Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Nota
Zero Trust è una strategia di sicurezza che comprende tre principi: "verifica esplicita", "accesso con privilegi minimi" e "presunzione di violazione". La protezione dei dati, inclusa la gestione delle chiavi, supporta il principio di "accesso con privilegi minimi". Per altre informazioni, vedere Che cos'è Zero Trust?
In Azure le chiavi di crittografia possono essere gestite dalla piattaforma o dal cliente.
Le chiavi gestite dalla piattaforma sono chiavi di crittografia generate, archiviate e gestite interamente da Azure. I clienti non interagiscono con i PMK. Le chiavi usate per la Crittografia dati di Azure in inattività, ad esempio, sono PMK per impostazione predefinita.
Le chiavi gestite dal cliente (CMK), d'altra parte, sono chiavi lette, create, eliminate, aggiornate e/o gestite da uno o più clienti. Le chiavi archiviate in un insieme di credenziali delle chiavi di proprietà del cliente o in un modulo di protezione hardware (HSM) sono chiavi CMK. Bring Your Own Key (BYOK) è uno scenario CMK (chiave gestita dal cliente) in cui un cliente importa (porta) chiavi da un percorso di archiviazione esterno in un servizio di gestione delle chiavi di Azure (vedere le specifiche di Bring Your Own Key dell'Azure Key Vault).
Un tipo specifico di chiave gestita dal cliente è la "chiave di crittografia della chiave" (KEK). Una KEK è una chiave primaria che controlla l'accesso a una o più chiavi di crittografia crittografate.
Le chiavi gestite dal cliente possono essere archiviate in locale o, più comunemente, in un servizio di gestione delle chiavi cloud.
Servizi di gestione delle chiavi di Azure
Azure offre diverse opzioni per l'archiviazione e la gestione delle chiavi nel cloud, tra cui Azure Key Vault, modulo di protezione hardware gestito di Azure, anteprima del modulo di protezione hardware cloud di Azure, modulo di protezione hardware dedicato di Azure e modulo di protezione hardware di pagamento di Azure. Queste opzioni differiscono in termini di livello di conformità FIPS, sovraccarico di gestione e applicazioni di destinazione.
Per una panoramica di ogni servizio di gestione delle chiavi e una guida completa alla scelta della soluzione di gestione delle chiavi più adatta, vedere Come scegliere la soluzione di gestione delle chiavi appropriata.
Prezzi
I livelli Standard e Premium di Azure Key Vault vengono fatturati su base transazionale, con un addebito mensile aggiuntivo per chiave per le chiavi con supporto hardware Premium. Il modulo di protezione hardware gestito, l'anteprima del modulo di protezione hardware cloud, il modulo di protezione hardware dedicato e il modulo di protezione hardware per i pagamenti non vengono addebitati su base transazionale; sono invece dispositivi sempre in uso fatturati a una tariffa oraria fissa. Per informazioni dettagliate sui prezzi, vedere Prezzi di Key Vault, Prezzi del modulo di protezione hardware dedicato e Prezzi del modulo di protezione hardware di pagamento.
Limiti del servizio
Il modulo di protezione hardware gestito, l'anteprima del modulo di protezione hardware cloud, il modulo di protezione hardware dedicato e il modulo di protezione hardware pagamenti offrono capacità dedicata. Key Vault Standard e Premium sono offerte multi-tenant e hanno limitazioni. Per i limiti del servizio, vedere Limiti del servizio Key Vault.
Crittografia dei dati inattivi
Azure Key Vault e il modulo di protezione hardware gestito di Azure Key Vault hanno integrazioni con i servizi di Azure e Microsoft 365 per le chiavi gestite dal cliente, ovvero i clienti possono usare le proprie chiavi in Azure Key Vault e il modulo di protezione hardware gestito di Azure per la crittografia dei dati inattivi archiviati in questi servizi. L'anteprima del modulo di protezione hardware cloud, il modulo di protezione hardware dedicato e il modulo di protezione hardware per i pagamenti sono offerte da infrastruttura distribuita come servizio e non offrono integrazioni con i servizi di Azure. Per una panoramica della crittografia a riposo con Azure Key Vault e HSM Gestito, vedere Crittografia dei dati a riposo di Azure.
API
L'anteprima del modulo di protezione hardware cloud, il modulo di protezione hardware dedicato e il modulo di protezione hardware per i pagamenti supportano le API PKCS#11, JCE/JCA e KSP/CNG, ma Azure Key Vault e il modulo di protezione hardware gestito non lo sono. Azure Key Vault e HSM gestito usano l'API REST di Azure Key Vault e offrono supporto SDK. Per altre informazioni sull'API di Azure Key Vault, vedere Azure Key Vault REST API Reference (Informazioni di riferimento sull'API REST di Azure Key Vault).