Сведения о ключах

Azure Key Vault предоставляет два типа ресурсов для хранения криптографических ключей и управления ими. Хранилища поддерживают ключи, защищенные программным обеспечением и защищенные HSM (аппаратный модуль безопасности). Управляемые модули HSM поддерживают только ключи, защищенные HSM.

Тип ресурса	Методы защиты ключа	Базовый URL-адрес конечной точки в плоскости данных
Хранилища	Защищенные программным обеспечением и Защищенные модулем HSM (с ценовой категорией Premium)	https://{имя_хранилища}.vault.azure.net
Управляемые модули HSM	Защищенные модулем HSM	https://{имя_hsm}.managedhsm.azure.net

• Хранилища — это недорогие, простые в развертывании, многоклиентские, устойчивые к отказу зоны (если доступно) и высокодоступные решения для управления ключами, которые отлично подходят для наиболее распространенных сценариев облачных приложений.
• Управляемые устройства HSM — это однотенантные устройства HSM с устойчивостью к отказу зоны (если доступно) и высоким уровнем доступности для хранения криптографических ключей и управления ими. Они лучше всего подходят для приложений и сценариев использования с особо ценными ключами. Также они помогают соблюдать наиболее строгие стандарты безопасности, условия соответствия и нормативные требования.

Примечание

Хранилища также позволяют хранить и администрировать не только криптографические ключи, но и объекты других типов, например секреты, сертификаты и ключи учетной записи хранения.

Ключи шифрования в Key Vault представлены объектами веб-ключей JSON (JWK). Спецификации JSON и JOSE:

• Веб-ключ JSON (JWK)
• Веб-шифрование JSON (JWE)
• Веб-алгоритмы JSON (JWA)
• Веб-подпись JSON (JWS)

Также расширены базовые спецификации JWK и JWA для поддержки типов ключей, специфичных для реализаций Azure Key Vault и "Управляемые устройства HSM".

Ключи, защищенные модулем HSM (или просто HSM-ключи), обрабатываются внутри HSM (аппаратный модуль защиты) и никогда не покидают границу защиты этого модуля.

• В хранилищах используются HSM, для которых подтверждено соответствие FIPS 140-2 уровня 2, для защиты HSM-ключей в общей внутренней инфраструктуре HSM.
• Для защиты ключей управляемые модули HSM используют модули HSM, для которых подтверждено соответствие стандарту FIPS 140-2 уровня 3. Каждый пул HSM является изолированным однотенантным экземпляром с собственным доменом безопасности, что обеспечивает полную изоляцию криптографии от всех других модулей HSM, использующих ту же аппаратную инфраструктуру.

Эти ключи защищены в однотенантных пулах HSM. Вы можете импортировать RSA, EC и симметричный ключ программными средствами или путем экспорта из поддерживаемого устройства HSM. Вы также можете создавать ключи в пулах HSM. При импорте HSM-ключей с использованием метода, который описан в спецификации BYOK (создание собственных ключей), вы можете безопасно перенести материал ключа в пулы управляемых устройств HSM.

Дополнительные сведения о географических ограничениях см. в центре управления безопасностью Microsoft Azure.

Типы ключей и методы защиты

Key Vault поддерживает ключи RSA и EC. Управляемые модули HSM поддерживают ключи RSA, EC и симметричные ключи.

Ключи, защищенные модулем HSM

Тип ключа	Хранилища (только ценовой категории "Премиум")	Управляемые модули HSM
EC-HSM. Ключ на основе эллиптической кривой	Поддерживается (P-256, P-384, P-521, secp256k1/P-256K)	Поддерживается (P-256, secp256k1/P-256K, P-384, P-521)
RSA-HSM. Ключ RSA	Поддерживается (2048-, 3072- и 4096-разрядная версии)	Поддерживается (2048-, 3072- и 4096-разрядная версии)
oct-HSM: симметричный ключ	Не поддерживается	Поддерживается (128-, 192- и 256-разрядная версии)

Ключи, защищенные программным обеспечением

Тип ключа	Хранилища	Управляемые модули HSM
RSA. Ключ RSA, защищенный программным обеспечением.	Поддерживается (2048-, 3072- и 4096-разрядная версии)	Не поддерживается
EC. Ключ на основе эллиптической кривой, защищенный программным обеспечением	Поддерживается (P-256, P-384, P-521, secp256k1/P-256K)	Не поддерживается

Соответствие нормативным требованиям

Тип и назначение ключа	Соответствие нормативным требованиям
Ключи, защищенные программным обеспечением, в хранилищах (цен. категории "Премиум" и "Стандартный")	FIPS 140-2 уровня 1
Ключи, защищенные модулем HSM, в хранилищах (цен. категория "Премиум")	FIPS 140-2 уровня 2
Ключи, защищенные модуле HSM, в управляемом модуле HSM	FIPS 140-2 уровня 3

Подробные сведения о типах ключей, алгоритмах, операциях, атрибутах и тегах см. в статье Типы ключей, алгоритмы и операции.

Сценарии использования

Назначение	Примеры
Шифрование данных на стороне сервера Azure для интегрированных поставщиков ресурсов с ключами, управляемыми клиентом	- Шифрование на стороне сервера с помощью управляемых пользователем ключей в Azure Key Vault
Шифрование данных на стороне клиента	- Шифрование на стороне клиента с использованием Azure Key Vault
Протокол TLS без ключей	Используйте основные клиентские библиотеки

Дальнейшие действия

• Управление ключами в Azure
• Сведения о Key Vault
• Сведения о службе "Управляемое устройство HSM"
• О секретах
• Сведения о сертификатах
• Обзор REST API Key Vault
• Аутентификация, запросы и ответы
• Руководство разработчика Azure Key Vault