Zarządzanie kluczami na platformie Azure
Uwaga
Zero Trust to strategia zabezpieczeń obejmująca trzy zasady: "Sprawdź jawnie", "Użyj dostępu do najmniejszych uprawnień" i "Przyjmij naruszenie". Ochrona danych, w tym zarządzanie kluczami, obsługuje zasadę "użyj dostępu z najmniejszymi uprawnieniami". Aby uzyskać więcej informacji, zobacz Co to jest Zero Trust?
Na platformie Azure klucze szyfrowania mogą być zarządzane przez platformę lub zarządzane przez klienta.
Klucze zarządzane przez platformę (PMK) to klucze szyfrowania generowane, przechowywane i zarządzane całkowicie przez platformę Azure. Klienci nie wchodzą w interakcje z pakietami PMK. Klucze używane dla usługi Azure Data Encryption-at-Rest, na przykład, są domyślnie kluczami PMKs.
Z drugiej strony klucze zarządzane przez klienta to klucze do odczytu, tworzenia, usuwania, aktualizowania i/lub administrowania przez co najmniej jednego klienta. Klucze przechowywane w magazynie kluczy należących do klienta lub sprzętowym module zabezpieczeń (HSM) są kluczami CMK. Bring Your Own Key (BYOK) to scenariusz klucza zarządzanego przez klienta, w którym klient importuje (przenosi) klucze z lokalizacji zewnętrznej magazynu do usługi zarządzania kluczami platformy Azure (zobacz Azure Key Vault: Bring your own key specification( Bring your own key specification).
Określony typ klucza zarządzanego przez klienta to "klucz szyfrowania kluczy" (KEK). Klucz KEK to klucz podstawowy, który kontroluje dostęp do co najmniej jednego klucza szyfrowania, które są szyfrowane.
Klucze zarządzane przez klienta można przechowywać lokalnie lub częściej w usłudze zarządzania kluczami w chmurze.
Usługi zarządzania kluczami platformy Azure
Platforma Azure oferuje kilka opcji przechowywania kluczy i zarządzania nimi w chmurze, w tym azure Key Vault, modułu HSM zarządzanego przez platformę Azure, dedykowanego modułu HSM platformy Azure i modułu HSM płatności platformy Azure. Te opcje różnią się pod względem poziomu zgodności ze standardem FIPS, nakładem pracy nad zarządzaniem i zamierzonymi aplikacjami.
Aby zapoznać się z omówieniem każdej usługi zarządzania kluczami i kompleksowym przewodnikiem dotyczącym wybierania odpowiedniego rozwiązania do zarządzania kluczami, zobacz How to Choose the Right Key Management Solution (Jak wybrać odpowiednie rozwiązanie do zarządzania kluczami).
Cennik
Warstwy Azure Key Vault w warstwie Standardowa i Premium są rozliczane transakcyjnie z dodatkową opłatą miesięczną za klucz dla kluczy opartych na sprzęcie w warstwie Premium. Zarządzany moduł HSM, dedykowany moduł HSM i moduł HSM Płatności nie są naliczane w sposób transakcyjny. Zamiast tego są to urządzenia zawsze używane, które są rozliczane według stałej stawki godzinowej. Aby uzyskać szczegółowe informacje o cenach, zobacz cennik Key Vault, cennik dedykowanego modułu HSM i cennik modułu HSM płatności.
Limity usługi
Zarządzany moduł HSM, dedykowany moduł HSM i moduł HSM Płatności oferują dedykowaną pojemność. Key Vault Standard i Premium to oferty z wieloma dzierżawami i mają limity ograniczania przepustowości. Aby uzyskać informacje o limitach usług, zobacz Key Vault limity usług.
Szyfrowanie magazynowane
Zarządzane moduły HSM platformy Azure Key Vault i Azure Key Vault mają integrację z usługami platformy Azure i usługą Microsoft 365 dla kluczy zarządzanych przez klienta, co oznacza, że klienci mogą używać własnych kluczy na platformie Azure Key Vault i zarządzanego przez klucz platformy Azure modułu HSM na potrzeby szyfrowania danych przechowywanych w tych usługach. Dedykowany moduł HSM i moduł HSM Płatności to oferty infrastruktury jako usługi i nie oferują integracji z usługami platformy Azure. Aby zapoznać się z omówieniem szyfrowania magazynowanych za pomocą usługi Azure Key Vault i zarządzanego modułu HSM, zobacz Azure Data Encryption-at-Rest.
Interfejsy API
Dedykowany moduł HSM i moduł HSM Płatności obsługują interfejsy API PKCS#11, JCE/JCA i KSP/CNG, ale moduły HSM platformy Azure Key Vault i zarządzane moduły HSM nie są obsługiwane. Usługa Azure Key Vault i zarządzany moduł HSM korzystają z interfejsu API REST usługi Azure Key Vault i oferują obsługę zestawu SDK. Aby uzyskać więcej informacji na temat interfejsu API usługi Azure Key Vault, zobacz Azure Key Vault REST API Reference (Dokumentacja interfejsu API REST usługi Azure Key Vault).