Сведения о ключах
Azure Key Vault предоставляет два типа ресурсов для хранения криптографических ключей и управления ими. Хранилища поддерживают ключи, защищенные программным обеспечением и защищенные HSM (аппаратный модуль безопасности). Управляемые модули HSM поддерживают только ключи, защищенные HSM.
| Тип ресурса | Методы защиты ключа | Базовый URL-адрес конечной точки в плоскости данных |
|---|---|---|
| Хранилища | Защищенные программным обеспечением и Защищенные модулем HSM (с ценовой категорией Premium) |
https://{имя_хранилища}.vault.azure.net |
| Управляемые модули HSM | Защищенные модулем HSM | https://{имя_hsm}.managedhsm.azure.net |
- Хранилища — это недорогие, простые в развертывании, многоклиентские, устойчивые к отказу зоны (если доступно) и высокодоступные решения для управления ключами, которые отлично подходят для наиболее распространенных сценариев облачных приложений.
- Управляемые устройства HSM — это однотенантные устройства HSM с устойчивостью к отказу зоны (если доступно) и высоким уровнем доступности для хранения криптографических ключей и управления ими. Они лучше всего подходят для приложений и сценариев использования с особо ценными ключами. Также они помогают соблюдать наиболее строгие стандарты безопасности, условия соответствия и нормативные требования.
Примечание.
Хранилища также позволяют хранить и администрировать не только криптографические ключи, но и объекты других типов, например секреты, сертификаты и ключи учетной записи хранения.
Ключи шифрования в Key Vault представлены объектами веб-ключей JSON (JWK). Спецификации JSON и JOSE:
Также расширены базовые спецификации JWK и JWA для поддержки типов ключей, специфичных для реализаций Azure Key Vault и "Управляемые устройства HSM".
Ключи HSM в хранилищах защищены; Ключи программного обеспечения не защищены HSM.
- Ключи, хранящиеся в хранилищах, получают преимущества надежной защиты с помощью проверенного HSM FIPS 140. Доступны две разные платформы HSM: 1, которая защищает ключевые версии с помощью FIPS 140-2 уровня 2 и 2, которая защищает ключи с помощью FIPS 140-2 уровня 3 HSM в зависимости от того, когда был создан ключ. Теперь все новые ключи и ключевые версии создаются с помощью платформы 2 (за исключением регионов Великобритании). Чтобы определить, какая платформа HSM защищает версию ключа, получите его hsmPlatform.
- Для защиты ключей управляемые модули HSM используют модули HSM, для которых подтверждено соответствие стандарту FIPS 140-2 уровня 3. Каждый пул HSM является изолированным однотенантным экземпляром с собственным доменом безопасности, что обеспечивает полную изоляцию криптографии от всех других модулей HSM, использующих ту же аппаратную инфраструктуру.
Эти ключи защищены в однотенантных пулах HSM. Вы можете импортировать RSA, EC и симметричный ключ программными средствами или путем экспорта из поддерживаемого устройства HSM. Вы также можете создавать ключи в пулах HSM. При импорте HSM-ключей с использованием метода, который описан в спецификации BYOK (создание собственных ключей), вы можете безопасно перенести материал ключа в пулы управляемых устройств HSM.
Дополнительные сведения о географических ограничениях см. в центре управления безопасностью Microsoft Azure.
Типы ключей и методы защиты
Key Vault поддерживает ключи RSA и EC. Управляемые модули HSM поддерживают ключи RSA, EC и симметричные ключи.
Ключи, защищенные модулем HSM
| Тип ключа | Хранилища (только ценовой категории "Премиум") | Управляемые модули HSM |
|---|---|---|
| EC-HSM: аппаратный ключ эллиптической кривой. | Поддерживается (P-256, P-384, P-521, secp256k1/P-256K) | Поддерживается (P-256, secp256k1/P-256K, P-384, P-521) |
| RSA-HSM: ключ RSA | Поддерживается (2048-, 3072- и 4096-разрядная версии) | Поддерживается (2048-, 3072- и 4096-разрядная версии) |
| oct-HSM: симметричный ключ | Не поддерживается | Поддерживается (128-, 192- и 256-разрядная версии) |
Ключи, защищенные с помощью ПО
| Тип ключа | Хранилища | Управляемые модули HSM |
|---|---|---|
| RSA: ключ RSA, защищенный программным обеспечением. | Поддерживается (2048-, 3072- и 4096-разрядная версии) | Не поддерживается |
| EC: ключ на основе эллиптической кривой, защищенный программным обеспечением | Поддерживается (P-256, P-384, P-521, secp256k1/P-256K) | Не поддерживается |
Соответствие нормативным требованиям
| Тип и назначение ключа | Соответствие нормативным требованиям |
|---|---|
| Ключи, защищенные программным обеспечением (hsmPlatform 0) в хранилищах | FIPS 140-2 уровня 1 |
| HsmPlatform 1 защищенных ключей в хранилищах (SKU уровня "Премиум") | FIPS 140-2 уровня 2 |
| HsmPlatform 2 защищенных ключей в хранилищах (SKU уровня "Премиум") | FIPS 140-2 уровня 3 |
| Ключи в управляемом HSM всегда защищены HSM | FIPS 140-2 уровня 3 |
Подробные сведения о типах ключей, алгоритмах, операциях, атрибутах и тегах см. в статье Типы ключей, алгоритмы и операции.
Сценарии использования
| Когда использовать | Примеры |
|---|---|
| Шифрование данных на стороне сервера Azure для интегрированных поставщиков ресурсов с ключами, управляемыми клиентом | - Шифрование на стороне сервера с помощью управляемых пользователем ключей в Azure Key Vault |
| Шифрование данных на стороне клиента | - Шифрование на стороне клиента с использованием Azure Key Vault |
| Протокол TLS без ключей | Используйте основные клиентские библиотеки |