Gerenciamento de chaves no Azure
Observação
Confiança Zero é uma estratégia de segurança composta por três princípios: "Verificar explicitamente", "Usar acesso de privilégios mínimos" e "Assumir a violação". A proteção de dados, incluindo o gerenciamento de chaves, dá suporte ao princípio de "usar acesso de privilégios mínimos". Para obter mais informações, consulte O que é Confiança Zero?
No Azure, as chaves de criptografia podem ser gerenciadas pela plataforma ou pelo cliente.
As chaves de criptografia gerenciadas pela plataforma (PMKs) são chaves de criptografia geradas, armazenadas e gerenciadas inteiramente pelo Azure. Os clientes não interagem com as PMKs. As chaves usadas para a Criptografia em repouso de Dados do Azure, por exemplo, são PMKs por padrão.
As chaves gerenciadas pelo cliente (CMKs), por outro lado, são chaves que podem ser lidas, criadas, excluídas, atualizadas e/ou administradas por um ou mais clientes. As chaves armazenadas em um cofre de chaves de propriedade do cliente ou um HSM (módulo de segurança de hardware) são CMKs. O BYOK (Bring Your Own Key) é um cenário de CMK no qual um cliente importa (traz) chaves de um local de armazenamento externo para um serviço de gerenciamento de chaves do Azure (confira Azure Key Vault: traga sua própria especificação de chave).
Um tipo específico de chave gerenciada pelo cliente é a "chave de criptografia de chave" (KEK). A KEK é uma chave primária, que controla o acesso a uma ou mais chaves de criptografia que também são criptografadas.
As chaves gerenciadas pelo cliente podem ser armazenadas no local ou, mais comumente, em um serviço de gerenciamento de chaves na nuvem.
Serviços de gerenciamento de chaves do Azure
O Azure oferece várias opções para armazenar e gerenciar suas chaves na nuvem, incluindo Azure Key Vault, HSM Gerenciado do Azure, HSM Dedicado do Azure e HSM de Pagamento do Azure. Essas opções diferem em termos de nível de conformidade com o padrão FIPS, sobrecarga de gerenciamento e aplicativos pretendidos.
Para obter uma visão geral de cada serviço de gerenciamento de chaves e um guia abrangente para escolher a solução de gerenciamento de chaves certa para você, confira Como escolher a solução de gerenciamento de chaves correta.
Preços
As camadas Standard e Premium do Azure Key Vault são cobradas com base transacional, com um custo mensal adicional por chave para chaves com suporte de hardware premium. O HSM Gerenciado, o HSM Dedicado e o HSM de Pagamentos não são cobrados com base em transação; em vez disso, eles são dispositivos sempre em uso que são cobrados a uma taxa fixa por hora. Para obter informações detalhadas sobre o preço, confira Preços do Key Vault, Preços de HSM Dedicado e Preços do HSM de Pagamento.
Limites de Serviço
O HSM Gerenciado, o HSM Dedicado e o HSM de Pagamentos oferecem capacidade dedicada. O Key Vault Standard e Premium são ofertas de vários locatários e têm limitações. Para conhecer os limites do serviço, confira Limites do serviço do Key Vault.
Criptografia em repouso
O Azure Key Vault e HSM Gerenciado do Azure Key Vault têm integrações com os Serviços do Azure e o Microsoft 365 para chaves gerenciadas pelo cliente, o que significa que os clientes podem usar suas próprias chaves no Azure Key Vault e no HSM Gerenciado do Azure Key Vault para criptografia em repouso de dados armazenados nesses serviços. O HSM Dedicado e o HSM de Pagamentos são ofertas de infraestrutura como serviço e não oferecem integrações com os Serviços do Azure. Para uma visão geral da criptografia em repouso com o Azure Key Vault e o HSM Gerenciado, confira Criptografia de dados em repouso do Azure.
APIs
O HSM Dedicado e o HSM de Pagamentos oferecem suporte às APIs PKCS#11, JCE/JCA e KSP/CNG, mas o Azure Key Vault e o HSM Gerenciado não. Azure Key Vault e HSM Gerenciado usam a API REST do Azure Key Vault e oferecem suporte ao SDK. Para obter mais informações sobre a API do Azure Key Vault, confira Referência da API REST do Azure Key Vault.