Управление ключами в Azure
Примечание
Стратегия "Никому не доверяй " — это стратегия безопасности, состоящая из трех принципов: "Проверить явным образом", "Использовать доступ с минимальными привилегиями" и "Предполагать нарушение безопасности". Защита данных, включая управление ключами, поддерживает принцип "использовать доступ с минимальными привилегиями". Дополнительные сведения см. в статье Что такое "Никому не доверяй"?
В Azure ключи шифрования могут управляться платформой или клиентом.
Ключи, управляемые платформой (PMK), — это ключи шифрования, созданные, сохраненные и полностью управляемые Azure. Клиенты не взаимодействуют с PMK. Ключи, используемые для шифрования неактивных данных Azure, например, являются PMK по умолчанию.
С другой стороны, ключи, управляемые клиентом (CMK), — это ключи, считываемые, созданные, удаленные, обновленные и (или) администрируемые одним или несколькими клиентами. Ключи, хранящиеся в принадлежащем пользователю хранилище ключей или аппаратном модуле безопасности (HSM), являются ключей CMK. Создание собственных ключей (BYOK) — это сценарий с CMK, когда клиент импортирует (переносит) ключи из внешнего хранилища в службу управления ключами Azure (см. статью Azure Key Vault: спецификация BYOK).
Определенным типом ключа, управляемого клиентом, является ключ шифрования ключей (KEK). KEK — это первичный ключ, который управляет доступом к одному или нескольким ключам шифрования, которые сами зашифрованы.
Ключи, управляемые клиентом, могут храниться локально или, что происходит чаще, в облачной службе управления ключами.
Службы управления ключами Azure
Azure предлагает несколько вариантов хранения ключей и управления ими в облаке, включая Azure Key Vault, управляемый модуль HSM Azure, выделенный модуль HSM Azure и модуль HSM для оплаты Azure. Эти варианты различаются уровнем соответствия FIPS, затратами на управление и предполагаемыми приложениями.
Обзор каждой службы управления ключами и полное руководство по выбору подходящего решения для управления ключами см. в статье Выбор правильного решения для управления ключами.
Цены
Плата за Azure Key Vault уровней "Стандартный" и "Премиум" выставляется на основе транзакций с дополнительной ежемесячной оплатой за ключ для аппаратных ключей уровня "Премиум". Управляемые устройства HSM, выделенные устройства HSM и Платежи HSM не взимаются по транзакционной основе. Вместо этого они являются постоянно используемыми устройствами, счета за которые выставляются по фиксированной почасовой ставке. Подробные сведения о ценах см. в статьях Цены на Key Vault, Цены на Выделенное устройство HSMи Цены на Модуль HSM для платежей.
Ограничения службы
Управляемый модуль HSM, Выделенное устройство HSM и Модуль HSM для платежей предлагают выделенную емкость. Key Vault уровней "Стандартный" и "Премиум" — это мультитенантное предложение с ограничениями регулирования. Дополнительные сведения см. в статье Ограничения службы Key Vault.
Шифрование неактивных данных
Azure Key Vault и Управляемый модуль Azure Key Vault имеют интеграцию со службами Azure и Microsoft 365 для ключей, управляемых клиентом. Это означает, что клиенты могут использовать свои собственные ключи в Azure Key Vault и Управляемом модуле Azure Key Vault для шифрования данных, хранящихся в этих службах. Выделенное устройство HSM и Модуль HSM для платежей представляют собой предложения IaaS и не обеспечивают интеграцию со службами Azure. Общие сведения о шифровании неактивных данных с использованием Azure Key Vault и Управляемого модуля HSM см. в статье Шифрование неактивных данных в Azure.
Программные интерфейсы
Выделенное устройство HSM и Модуль HSM для платежей поддерживают API PKCS#11, JCE/JCA и KSP/CNG, а Azure Key Vault и Управляемый модуль HSM — нет. Azure Key Vault и Управляемый модуль HSM используют Azure Key Vault REST API и предлагают поддержку пакетов SDK. Дополнительные сведения об API Azure Key Vault см. в статье Справочник по Azure Key Vault REST API.