Gestione delle chiavi in Azure

Nota

Zero Trust è una strategia di sicurezza che comprende tre principi: "Verificare in modo esplicito", "Usare l'accesso con privilegi minimi" e "Presuppone violazione". La protezione dei dati, inclusa la gestione delle chiavi, supporta il principio "usare l'accesso con privilegi minimi". Per altre informazioni, vedere Informazioni Zero Trust?

In Azure le chiavi di crittografia possono essere gestite dalla piattaforma o gestite dal cliente.

Le chiavi gestite dalla piattaforma sono chiavi di crittografia generate, archiviate e gestite interamente da Azure. I clienti non interagiscono con i PMK. Le chiavi usate per Azure Data Encryption-at-Rest, ad esempio, sono PMK per impostazione predefinita.

Le chiavi gestite dal cliente (CMK), invece, sono chiavi di lettura, creazione, eliminazione, aggiornamento e/o amministrazione da uno o più clienti. Le chiavi archiviate in un insieme di credenziali delle chiavi di proprietà del cliente o in un modulo di sicurezza hardware (HSM) sono SDK. Bring Your Own Key (BYOK) è uno scenario CMK in cui un cliente importa le chiavi da un percorso di archiviazione esterno in un servizio di gestione delle chiavi di Azure (vedere l'Key Vault di Azure: Bring your own key specification).

Un tipo specifico di chiave gestita dal cliente è la "chiave di crittografia delle chiavi" (KEK). Un KEK è una chiave primaria che controlla l'accesso a una o più chiavi di crittografia crittografate.

Le chiavi gestite dal cliente possono essere archiviate in locale o, più comunemente, in un servizio di gestione delle chiavi cloud.

Servizi di gestione delle chiavi di Azure

Azure offre diverse opzioni per l'archiviazione e la gestione delle chiavi nel cloud, tra cui Azure Key Vault, HSM gestito di Azure, HSM dedicato di Azure e Azure Payment HSM. Queste opzioni differiscono in termini di livello di conformità FIPS, sovraccarico di gestione e applicazioni destinate.

Per una panoramica di ogni servizio di gestione delle chiavi e una guida completa alla scelta della soluzione di gestione delle chiavi appropriata, vedere Come scegliere la soluzione di gestione delle chiavi corretta.

Prezzi

I livelli Standard e Premium di Azure Key Vault vengono fatturati su base transazionale, con un addebito mensile aggiuntivo per chiave per chiavi premium supportate dall'hardware. HSM gestito, HSM dedicato e Pagamenti HSM non vengono addebitati su base transazionale; invece sono dispositivi sempre in uso fatturati a una tariffa oraria fissa. Per informazioni dettagliate sui prezzi, vedere prezzi Key Vault, prezzi HSM dedicati e prezzi del modulo di protezione hardware di pagamento.

Limiti del servizio

HSM gestito, HSM dedicato e Pagamenti HSM offrono capacità dedicata. Key Vault Standard e Premium sono offerte multi-tenant e hanno limiti di limitazione. Per i limiti del servizio, vedere limiti del servizio Key Vault.

Crittografia inattivi

Azure Key Vault e Azure Key Vault Managed HSM dispongono di integrazioni con Servizi di Azure e Microsoft 365 for Customer Managed Keys, ovvero i clienti possono usare le proprie chiavi in Azure Key Vault e Azure Key Managed HSM per la crittografia inattivi dei dati archiviati in questi servizi. HSM dedicato e Pagamenti HSM sono offerte di infrastruttura come servizio e non offrono integrazioni con Servizi di Azure. Per una panoramica della crittografia inattivi con Azure Key Vault e Managed HSM, vedere Crittografia dati di Azure inattivi.

API

HSM dedicato e HSM Pagamenti supportano le API PKCS#11, JCE/JCA e KSP/CNG, ma Azure Key Vault e Managed HSM non fanno. Azure Key Vault e Managed HSM usano l'API REST di Azure Key Vault e offrono supporto SDK. Per altre informazioni sull'API di Azure Key Vault, vedere Informazioni di riferimento sull'API REST di Azure Key Vault.

Passaggi successivi