Acerca de chaves
O Azure Key Vault fornece dois tipos de recursos para armazenar e gerenciar chaves criptográficas. Os cofres suportam chaves protegidas por software e HSM (Hardware Security Module). Os HSMs gerenciados suportam apenas chaves protegidas por HSM.
| Tipo de recurso | Principais métodos de proteção | URL da base de ponto de extremidade do plano de dados |
|---|---|---|
| Cofres | Protegido por software e Protegido por HSM (com SKU Premium) |
https://{nome do cofre}.vault.azure.net |
| HSMs gerenciados | Protegido por HSM | https://{hsm-name}.managedhsm.azure.net |
- Cofres - Os cofres fornecem uma solução de gerenciamento de chaves de baixo custo, fácil de implantar, multilocatário, resiliente a zonas (quando disponível) e altamente disponível, adequada para os cenários mais comuns de aplicativos em nuvem.
- HSMs gerenciados - O HSM gerenciado fornece HSMs de locatário único, resilientes a zonas (quando disponíveis) e altamente disponíveis para armazenar e gerenciar suas chaves criptográficas. Mais adequado para aplicativos e cenários de uso que lidam com chaves de alto valor. Também ajuda a atender aos mais rigorosos requisitos de segurança, conformidade e regulamentação.
Nota
Os cofres também permitem armazenar e gerenciar vários tipos de objetos, como segredos, certificados e chaves de conta de armazenamento, além de chaves criptográficas.
As chaves criptográficas no Cofre da Chave são representadas como objetos JSON Web Key [JWK]. As especificações JavaScript Object Notation (JSON) e JavaScript Object Signing and Encryption (JOSE) são:
- Chave Web JSON (JWK)
- Criptografia da Web JSON (JWE)
- Algoritmos da Web JSON (JWA)
- Assinatura Web JSON (JWS)
As especificações JWK/JWA base também são estendidas para habilitar tipos de chave exclusivos para o Azure Key Vault e implementações de HSM gerenciado.
As chaves HSM nos cofres estão protegidas; As chaves de software não são protegidas por HSMs.
- As chaves armazenadas em cofres se beneficiam de proteção robusta usando HSM validado pelo FIPS 140. Existem duas plataformas HSM distintas disponíveis: 1, que protege as principais versões com FIPS 140-2 Nível 2, e 2, que protege as chaves com FIPS 140-2 Nível 3 HSMs, dependendo de quando a chave foi criada. Todas as novas chaves e versões de chaves são agora criadas usando a plataforma 2 (exceto a geografia do Reino Unido). Para determinar qual plataforma HSM está protegendo uma versão chave, obtenha a hsmPlatform.
- O HSM gerenciado usa módulos HSM validados pelo FIPS 140-2 Nível 3 para proteger suas chaves. Cada pool de HSM é uma instância isolada de locatário único com seu próprio domínio de segurança, fornecendo isolamento criptográfico completo de todos os outros HSMs que compartilham a mesma infraestrutura de hardware.
Essas chaves são protegidas em pools HSM de locatário único. Você pode importar uma chave RSA, EC e simétrica, em formato flexível ou exportando de um dispositivo HSM compatível. Você também pode gerar chaves em pools de HSM. Quando você importa chaves HSM usando o método descrito na especificação BYOK (traga sua própria chave), ele habilita o material seguro da chave de transporte para pools HSM gerenciados.
Para obter mais informações sobre limites geográficos, consulte Central de Confiabilidade do Microsoft Azure
Principais tipos e métodos de proteção
O Key Vault suporta chaves RSA e EC. O HSM gerenciado suporta RSA, EC e chaves simétricas.
Chaves protegidas por HSM
| Tipo de chave | Cofres (apenas SKU Premium) | HSMs gerenciados |
|---|---|---|
| EC-HSM: Chave da curva elíptica | Suportado (P-256, P-384, P-521, secp256K1/P-256K) | Suportado (P-256, secp256K1/P-256K, P-384, P-521) |
| RSA-HSM: chave RSA | Suportado (2048 bits, 3072 bits, 4096 bits) | Suportado (2048 bits, 3072 bits, 4096 bits) |
| oct-HSM: Chave simétrica | Não suportado | Suportado (128 bits, 192 bits, 256 bits) |
Chaves protegidas por software
| Tipo de chave | Cofres | HSMs gerenciados |
|---|---|---|
| RSA: Chave RSA "protegida por software" | Suportado (2048 bits, 3072 bits, 4096 bits) | Não suportado |
| EC: Tecla de curva elíptica "protegida por software" | Suportado (P-256, P-384, P-521, secp256K1/P-256K) | Não suportado |
Conformidade
| Tipo de chave e destino | Conformidade |
|---|---|
| Chaves protegidas por software (hsmPlatform 0) em cofres | FIPS 140-2 Nível 1 |
| Chaves protegidas hsmPlatform 1 em cofres (Premium SKU) | FIPS 140-2 Level 2 |
| Chaves protegidas hsmPlatform 2 em cofres (Premium SKU) | FIPS 140-2 Nível 3 |
| As chaves no HSM gerenciado são sempre protegidas pelo HSM | FIPS 140-2 Nível 3 |
Consulte Tipos de chave, algoritmos e operações para obter detalhes sobre cada tipo de chave, algoritmos, operações, atributos e tags.
Cenários de uso
| Quando utilizar o | Exemplos |
|---|---|
| Criptografia de dados do lado do servidor do Azure para provedores de recursos integrados com chaves gerenciadas pelo cliente | - Criptografia do lado do servidor usando chaves gerenciadas pelo cliente no Cofre de Chaves do Azure |
| Criptografia de dados do lado do cliente | - Criptografia do lado do cliente com o Azure Key Vault |
| TLS sem chave | - Use as principais bibliotecas de clientes |