Управление ключами в Azure

В Azure ключи шифрования могут управляться платформой или клиентом.

Ключи, управляемые платформой (PMK), — это ключи шифрования, которые создаются, хранятся и управляются в Azure. Клиенты не взаимодействуют с PMK. Ключи, используемые для шифрования неактивных данных Azure, например, являются PMK по умолчанию.

С другой стороны, ключи, управляемые клиентом (CMK), — это те ключи, которые можно читать, создавать, удалять, обновлять и (или) администрировать с помощью одного или нескольких клиентов. Ключи, хранящиеся в принадлежащем пользователю хранилище ключей или аппаратном модуле безопасности (HSM), являются ключей CMK. Создание собственных ключей (BYOK) — это сценарий с CMK, когда клиент импортирует (переносит) ключи из внешнего хранилища в службу управления ключами Azure (см. статью Azure Key Vault: спецификация BYOK).

Особым типом ключа, управляемого клиентом, является ключ шифрования ключа (KEK). KEK — это главный ключ, который управляет доступом к одному или нескольким ключам шифрования, которые сами зашифрованы.

Ключи, управляемые клиентом, могут храниться локально или, что происходит чаще, в облачной службе управления ключами.

Службы управления ключами Azure

Azure предлагает несколько решений для хранения ключей и управления ими в облаке, включая Azure Key Vault, Управляемый модуль HSM Azure, Выделенное устройство HSM и Модуль HSM для платежей. Эти варианты различаются уровнем соответствия FIPS, затратами на управление и предполагаемыми приложениями.

Azure Key Vault (уровень "Стандартный") — соответствующая стандарту FIPS 140-2 уровня 1 многопользовательская облачная служба управления ключами, которую также можно использовать для хранения секретов и сертификатов. Ключи, хранящиеся в Azure Key Vault, защищены программным обеспечением и могут использоваться для шифрования неактивных данных и пользовательских приложений. Key Vault предоставляет современный API и широчайший выбор региональных развертываний и интеграций со службами Azure. Дополнительные сведения см. в статье Сведения об Azure Key Vault.

Azure Key Vault (уровень "Премиум") — соответствующее стандарту FIPS 140-2 уровня 2 мультитенантное предложение HSM, которое можно использовать для хранения ключей в защищенной аппаратной границе. Корпорация Майкрософт использует базовый модуль HSM и управляет им, а ключи, хранящиеся в Azure Key Vault уровня "Премиум", можно использовать для шифрования неактивных данных и пользовательских приложений. Key Vault уровня "Премиум" также предоставляет современный API и широчайший выбор региональных развертываний и интеграций со службами Azure. Дополнительные сведения см. в статье Сведения об Azure Key Vault.

Управляемый модуль HSM Azure — соответствующее стандарту FIPS 140-2 уровня 3 однотенантное предложение HSM, которое предоставляет клиентам полный контроль над HSM для шифрования неактивных данных, а также использования SSL без ключа и пользовательских приложений. Клиенты получают пул из трех секций HSM, которые вместе действуют как одно логическое высокодоступное устройство HSM, перед которым стоит служба, предоставляющая функции шифрования через API Key Vault. Корпорация Майкрософт занимается подготовкой, исправлением, обслуживанием и аварийным переключением аппаратных модулей HSM, но не имеет доступа к самим ключам, так как служба выполняется в инфраструктуре конфиденциальных вычислений Azure. Управляемый модуль HSM интегрирован с такими службами PaaS, как Azure SQL, служба хранилища Azure и Azure Information Protection, и предлагает поддержку TLS без ключа с использованием F5 и Nginx. Дополнительные сведения см. в статье Общие сведения об Управляемом модуле HSM Azure Key Vault.

Выделенное устройство HSM Azure — соответствующее стандарту FIPS 140-2 уровня 3 предложение HSM без операционной системы, которое позволяет клиентам арендовать устройство HSM общего назначения, расположенное в центрах обработки данных Майкрософт. Клиент имеет полное право собственности на устройство HSM и несет ответственность за установку исправлений и обновление микропрограммы при необходимости. У корпорации Майкрософт нет разрешений на устройство или доступ к материалу ключа, а служба Выделенного устройства HSM не интегрирована ни с какими предложениями Azure PaaS. Клиенты могут взаимодействовать с HSM с использованием API PKCS#11, JCE/JCA и KSP/CNG. Это предложение наиболее полезно для устаревших рабочих нагрузок lift-and-shift, PKI, разгрузки SSL и TLS без ключа (поддерживаемые интеграции включают F5, Nginx, Apache, Palo Alto, IBM GW и пр.), приложений OpenSSL, Oracle TDE и Azure SQL TDE (IaaS). Дополнительные сведения см. в статье Общие сведения об Управляемом модуле HSM Azure Key Vault.

Модуль HSM для платежей Azure — соответствующее стандарту FIPS 140-2 уровня 3, PCI HSM версии 3 предложение без операционной системы, которое позволяет клиентам арендовать модуль HSM для платежей в центрах обработки данных Майкрософт для платежных операций, включая обработку платежей, выдачу платежных учетных данных, защиту ключей и данных проверки подлинности, а также защиту конфиденциальных данных. Служба соответствует стандартам PCI DSS и PCI 3DS. Модуль HSM для платежей Azure предлагает однотенантные модули HSM для клиентов, которым требуется полный административный контроль и монопольный доступ к HSM. Как только HSM выделяется клиенту, корпорация Майкрософт теряет доступ к данным клиента. Аналогичным образом, когда HSM больше не требуется, данные клиента обнуляются и стираются, как только HSM освобождается, чтобы обеспечить полную конфиденциальность и безопасность. Дополнительные сведения см. в статье Сведения о Модуле HSM для платежей Azure.

Цены

Плата за Azure Key Vault уровней "Стандартный" и "Премиум" выставляется на основе транзакций с дополнительной ежемесячной оплатой за ключ для аппаратных ключей уровня "Премиум". Плата за Управляемый модуль HSM, Выделенное устройство HSM и Модуль HSM для платежей не взимается на основе транзакций. Это постоянно используемые устройства, тарифицируемые по фиксированной почасовой ставке. Подробные сведения о ценах см. в статьях Цены на Key Vault, Цены на Выделенное устройство HSMи Цены на Модуль HSM для платежей.

Ограничения службы

Управляемый модуль HSM, Выделенное устройство HSM и Модуль HSM для платежей предлагают выделенную емкость. Key Vault уровней "Стандартный" и "Премиум" — это мультитенантное предложение с ограничениями регулирования. Дополнительные сведения см. в статье Ограничения службы Key Vault.

Шифрование неактивных данных

Azure Key Vault и Управляемый модуль Azure Key Vault имеют интеграцию со службами Azure и Microsoft 365 для ключей, управляемых клиентом. Это означает, что клиенты могут использовать свои собственные ключи в Azure Key Vault и Управляемом модуле Azure Key Vault для шифрования данных, хранящихся в этих службах. Выделенное устройство HSM и Модуль HSM для платежей представляют собой предложения IaaS и не обеспечивают интеграцию со службами Azure. Общие сведения о шифровании неактивных данных с использованием Azure Key Vault и Управляемого модуля HSM см. в статье Шифрование неактивных данных в Azure.

Программные интерфейсы

Выделенное устройство HSM и Модуль HSM для платежей поддерживают API PKCS#11, JCE/JCA и KSP/CNG, а Azure Key Vault и Управляемый модуль HSM — нет. Azure Key Vault и Управляемый модуль HSM используют Azure Key Vault REST API и предлагают поддержку пакетов SDK. Дополнительные сведения об API Azure Key Vault см. в статье Справочник по Azure Key Vault REST API.