Управление ключами в Azure
Примечание.
Нулевое доверие — это стратегия безопасности, состоящая из трех принципов: "Проверка явным образом", "Использование минимального доступа к привилегиям" и "Предполагать нарушение". Защита данных, включая управление ключами, поддерживает принцип "использовать минимальный доступ к привилегиям". Дополнительные сведения см. в разделе "Что такое нулевое доверие"?
В Azure ключи шифрования могут управляться платформой или клиентом.
Управляемые платформой ключи (PMKs) — это ключи шифрования, созданные, сохраненные и управляемые полностью Azure. Клиенты не взаимодействуют с PMK. Ключи, используемые для шифрования неактивных данных Azure, например, являются PMK по умолчанию.
С другой стороны, управляемые клиентом ключи (CMK), являются ключами чтения, создания, удаления, обновления и /или администрирования одним или несколькими клиентами. Ключи, хранящиеся в принадлежащем пользователю хранилище ключей или аппаратном модуле безопасности (HSM), являются ключей CMK. Создание собственных ключей (BYOK) — это сценарий с CMK, когда клиент импортирует (переносит) ключи из внешнего хранилища в службу управления ключами Azure (см. статью Azure Key Vault: спецификация BYOK).
Определенный тип ключа, управляемого клиентом, — это ключ шифрования ключей (KEK). KEK — это первичный ключ, который управляет доступом к одному или нескольким ключам шифрования, которые сами шифруются.
Ключи, управляемые клиентом, могут храниться локально или, что происходит чаще, в облачной службе управления ключами.
Службы управления ключами Azure
Azure предлагает несколько вариантов хранения ключей и управления ими в облаке, включая Azure Key Vault, Управляемый HSM Azure, выделенный HSM Azure и HSM для оплаты Azure. Эти варианты различаются уровнем соответствия FIPS, затратами на управление и предполагаемыми приложениями.
Общие сведения о каждой службе управления ключами и комплексном руководстве по выбору подходящего решения по управлению ключами см. в разделе "Выбор правильного решения по управлению ключами".
Цены
Плата за Azure Key Vault уровней "Стандартный" и "Премиум" выставляется на основе транзакций с дополнительной ежемесячной оплатой за ключ для аппаратных ключей уровня "Премиум". Управляемый HSM, выделенный HSM и платежи HSM не взимается на основе транзакций; вместо этого они являются устройствами, которые выставляются по фиксированной почасовой ставке. Подробные сведения о ценах см. в статьях Цены на Key Vault, Цены на Выделенное устройство HSMи Цены на Модуль HSM для платежей.
Ограничения службы
Управляемый модуль HSM, Выделенное устройство HSM и Модуль HSM для платежей предлагают выделенную емкость. Key Vault уровней "Стандартный" и "Премиум" — это мультитенантное предложение с ограничениями регулирования. Дополнительные сведения см. в статье Ограничения службы Key Vault.
Шифрование неактивных данных
Azure Key Vault и Управляемый модуль Azure Key Vault имеют интеграцию со службами Azure и Microsoft 365 для ключей, управляемых клиентом. Это означает, что клиенты могут использовать свои собственные ключи в Azure Key Vault и Управляемом модуле Azure Key Vault для шифрования данных, хранящихся в этих службах. Выделенное устройство HSM и Модуль HSM для платежей представляют собой предложения IaaS и не обеспечивают интеграцию со службами Azure. Общие сведения о шифровании неактивных данных с использованием Azure Key Vault и Управляемого модуля HSM см. в статье Шифрование неактивных данных в Azure.
Программные интерфейсы
Выделенное устройство HSM и Модуль HSM для платежей поддерживают API PKCS#11, JCE/JCA и KSP/CNG, а Azure Key Vault и Управляемый модуль HSM — нет. Azure Key Vault и Управляемый модуль HSM используют Azure Key Vault REST API и предлагают поддержку пакетов SDK. Дополнительные сведения об API Azure Key Vault см. в статье Справочник по Azure Key Vault REST API.