Informacje o kluczach
Usługa Azure Key Vault udostępnia dwa typy zasobów do przechowywania kluczy kryptograficznych i zarządzania nimi. Magazyny obsługują klucze chronione przez oprogramowanie i chronione przez moduł HSM (sprzętowy moduł zabezpieczeń). Zarządzane moduły HSM obsługują tylko klucze chronione przez moduł HSM.
| Typ zasobu | Metody ochrony kluczy | Podstawowy adres URL punktu końcowego płaszczyzny danych |
|---|---|---|
| Sklepienia | Chronione przez oprogramowanie oraz Chroniony przez moduł HSM (z jednostkami SKU w warstwie Premium) |
https://{nazwa magazynu}.vault.azure.net |
| Zarządzane moduły HSM | Chroniony moduł HSM | https://{hsm-name}.managedhsm.azure.net |
- Magazyny — magazyny zapewniają niedrogie, łatwe w wdrażaniu wielodostępne, odporne na strefy (jeśli są dostępne), wysoce dostępne rozwiązanie do zarządzania kluczami odpowiednie dla najbardziej typowych scenariuszy aplikacji w chmurze.
- Zarządzane moduły HSM — zarządzany moduł HSM zapewnia jednodostępne, odporne na strefy (jeśli są dostępne), wysoce dostępne moduły HSM do przechowywania kluczy kryptograficznych i zarządzania nimi. Najbardziej odpowiednie dla aplikacji i scenariuszy użycia, które obsługują klucze o wysokiej wartości. Pomaga również spełnić najbardziej rygorystyczne wymagania dotyczące zabezpieczeń, zgodności i przepisów.
Uwaga
Magazyny umożliwiają również przechowywanie kilku typów obiektów, takich jak wpisy tajne, certyfikaty i klucze konta magazynu, oprócz kluczy kryptograficznych i zarządzanie nimi.
Klucze kryptograficzne w usłudze Key Vault są reprezentowane jako obiekty klucza internetowego JSON [JWK]. Specyfikacje javaScript Object Notation (JSON) i JavaScript Object Signing and Encryption (JOSE) to:
- Klucz internetowy JSON (JWK)
- Szyfrowanie sieci Web JSON (JWE)
- Algorytmy internetowe JSON (JWA)
- Podpis internetowy JSON (JWS)
Podstawowe specyfikacje JWK/JWA są również rozszerzone w celu umożliwienia typów kluczy unikatowych dla implementacji usługi Azure Key Vault i zarządzanego modułu HSM.
Klucze HSM w magazynach są chronione; Klucze oprogramowania nie są chronione przez moduły HSM.
- Klucze przechowywane w magazynach korzystają z niezawodnej ochrony przy użyciu zweryfikowanego modułu HSM ze standardem FIPS 140. Dostępne są dwie różne platformy HSM: 1, która chroni wersje kluczy przy użyciu standardu FIPS 140-2 Poziom 2 i 2, co chroni klucze za pomocą modułów HSM fiPS 140–2 poziom 3 w zależności od momentu utworzenia klucza. Wszystkie nowe klucze i wersje kluczy są teraz tworzone przy użyciu platformy 2 (z wyjątkiem geograficznego Zjednoczonego Królestwa). Aby określić, która platforma HSM chroni wersję klucza, pobierz ją za pomocą modułu hsmPlatform.
- Zarządzany moduł HSM używa modułów HSM zweryfikowanych na poziomie 140–2 FIPS 140 –2 w celu ochrony kluczy. Każda pula modułów HSM jest izolowanym wystąpieniem z jedną dzierżawą z własną domeną zabezpieczeń zapewniającą pełną izolację kryptograficzną ze wszystkich innych modułów HSM współużytkujących tę samą infrastrukturę sprzętową.
Te klucze są chronione w pulach HSM z jedną dzierżawą. Możesz zaimportować klucz RSA, EC i symetryczny w postaci nietrwałej lub wyeksportować z obsługiwanego urządzenia HSM. Klucze można również wygenerować w pulach modułów HSM. Podczas importowania kluczy HSM przy użyciu metody opisanej w specyfikacji BYOK (bring your own key) umożliwia bezpieczny materiał klucza transportu do zarządzanych pul modułów HSM.
Aby uzyskać więcej informacji na temat granic geograficznych, zobacz Centrum zaufania platformy Microsoft Azure
Typy kluczy i metody ochrony
Usługa Key Vault obsługuje klucze RSA i EC. Zarządzany moduł HSM obsługuje klucze RSA, EC i symetryczne.
Klucze chronione przez moduł HSM
| Typ klucza | Magazyny (tylko jednostka SKU w warstwie Premium) | Zarządzane moduły HSM |
|---|---|---|
| EC-HSM: klucz krzywej eliptycznej | Obsługiwane (P-256, P-384, P-521, secp256k1/P-256K) | Obsługiwane (P-256, secp256k1/P-256K, P-384, P-521) |
| RSA-HSM: klucz RSA | Obsługiwane (2048-bitowe, 3072-bitowe, 4096-bitowe) | Obsługiwane (2048-bitowe, 3072-bitowe, 4096-bitowe) |
| oct-HSM: klucz symetryczny | Nieobsługiwane | Obsługiwane (128-bitowe, 192-bitowe, 256-bitowe) |
Klucze chronione programowo
| Typ klucza | Magazyny | Zarządzane moduły HSM |
|---|---|---|
| RSA: klucz RSA chroniony przez oprogramowanie | Obsługiwane (2048-bitowe, 3072-bitowe, 4096-bitowe) | Nieobsługiwane |
| EC: "Klucz krzywej chronionej przez oprogramowanie" | Obsługiwane (P-256, P-384, P-521, secp256k1/P-256K) | Nieobsługiwane |
Zgodność
| Typ klucza i miejsce docelowe | Zgodność |
|---|---|
| Klucze chronione przez oprogramowanie (hsmPlatform 0) w magazynach | FIPS 140-2 Poziom 1 |
| hsmPlatform 1 klucze chronione w magazynach (jednostka SKU Premium) | FIPS 140-2 Level 2 |
| hsmPlatform 2 klucze chronione w magazynach (jednostka SKU Premium) | FIPS 140-2 Poziom 3 |
| Klucze w zarządzanym module HSM są zawsze chronione przez moduł HSM | FIPS 140-2 Poziom 3 |
Zobacz Typy kluczy, algorytmy i operacje , aby uzyskać szczegółowe informacje o każdym typie klucza, algorytmach, operacjach, atrybutach i tagach.
Scenariusze użycia
| Kiedy używać | Przykłady |
|---|---|
| Szyfrowanie danych po stronie serwera platformy Azure dla zintegrowanych dostawców zasobów z kluczami zarządzanymi przez klienta | - Szyfrowanie po stronie serwera przy użyciu kluczy zarządzanych przez klienta w usłudze Azure Key Vault |
| Szyfrowanie danych po stronie klienta | - Szyfrowanie po stronie klienta za pomocą usługi Azure Key Vault |
| Protokół TLS bez klucza | — Używanie kluczowych bibliotek klienckich |