Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Key Vault, şifreleme anahtarlarını depolamak ve yönetmek için iki tür kaynak sağlar. Kasalar yazılım korumalı ve HSM korumalı (Donanım Güvenlik Modülü) anahtarlarını destekler. Yönetilen HSM'ler yalnızca HSM korumalı anahtarları destekler.
| Kaynak türü | Anahtar koruma yöntemleri | Veri düzlemi uç nokta tabanı URL'si |
|---|---|---|
| Tonoz | Yazılım korumalı ve HSM korumalı (Premium SKU'da HSM anahtar türleri) | https://{vault-name}.vault.azure.net |
| Yönetilen HSM'ler | HSM korumalı | https://{hsm-name}.managedhsm.azure.net |
- Kasalar - Kasalar, en yaygın bulut uygulaması senaryoları için uygun, düşük maliyetli, dağıtımı kolay, çok kiracılı, bölgeye dayanıklı (varsa), yüksek oranda kullanılabilir bir anahtar yönetimi çözümü sağlar.
- Yönetilen HSM'ler - Yönetilen HSM, şifreleme anahtarlarınızı depolamak ve yönetmek için tek kiracılı, yüksek oranda kullanılabilir HSM'ler sağlar. Yüksek değerli anahtarları işleyen uygulamalar ve kullanım senaryoları için en uygun olandır. Ayrıca en sıkı güvenlik, uyumluluk ve mevzuat gereksinimlerini karşılamaya yardımcı olur.
Not
Kasalar ayrıca şifreleme anahtarlarının yanı sıra gizli diziler, sertifikalar ve depolama hesabı anahtarları gibi çeşitli nesne türlerini depolamanıza ve yönetmenize de olanak sağlar.
Key Vault'taki şifreleme anahtarları JSON Web Anahtarı [JWK] nesneleri olarak temsil edilir. JavaScript Nesne Gösterimi (JSON) ve JavaScript Nesne İmzalama ve Şifreleme (JOSE) belirtimleri şunlardır:
- JSON Web Anahtarı (JWK)
- JSON Web Şifrelemesi (JWE)
- JSON Web Algoritmaları (JWA)
- JSON Web İmzası (JWS)
Temel JWK/JWA belirtimleri, Azure Key Vault ve Yönetilen HSM uygulamalarına özgü anahtar türlerini etkinleştirmek için de genişletilir.
Kasalardaki HSM Anahtarları HSM'ler tarafından korunur; Yazılım anahtarları HSM'ler tarafından korunmaz.
- Kasalarda depolanan anahtarlar, FIPS 140 onaylı HSM kullanılarak sağlam korumadan yararlanılır. Kullanılabilir iki farklı HSM platformu vardır: FIPS 140-2 Düzey 2 ile anahtar sürümlerini koruyan HSM Platform 1 ve anahtarın ne zaman oluşturulduğuna bağlı olarak FIPS 140-3 Düzey 3 HSM'lerle anahtarları koruyan HSM Platform 2. Tüm yeni anahtarlar ve anahtar sürümleri artık HSM Platform 2 kullanılarak oluşturulur. Hangi HSM platformlarının anahtar sürümünü koruyup korumadığını belirlemek için hsmPlatform özniteliğini alın.
- Yönetilen HSM, anahtarlarınızı korumak için FIPS 140-3 Düzey 3 doğrulanmış HSM modüllerini kullanır. Her HSM havuzu, aynı donanım altyapısını paylaşan diğer tüm HSM'lerden tam şifreleme yalıtımı sağlayan kendi güvenlik etki alanına sahip yalıtılmış tek kiracılı bir örnektir. Yönetilen HSM anahtarları tek kiracılı HSM havuzlarında korunur. RSA, EC ve simetrik anahtarı yumuşak biçimde veya desteklenen bir HSM cihazından dışarı aktararak içeri aktarabilirsiniz. Ayrıca HSM havuzlarında anahtar oluşturabilirsiniz. KCG (kendi anahtarını getir) belirtiminde açıklanan yöntemi kullanarak HSM anahtarlarını içeri aktardığınızda, yönetilen HSM havuzlarına güvenli taşıma anahtarı malzemesi sağlar.
Coğrafi sınırlar hakkında daha fazla bilgi için bkz. Microsoft Azure Güven Merkezi
Anahtar türleri ve koruma yöntemleri
Key Vault Premium ve Standard, RSA ve EC anahtarlarını destekler. Yönetilen HSM RSA, EC ve simetrik anahtarları destekler.
HSM ile korunan anahtarlar
| Anahtar türü | Kasalar (yalnızca Premium SKU) | Yönetilen HSM'ler |
|---|---|---|
| EC-HSM: Elips Eğrisi tuşu | Desteklenir (P-256, P-384, P-521, secp256k1/P-256K) | Desteklenir (P-256, secp256k1/P-256K, P-384, P-521) |
| RSA-HSM: RSA anahtarı | Desteklenir (2048 bit, 3072 bit, 4096 bit) | Desteklenir (2048 bit, 3072 bit, 4096 bit) |
| oct-HSM: Simetrik anahtar | Desteklenmez | Desteklenen (128 bit, 192 bit, 256 bit) |
Yazılım korumalı anahtarlar
| Anahtar türü | Kasalar | Yönetilen HSM'ler |
|---|---|---|
| RSA: "Yazılım korumalı" RSA anahtarı | Desteklenir (2048 bit, 3072 bit, 4096 bit) | Desteklenmez |
| EC: "Yazılım korumalı" Eliptik Eğri anahtarı | Desteklenir (P-256, P-384, P-521, secp256k1/P-256K) | Desteklenmez |
Uyumluluk
| Anahtar türü ve hedef | Uyumluluk |
|---|---|
| Yazılım tarafından korunan (HSM Platform 0) anahtarlar dijital kasalarda | FIPS 140-2 Düzey 1 |
| Kasalarda HSM Platform 1 tarafından korunan anahtarlar (Premium SKU) | FIPS 140-2 Düzey 2 |
| HSM Platform 2 ile korunan anahtarlar kasalarda (Premium SKU) | FIPS 140-3 Düzey 3 |
| Yönetilen HSM'deki anahtarlar her zaman HSM korumalıdır | FIPS 140-3 Düzey 3 |
Kuantuma dayanıklı, Kuantum güvenli veya Kuantum Sonrası Şifreleme
"Kuantuma dayanıklı", "kuantum güvenli" ve "post-kuantum" şifrelemesi, hem klasik hem de kuantum bilgisayarlardan gelen şifreleme saldırılarına karşı dayanıklı olduğuna inanılan şifreleme algoritmalarını tanımlamak için kullanılan terimlerdir. yönetilen HSM tarafından sunulan AES algoritmalarıyla kullanılan OCT-HSM 256 bit anahtarlar kuantuma dayanıklıdır. Daha fazla bilgi için bkz. Ticari Ulusal Güvenlik Algoritması Paketi 2.0 ve Kuantum bilişimi Sıkça Sorulan Sorular.
Her anahtar türü, algoritmalar, işlemler, öznitelikler ve etiketler hakkında ayrıntılı bilgi için bkz . Anahtar türleri, algoritmalar ve işlemler .
Kullanım Senaryoları
| ne zaman kullanılmalı | Örnekler |
|---|---|
| Müşteri tarafından yönetilen anahtarlara sahip tümleşik kaynak sağlayıcıları için Azure sunucu tarafı veri şifrelemesi | - Azure Key Vault'ta müşteri tarafından yönetilen anahtarları kullanarak sunucu tarafı şifreleme |
| İstemci tarafı veri şifrelemesi | - Azure Key Vault ile İstemci Tarafı Şifrelemesi |
| Anahtarsız TLS | - Anahtar İstemci Kitaplıklarını kullanma |