384, P-521, secp256k1/P-256K) | Non supportato |
Conformità
| Tipo di chiave e destinazione | Conformità |
|---|---|
| Chiavi protette da software (hsmPlatform 0) negli insiemi di credenziali | FIPS 140-2 livello 1 |
| hsmPlatform 1 chiavi protette negli insiemi di credenziali (SKU Premium) | FIPS 140-2 livello 2 |
| hsmPlatform 2 chiavi protette negli insiemi di credenziali (SKU Premium) | FIPS 140-2 livello 3 |
| Le chiavi nel modulo di protezione hardware gestito sono sempre protette dal modulo di protezione hardware | FIPS 140-2 livello 3 |
Per informazioni dettagliate su ogni tipo di chiave, algoritmi, operazioni, attributi e tag, vedere Tipi di chiave, algoritmi, attributi e operazioni.
Scenari di utilizzo
| Quando utilizzarlo | Esempi |
|---|---|
| Crittografia dei dati lato server di Azure per provider di risorse integrati con chiavi gestite dal cliente | - Crittografia lato server con chiavi gestite dal cliente in Azure Key Vault |
| Crittografia dei dati lato client | - Crittografia lato client con Azure Key Vault |
| TLS senza chiave | - Usare librerie client chiave |
Passaggi successivi
- Gestione delle chiavi in Azure
- Informazioni su Key Vault
- Informazioni sul modulo di protezione hardware gestito
- Informazioni sui segreti
- Informazioni sui certificati
- Panoramica dell'API REST di Key Vault
- Autenticazione, richieste e risposte
- Guida per gli sviluppatori all'insieme di credenziali delle chiavi