Nyckelhantering i Azure
Anteckning
Nolltillit är en säkerhetsstrategi som består av tre principer: "Verifiera explicit", "Använd åtkomst med minst behörighet" och "Anta intrång". Dataskydd, inklusive nyckelhantering, stöder principen "använd lägsta behörighetsåtkomst". Mer information finns i Vad är Nolltillit?
I Azure kan krypteringsnycklar vara antingen plattformshanterade eller kundhanterade.
Plattformshanterade nycklar (PMK:er) är krypteringsnycklar som genereras, lagras och hanteras helt och hållet av Azure. Kunder interagerar inte med PMK:er. Nycklarna som används för Azure Data Encryption-at-Rest är till exempel PMK:er som standard.
Kundhanterade nycklar (CMK) är å andra sidan nycklar som lästs, skapats, tagits bort, uppdaterats och/eller administrerats av en eller flera kunder. Nycklar som lagras i ett kundägt nyckelvalv eller maskinvarusäkerhetsmodul (HSM) är CMK:er. BYOK (Bring Your Own Key) är ett CMK-scenario där en kund importerar (tar med) nycklar från en extern lagringsplats till en Azure-nyckelhanteringstjänst (se Azure Key Vault: Bring your own key specification).
En specifik typ av kundhanterad nyckel är "nyckelkrypteringsnyckeln" (KEK). En KEK är en primärnyckel som styr åtkomsten till en eller flera krypteringsnycklar som själva är krypterade.
Kundhanterade nycklar kan lagras lokalt eller oftare i en tjänst för hantering av molnnycklar.
Azure-nyckelhanteringstjänster
Azure erbjuder flera alternativ för att lagra och hantera dina nycklar i molnet, inklusive Azure Key Vault, Azure Managed HSM, Azure Dedicated HSM och Azure Payment HSM. De här alternativen skiljer sig åt när det gäller fips-efterlevnadsnivå, hanteringskostnader och avsedda program.
En översikt över varje nyckelhanteringstjänst och en omfattande guide för att välja rätt lösning för nyckelhantering finns i Så här väljer du rätt lösning för nyckelhantering.
Prissättning
Nivåerna Azure Key Vault Standard och Premium debiteras på transaktionsbasis, med ytterligare en månatlig avgift per nyckel för premiummaskinvarastödda nycklar. Managed HSM, Dedicated HSM och Betalningar HSM debiteras inte på transaktionsbasis. De är i stället enheter som alltid används och som debiteras till en fast timtaxa. Detaljerad prisinformation finns i Key Vault prissättning, dedikerad HSM-prissättning och HSM-priser för betalning.
Tjänstbegränsningar
Managed HSM, Dedicated HSM och Betalningar HSM erbjuder dedikerad kapacitet. Key Vault Standard och Premium är erbjudanden för flera innehavare och har begränsningar. Information om tjänstbegränsningar finns i Key Vault tjänstbegränsningar.
Kryptering i vila
Azure Key Vault och Azure Key Vault Managed HSM har integreringar med Azure Services och Microsoft 365 för kundhanterade nycklar, vilket innebär att kunderna kan använda sina egna nycklar i Azure Key Vault och Azure Key Managed HSM för kryptering i vila av data som lagras i dessa tjänster. Dedikerad HSM och Betalningar HSM är infrastruktur-som-tjänst-erbjudanden och erbjuder inte integreringar med Azure-tjänster. En översikt över kryptering i vila med Azure Key Vault och Managed HSM finns i Azure Data Encryption-at-Rest.
API:er
Dedikerad HSM och Betalningar HSM stöder PKCS#11, JCE/JCA och KSP/CNG-API:er, men Azure Key Vault och Managed HSM gör det inte. Azure Key Vault och Managed HSM använder Azure Key Vault REST API och erbjuder SDK-stöd. Mer information om Api:et för Azure Key Vault finns i Referens för REST API för Azure Key Vault.