Nyckelhantering i Azure
Kommentar
Nulta pouzdanost är en säkerhetsstrategi som består av tre principer: "Verifiera explicit", "Använd åtkomst med minst behörighet" och "Anta intrång". Dataskydd, inklusive nyckelhantering, stöder principen "använd åtkomst med minst behörighet". Mer information finns i Vad är Nulta pouzdanost?
I Azure kan krypteringsnycklar vara antingen plattformshanterade eller kundhanterade.
Plattformshanterade nycklar (PMK:er) är krypteringsnycklar som genereras, lagras och hanteras helt och hållet av Azure. Kunder interagerar inte med PMK:er. Nycklarna som används för Azure Data Encryption-at-Rest är till exempel PMK:er som standard.
Kundhanterade nycklar (CMK) är däremot nycklar som lästs, skapats, tagits bort, uppdaterats och/eller administrerats av en eller flera kunder. Nycklar som lagras i ett kundägt nyckelvalv eller maskinvarusäkerhetsmodul (HSM) är CMK:er. Byok (Bring Your Own Key) är ett CMK-scenario där en kund importerar (hämtar) nycklar från en extern lagringsplats till en Azure-nyckelhanteringstjänst (se Azure Key Vault: Bring your own key specification).
En specifik typ av kundhanterad nyckel är "nyckelkrypteringsnyckeln" (KEK). En KEK är en primärnyckel som styr åtkomsten till en eller flera krypteringsnycklar som själva är krypterade.
Kundhanterade nycklar kan lagras lokalt eller, vanligare, i en tjänst för hantering av molnnycklar.
Azure-nyckelhanteringstjänster
Azure erbjuder flera alternativ för att lagra och hantera dina nycklar i molnet, inklusive Azure Key Vault, Azure Managed HSM, Azure Dedicated HSM och Azure Payment HSM. De här alternativen skiljer sig åt vad gäller FIPS-efterlevnadsnivå, hanteringskostnader och avsedda program.
En översikt över varje nyckelhanteringstjänst och en omfattande guide för att välja rätt lösning för nyckelhantering finns i Så här väljer du rätt nyckelhanteringslösning.
Prissättning
Azure Key Vault Standard- och Premium-nivåerna faktureras på transaktionsbasis, med en extra månatlig avgift per nyckel för premiummaskinvarabaserade nycklar. Managed HSM, Dedicated HSM och Payments HSM debiteras inte på transaktionsbasis. I stället är de enheter som alltid används och som faktureras till en fast timtaxa. Detaljerad prisinformation finns i Priser för Key Vault, Dedikerad HSM-priser och HSM-priser för betalning.
Tjänstbegränsningar
Managed HSM, Dedicated HSM och Payments HSM erbjuder dedikerad kapacitet. Key Vault Standard och Premium är erbjudanden för flera klientorganisationer och har begränsningar. Tjänstbegränsningar finns i Tjänstbegränsningar för Key Vault.
Kryptering i vila
Azure Key Vault och Azure Key Vault Managed HSM har integreringar med Azure Services och Microsoft 365 för kundhanterade nycklar, vilket innebär att kunderna kan använda sina egna nycklar i Azure Key Vault och Azure Key Managed HSM för kryptering i vila av data som lagras i dessa tjänster. Dedikerad HSM och betalningar HSM är infrastruktur-som-tjänst-erbjudanden och erbjuder inte integreringar med Azure-tjänster. En översikt över kryptering i vila med Azure Key Vault och Managed HSM finns i Azure Data Encryption-at-Rest.
API:er
Dedikerad HSM och betalningar HSM stöder PKCS#11, JCE/JCA och KSP/CNG API:er, men Azure Key Vault och Managed HSM gör det inte. Azure Key Vault och Managed HSM använder REST API:et för Azure Key Vault och erbjuder SDK-stöd. Mer information om Azure Key Vault-API:et finns i REST API-referens för Azure Key Vault.