Sobre chaves
O Azure Key Vault fornece dois tipos de recursos para armazenar e gerenciar chaves de criptografia. Os cofres dão suporte a chaves protegidas por software e por HSM (Módulo de segurança de hardware). HSMs gerenciados dão suporte apenas a chaves protegidas por HSM.
| Tipo de recurso | Métodos de proteção da chave | URL base do ponto de extremidade do plano de dados |
|---|---|---|
| Cofres | Protegida por software e Protegida por HSM (com SKU Premium) |
https://{vault-name}.vault.azure.net |
| HSMs gerenciados | Protegida por HSM | https://{hsm-name}.managedhsm.azure.net |
- Cofres – os cofres oferecem uma solução de gerenciamento de chaves altamente disponível, de baixo custo, fácil de implantar, multilocatário (quando disponível) adequada para os cenários de aplicativos de nuvem mais comuns.
- HSMs gerenciados – o HSM gerenciado oferece HSMs altamente disponíveis, de locatário único, com resiliência de zona (quando disponível), para armazenar e gerenciar suas chaves de criptografia. É mais adequado para aplicativos e cenários de uso que lidam com chaves de alto valor. Também ajuda a alcançar os requisitos mais rigorosos de segurança, conformidade e regulamentação.
Observação
Os cofres também permitem que você armazene e gerencie vários tipos de objetos, como segredos, certificados e chaves de conta de armazenamento, além das chaves criptográficas.
As chaves de criptografia no Key Vault são representadas como objetos de chave da Web JSON [JWK]. As especificações do JSON (JavaScript Object Notation) e do JOSE (JavaScript Object Signing and Encryption) são:
- Chave da Web JSON (JWK)
- Criptografia de Web JSON (JWE)
- Algoritmos da Web JSON (JWA)
- Assinatura da Web JSON (JWS)
As especificações de base JWK/JWA também são estendidas para habilitar tipos de chave exclusivos para as implementações do Azure Key Vault e de HSM Gerenciado.
As chaves HSM nos cofres são protegidas; As chaves de software não são protegidas por HSMs.
- As chaves armazenadas em cofres se beneficiam de proteção robusta usando HSM validado por FIPS 140. Existem duas plataformas HSM distintas disponíveis: 1, que protege versões de chave com FIPS 140-2 Nível 2 e 2, que protege chaves com HSMs FIPS 140-2 Nível 3, dependendo de quando a chave foi criada. Todas as novas chaves e versões de chave agora são criadas usando a plataforma 2 (exceto a área geográfica do Reino Unido). Para determinar qual plataforma HSM está protegendo uma versão de chave, obtenha seu hsmPlatform.
- O HSM gerenciado usa módulos HSM validados FIPS 140-2 Nível 3 para proteger suas chaves. Cada pool de HSM é uma instância de locatário única isolada com seu próprio domínio de segurança que fornece isolamento de criptografia completo em relação a todos os outros HSMs que compartilham a mesma infraestrutura de hardware.
Essas chaves são protegidas em pools de HSM de locatário único. Você pode importar uma RSA, EC e uma chave simétrica em forma flexível ou exportar de um dispositivo HSM com suporte. Você também pode gerar chaves em pools de HSM. Quando você importa chaves HSM usando o método descrito na especificação de BYOK (Bring Your Own Key), isso habilita o material de chave de transporte seguro em pools do HSM Gerenciado.
Para obter mais informações sobre fronteiras geográficas, consulte Microsoft Azure Trust Center
Tipos de chave e métodos de proteção
O Key Vault dá suporte a chaves de RSA e EC. O HSM Gerenciado dá suporte a chaves de RSA, EC e simétricas.
Chaves protegidas por HSM
| Tipo de chave | Cofres (somente SKU Premium) | HSMs gerenciados |
|---|---|---|
| EC-HSM: Chave de curva elíptica | Com suporte (P-256, P-384, P-521, secp256k1/P-256K) | Com suporte (P-256, secp256k1/P-256K, P-384, P-521) |
| RSA-HSM: Chave RSA | Com suporte (2.048 bits, 3.072 bits, 4.096 bits) | Com suporte (2.048 bits, 3.072 bits, 4.096 bits) |
| oct-HSM: chave simétrica | Sem suporte | Com suporte (128 bits, 192 bits, 256 bits) |
Chaves protegidas por software
| Tipo de chave | Cofres | HSMs gerenciados |
|---|---|---|
| RSA: chave RSA "protegida por software" | Com suporte (2.048 bits, 3.072 bits, 4.096 bits) | Sem suporte |
| EC: chave de Curva Elíptica "protegida por software" | Com suporte (P-256, P-384, P-521, secp256k1/P-256K) | Sem suporte |
Conformidade
| Tipo de chave e destino | Conformidade |
|---|---|
| Chaves protegidas por software (hsmPlatform 0) em cofres | FIPS 140-2 Nível 1 |
| Chaves protegidas hsmPlatform 1 em cofres (SKU Premium) | FIPS 140-2 Nível 2 |
| Chaves protegidas hsmPlatform 2 em cofres (SKU Premium) | FIPS 140-2 Nível 3 |
| As chaves no HSM Gerenciado são sempre protegidas por HSM | FIPS 140-2 Nível 3 |
Confira Tipos de chave, algoritmos e operações para obter detalhes sobre cada tipo de chave, algoritmo, operação, atributo e marcação.
Cenários de uso
| Quando usar | Exemplos |
|---|---|
| Criptografia de dados do lado do servidor do Azure para provedores de recursos integrados com chaves gerenciadas pelo cliente | - Criptografia do lado do servidor utilizando chaves gerenciadas pelo cliente no Azure Key Vault |
| Criptografia de dados do lado do cliente | - Criptografia do lado do cliente com o Azure Key Vault |
| TLS sem chave | – Usar a chave Bibliotecas de Clientes |