Сведения о ключах

Azure Key Vault предоставляет два типа ресурсов для хранения криптографических ключей и управления ими. Хранилища поддерживают ключи, защищенные программным обеспечением и защищенные HSM (аппаратный модуль безопасности). Управляемые модули HSM поддерживают только ключи, защищенные HSM.

Тип ресурса	Методы защиты ключа	Базовый URL-адрес конечной точки в плоскости данных
Хранилища	Защищенные программным обеспечением и защищенные HSM (типы ключей HSM в SKU класса Premium)	https://{имя_хранилища}.vault.azure.net
Управляемые модули HSM	Защищенные модулем HSM	https://{имя_hsm}.managedhsm.azure.net

• Хранилища — это недорогие, простые в развертывании, многоклиентские, устойчивые к отказу зоны (если доступно) и высокодоступные решения для управления ключами, которые отлично подходят для наиболее распространенных сценариев облачных приложений.
• Управляемые HSM — Управляемый HSM предоставляет однотенантные высокодоступные HSM для хранения криптографических ключей и управления ими. Они лучше всего подходят для приложений и сценариев использования с особо ценными ключами. Также они помогают соблюдать наиболее строгие стандарты безопасности, условия соответствия и нормативные требования.

Примечание.

Хранилища также позволяют хранить и администрировать не только криптографические ключи, но и объекты других типов, например секреты, сертификаты и ключи учетной записи хранения.

Ключи шифрования в Key Vault представлены объектами веб-ключей JSON (JWK). Спецификации JSON и JOSE:

• Веб-ключ JSON (JWK)
• Веб-шифрование JSON (JWE)
• Веб-алгоритмы JSON (JWA)
• Веб-подпись JSON (JWS)

Также расширены базовые спецификации JWK и JWA для поддержки типов ключей, специфичных для реализаций Azure Key Vault и "Управляемые устройства HSM".

Ключи HSM в хранилищах защищены HSM; Ключи программного обеспечения не защищены HSM.

• Ключи, хранящиеся в хранилищах, получают преимущества надежной защиты с помощью проверенного HSM FIPS 140. Доступны две разные платформы HSM: 1, которая защищает ключевые версии с помощью FIPS 140-2 уровня 2 и 2, которая защищает ключи с помощью FIPS 140-2 уровня 3 HSM в зависимости от того, когда был создан ключ. Теперь все новые ключи и ключевые версии создаются с помощью платформы 2 (за исключением регионов Великобритании). Чтобы определить, какая платформа HSM защищает версию ключа, получите его hsmPlatform.
• Для защиты ключей управляемые модули HSM используют модули HSM, для которых подтверждено соответствие стандарту FIPS 140-2 уровня 3. Каждый пул HSM является изолированным однотенантным экземпляром с собственным доменом безопасности, что обеспечивает полную изоляцию криптографии от всех других модулей HSM, использующих ту же аппаратную инфраструктуру. Управляемые ключи HSM защищены в пулах HSM с одним клиентом. Вы можете импортировать RSA, EC и симметричный ключ программными средствами или путем экспорта из поддерживаемого устройства HSM. Вы также можете создавать ключи в пулах HSM. При импорте HSM-ключей с использованием метода, который описан в спецификации BYOK (создание собственных ключей), вы можете безопасно перенести материал ключа в пулы управляемых устройств HSM.

Дополнительные сведения о географических ограничениях см. в центре управления безопасностью Microsoft Azure.

Типы ключей и методы защиты

Key Vault поддерживает ключи RSA и EC. Управляемые модули HSM поддерживают ключи RSA, EC и симметричные ключи.

Ключи, защищенные модулем HSM

Тип ключа	Хранилища (только ценовой категории "Премиум")	Управляемые модули HSM
EC-HSM: аппаратный ключ эллиптической кривой.	Поддерживается (P-256, P-384, P-521, secp256k1/P-256K)	Поддерживается (P-256, secp256k1/P-256K, P-384, P-521)
RSA-HSM: ключ RSA	Поддерживается (2048-, 3072- и 4096-разрядная версии)	Поддерживается (2048-, 3072- и 4096-разрядная версии)
oct-HSM: симметричный ключ	Не поддерживается	Поддерживается (128-, 192- и 256-разрядная версии)

Ключи, защищенные с помощью ПО

Тип ключа	Хранилища	Управляемые модули HSM
RSA: ключ RSA, защищенный программным обеспечением.	Поддерживается (2048-, 3072- и 4096-разрядная версии)	Не поддерживается
EC: ключ на основе эллиптической кривой, защищенный программным обеспечением	Поддерживается (P-256, P-384, P-521, secp256k1/P-256K)	Не поддерживается

Соответствие нормативным требованиям

Тип и назначение ключа	Соответствие нормативным требованиям
Ключи, защищенные программным обеспечением (hsmPlatform 0) в хранилищах	FIPS 140-2 уровня 1
HsmPlatform 1 защищенных ключей в хранилищах (SKU уровня "Премиум")	FIPS 140-2 уровня 2
HsmPlatform 2 защищенных ключей в хранилищах (SKU уровня "Премиум")	FIPS 140-2 уровня 3
Ключи в управляемом HSM всегда защищены HSM	FIPS 140-2 уровня 3

Подробные сведения о типах ключей, алгоритмах, операциях, атрибутах и тегах см. в статье Типы ключей, алгоритмы и операции.

Сценарии использования

Когда использовать	Примеры
Шифрование данных на стороне сервера Azure для интегрированных поставщиков ресурсов с ключами, управляемыми клиентом	- Шифрование на стороне сервера с помощью управляемых пользователем ключей в Azure Key Vault
Шифрование данных на стороне клиента	- Шифрование на стороне клиента с использованием Azure Key Vault
Протокол TLS без ключей	Используйте основные клиентские библиотеки

Следующие шаги

• Управление ключами в Azure
• Сведения о Key Vault
• Сведения о службе "Управляемое устройство HSM"
• О секретах
• Сведения о сертификатах
• Обзор REST API Key Vault
• Аутентификация, запросы и ответы
• Руководство разработчика Azure Key Vault