Gestão de chaves no Azure
Nota
Confiança Zero é uma estratégia de segurança que inclui três princípios: "Verificar explicitamente", "Utilizar acesso com menos privilégios" e "Assumir violação". A proteção de dados, incluindo a gestão de chaves, suporta o princípio "utilizar menos acesso privilegiado". Para obter mais informações, consulte O que é Confiança Zero?
No Azure, as chaves de encriptação podem ser geridas pela plataforma ou pelo cliente.
As chaves geridas pela plataforma (PMKs) são chaves de encriptação geradas, armazenadas e geridas inteiramente pelo Azure. Os clientes não interagem com PMKs. As chaves utilizadas para o Azure Data Encryption-at-Rest, por exemplo, são PMKs por predefinição.
As chaves geridas pelo cliente (CMK), por outro lado, são chaves de leitura, criação, eliminação, atualização e/ou administradas por um ou mais clientes. As chaves armazenadas num cofre de chaves pertencente ao cliente ou num módulo de segurança de hardware (HSM) são CMKs. Bring Your Own Key (BYOK) é um cenário CMK no qual um cliente importa (traz) chaves de uma localização de armazenamento externa para um serviço de gestão de chaves do Azure (veja a especificação Azure Key Vault: Bring your own key specification).
Um tipo específico de chave gerida pelo cliente é a "chave de encriptação de chaves" (KEK). Uma KEK é uma chave primária que controla o acesso a uma ou mais chaves de encriptação que são encriptadas por si mesmas.
As chaves geridas pelo cliente podem ser armazenadas no local ou, mais frequentemente, num serviço de gestão de chaves na cloud.
Serviços de gestão de chaves do Azure
O Azure oferece várias opções para armazenar e gerir as chaves na cloud, incluindo o Azure Key Vault, o Azure Managed HSM, o Azure Dedicated HSM e o Azure Payment HSM. Estas opções diferem em termos do nível de conformidade FIPS, da sobrecarga de gestão e das aplicações pretendidas.
Para obter uma descrição geral de cada serviço de gestão de chaves e um guia abrangente para escolher a solução de gestão de chaves certa para si, consulte Como Escolher a Solução de Gestão de Chaves Certa.
Preços
Os escalões Azure Key Vault Standard e Premium são faturados numa base transacional, com um custo mensal adicional por chave para chaves suportadas por hardware premium. O HSM Gerido, o HSM Dedicado e o HSM Pagamentos não cobram numa base transacional; em vez disso, são dispositivos sempre em utilização que são faturados a uma taxa horária fixa. Para obter informações detalhadas sobre preços, veja preços de Key Vault, Preços de HSM dedicados e preços do HSM de Pagamento.
Limites do Serviço
O HSM Gerido, o HSM Dedicado e o Pagamentos HSM oferecem capacidade dedicada. Key Vault Standard e Premium são ofertas multi-inquilinos e têm limites de limitação. Para obter os limites de serviço, veja Key Vault limites de serviço.
Encriptação Inativa
O Azure Key Vault e o Azure Key Vault Managed HSM têm integrações com os Serviços do Azure e o Microsoft 365 para Chaves Geridas pelo Cliente, o que significa que os clientes podem utilizar as suas próprias chaves no Azure Key Vault e no Azure Key Managed HSM para encriptação no resto dos dados armazenados nestes serviços. O HSM dedicado e Pagamentos HSM são ofertas de Infraestrutura como Serviço e não oferecem integrações com os Serviços do Azure. Para obter uma descrição geral da encriptação inativa com o Azure Key Vault e o HSM Gerido, veja Azure Data Encryption-at-Rest.
APIs
O HSM dedicado e Pagamentos HSM suportam as APIs PKCS#11, JCE/JCA e KSP/CNG, mas o Azure Key Vault e o HSM Gerido não. O Azure Key Vault e o HSM Gerido utilizam a API REST do Azure Key Vault e oferecem suporte do SDK. Para obter mais informações sobre a API do Azure Key Vault, veja Referência da API REST do Azure Key Vault.