Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Not
Sıfır Güven üç ilkeden oluşan bir güvenlik stratejisidir: "Açıkça doğrula", "En az ayrıcalık erişimi kullan" ve "İhlal varsay". Anahtar yönetimi de dahil olmak üzere veri koruma, "en az ayrıcalık erişimi kullan" ilkesini destekler. Daha fazla bilgi için bkz. Sıfır Güven nedir?
Azure'da platform tarafından yönetilen veya müşteri tarafından yönetilen şifreleme anahtarlarını kullanabilirsiniz.
Azure, platform tarafından yönetilen anahtarları (PMK) tamamen kendi başına oluşturur, depolar ve yönetir. PMK'lerle etkileşim kurmanız gerekmez. Örneğin, Bekleyen Azure Veri Şifrelemesi için kullanılan anahtarlar varsayılan olarak PMK'lerdir.
Müşteri tarafından yönetilen anahtarlar (CMK'ler), oluşturabileceğiniz, silebileceğiniz, kullanabileceğiniz ve yönetebileceğiniz anahtarlardır. CMK'leri müşteriye ait bir anahtar kasasında veya donanım güvenlik modülünde (HSM) depolayabilirsiniz. Kendi Anahtarını Getir (BYOK), anahtarları bir dış depolama konumundan Azure anahtar yönetimi hizmetine aktardığınız bir CMK senaryosudur. Daha fazla bilgi için bkz. Azure Key Vault: Kendi anahtar belirtiminizi getirme.
Anahtar şifreleme anahtarı (KEK), şifrelediğinden bir veya daha fazla şifreleme anahtarına erişimi denetleen birincil anahtardır.
Müşteri tarafından yönetilen anahtarları şirket içinde veya daha yaygın olarak bir bulut anahtarı yönetim hizmetinde depolayabilirsiniz.
Azure anahtar yönetimi hizmetleri
Azure anahtarlarınızı bulutta depolamak ve yönetmek için Azure Key Vault, Azure Key Vault Yönetilen HSM, Azure Bulut HSM ve Azure Ödeme HSM gibi çeşitli seçenekler sunar. Bu seçenekler FIPS uyumluluk düzeyi, yönetim yükü ve hedeflenen uygulamalar açısından farklılık gösterir.
Özel gereksinimleriniz için doğru anahtar yönetimi çözümünü seçmeye yönelik kapsamlı bir kılavuz için bkz. Doğru Anahtar Yönetimi Çözümünü Seçme.
Azure Key Vault (Standart Katman)
FiPS 140-2 Düzey 1, asimetrik anahtarları, gizli dizileri ve sertifikaları depolamak için kullanabileceğiniz doğrulanmış çok kiracılı bulut anahtarı yönetim hizmeti. Azure Key Vault'ta depolanan anahtarlar yazılım korumalıdır ve bunları bekleyen ve özel uygulamalarda şifreleme için kullanabilirsiniz. Azure Key Vault Standard, modern bir API ve Azure Hizmetleri ile bölgesel dağıtımlar ve tümleştirmeler sunar. Daha fazla bilgi için bkz . Azure Key Vault hakkında.
Azure Key Vault (Premium Sürüm)
Asimetrik anahtarları, gizli dizileri ve sertifikaları depolamak için kullanabileceğiniz BIR FIPS 140-3 Düzey 3 doğrulanmış, PCI uyumlu, çok kiracılı HSM teklifi. Marvell LiquidSecurity HSMs* kullanarak anahtarları güvenli bir donanım sınırında depolarsınız. Microsoft, temel alınan HSM'yi yönetir ve çalıştırır. Bekleyen ve özel uygulamalarda şifreleme için Azure Key Vault Premium'da depolanan anahtarları kullanabilirsiniz. Azure Key Vault Premium ayrıca modern bir API ve Azure Hizmetleri ile bölgesel dağıtımlar ve tümleştirmeler sunar.
Önemli
Azure Tümleşik HSM: Yeni Azure sunucu donanımı (AMD D ve E Serisi v7 Önizleme) ile başlayarak, Microsoft tarafından tasarlanmış HSM yongaları doğrudan sunuculara eklenmiştir ve FIPS 140-3 Düzey 3 standartlarına uygundur. Bu kurcalamaya dayanıklı yongalar, şifreleme anahtarlarını güvenli donanım sınırları içinde tutarak gecikme süresi ve maruz kalma risklerini ortadan kaldırır. Tümleşik HSM, Azure Key Vault ve Azure Depolama şifrelemesi gibi desteklenen hizmetler için varsayılan olarak saydam olarak çalışır ve ek yapılandırma olmadan donanım tarafından zorlanan güven sağlar. Bu tümleştirme, bulut hizmetlerinin performansını ve ölçeklenebilirliğini korurken şifreleme işlemlerinin donanım düzeyinde güvenlik yalıtımından yararlanmasını sağlar.
Anahtar egemenlik, tek kiracılık veya saniyede daha yüksek şifreleme işlemleri arayan bir Azure Key Vault Premium müşterisiyseniz bunun yerine Azure Key Vault Yönetilen HSM'yi göz önünde bulundurun. Key Vault Premium, Microsoft tarafından sağlanan paylaşılan HSM'leri kullanır; müşteriye ait güven kökü gerektiren iş yükleri için Yönetilen HSM gereklidir. Daha fazla bilgi için bkz . Azure Key Vault hakkında.
Azure Key Vault Yönetilen HSM
FIPS 140-3 Düzey 3 onaylı, tek kiracılı HSM teklifi, müşterilere durağan veri şifreleme, anahtarsız SSL/TLS yük boşaltma ve özel uygulamalar için bir HSM'nin tam kontrolünü sağlar. Azure Key Vault Yönetilen HSM, gizli anahtarlar sunan tek anahtar yönetimi çözümüdür. Müşteriler, birlikte tek bir mantıksal, yüksek düzeyde kullanılabilir bir HSM cihazı işlevi gören üç HSM bölümünden oluşan bir havuz alır ve bu havuzun önünde Anahtar Kasası API'si aracılığıyla şifreleme işlevselliğini sunan bir hizmet bulunur. Microsoft, HSM'lerin sağlanması, yamalarının uygulanması, bakımı ve donanım yük devretmelerini gerçekleştirir, ancak hizmet Azure'ın Gizli İşlem Altyapısı içinde yürütüldüğünden, anahtarlara erişimi yoktur. Müşteri, HSM'nin güven kökü olan güvenlik etki alanına sahip olur ve bu etki alanını denetler; güvenlik etki alanının kaybı tüm anahtarların kalıcı, geri alınamaz bir şekilde kaybolmasına neden olur. Azure Key Vault Yönetilen HSM, Azure SQL, Azure Depolama ve Azure Information Protection PaaS hizmetleriyle tümleşiktir ve F5 ve Nginx ile Anahtarsız TLS desteği sunar. Daha fazla bilgi için bkz. Azure Key Vault Yönetilen HSM nedir?
Azure Cloud HSM
Yüksek oranda kullanılabilir, FIPS 140-3 Düzey 3, müşterilere HSM'leri üzerinde tam yönetim yetkisi veren doğrulanmış tek kiracılı bir hizmettir. Azure Cloud HSM, Azure Ayrılmış HSM'nin ardılıdır ve şifreleme anahtarlarını depolamak ve şifreleme işlemleri gerçekleştirmek için müşteriye ait güvenli bir HSM kümesi sağlar. Microsoft, HSM altyapısının yüksek kullanılabilirliğini, düzeltme ekini ve bakımını üstleniyor. Hizmet , PKCS#11, SSL/TLS boşaltma, sertifika yetkilisi (CA) özel anahtar koruması, saydam veri şifrelemesi (TDE) ve belge ve kod imzalama gibi çeşitli uygulamaları destekler. Azure Cloud HSM; PKCS#11, OpenSSL, JCA/JCE ve Microsoft CNG/KSP dahil olmak üzere endüstri standardı API'leri desteklediğinden uygulamaları şirket içinden, Azure Ayrılmış HSM'den veya AWS CloudHSM'den geçirmek için idealdir. Daha fazla bilgi için bkz. Azure Cloud HSM nedir?
Azure Ödeme HSM
FIPS 140-2 Düzey 3, PCI HSM v3 doğrulamasına sahip ve tek kiracılı bare metal bir HSM sunanağı, Microsoft veri merkezlerinde ödeme HSM cihazının kiralanmasına olanak tanır. Bu hizmet, ödeme PIN işleme, ödeme kimlik bilgisi verme, anahtar ve kimlik doğrulama verilerinin güvenliğini sağlama ve hassas verilerin korunması gibi ödemeyle ilgili işlemlerini destekler. Hizmet PCI DSS, PCI 3DS ve PCI PIN uyumludur. Azure Ödeme HSM, müşterilerin HSM'ye tam yönetim denetimi ve özel erişime sahip olması için tek kiracılı HSM'ler sunar. HSM bir müşteriye atandıktan sonra Microsoft'un müşteri verilerine erişimi olmaz. Benzer şekilde, HSM artık gerekli olmadığında, tam gizlilik ve güvenliğin korunması için müşteri verileri sıfırlanır ve HSM yayımlanır yayımlanmaz silinir. Daha fazla bilgi için bkz. Azure Payment HSM nedir?
Not
* Azure Key Vault Premium, hem yazılım korumalı hem de HSM korumalı anahtarların oluşturulmasına olanak tanır. Azure Key Vault Premium kullanıyorsanız oluşturduğunuz anahtarın HSM korumalı olduğundan emin olun.
Azure Özel HSM (kullanımdan kaldırılıyor)
Azure Özel HSM kullanımdan kaldırılıyor. Microsoft, 31 Temmuz 2028'e kadar mevcut Ayrılmış HSM müşterilerini tam olarak destekleyecektir. Yeni müşteri eklemeleri kabul edilmez. Tüm ayrıntılar ve gerekli eylemler için resmi Azure güncelleştirmesi bölümüne bakın.
Azure Ayrılmış HSM kullanıcısıysanız bkz. Azure Ayrılmış HSM'den Azure Yönetilen HSM'ye veya Azure Bulut HSM'ye geçiş. Azure Cloud HSM artık genel kullanıma sunuldu ve Azure Ayrılmış HSM'nin ardılı oldu.
Fiyatlandırma
Azure Key Vault Standart ve Premium katmanları, premium donanım destekli anahtarlar için ek aylık anahtar başına ücretlendirme ile işlem temelinde faturalandırılır. Azure Key Vault Yönetilen HSM, Azure Cloud HSM ve Azure Ödeme HSM işlem bazında ücretlendirilmemektedir. Bunun yerine, sabit saatlik ücretle faturalandırılan sürekli kullanılan cihazlardır. Ayrıntılı fiyatlandırma bilgileri için bkz. Key Vault fiyatlandırması, Bulut HSM fiyatlandırması ve Ödeme HSM fiyatlandırması.
Hizmet Sınırları
Azure Key Vault Yönetilen HSM, Azure Cloud HSM ve Azure Ödeme HSM ayrılmış kapasite sunar. Azure Key Vault Standard ve Premium, çok kiracılı tekliflerdir ve kısıtlama limitlerine sahiptir. Hizmet sınırları için bkz. Key Vault hizmet sınırları ve Bulut HSM hizmet sınırları.
Atıl durumdaki şifreleme
Azure Key Vault ve Azure Key Vault Yönetilen HSM, Azure Hizmetleri ve Müşteri Tarafından Yönetilen Anahtarlar için Microsoft 365 ile tümleştirilir. Bu hizmetlerde depolanan verilerin geri kalanında şifreleme için Azure Key Vault ve Azure Key Vault Yönetilen HSM'de kendi anahtarlarınızı kullanabilirsiniz. Azure Cloud HSM ve Azure Payment HSM, Hizmet Olarak Altyapı teklifleridir ve Azure Hizmetleri ile tümleştirme sunmaz. Azure Key Vault ve Azure Key Vault Yönetilen HSM ile dinamik durumdaki şifrelemeye genel bakış için bkz. Azure'da Dinamik Durumda Veri Şifrelemesi.
API'ler
Azure Cloud HSM PKCS#11, OpenSSL, JCA/JCE ve KSP/CNG API'lerini destekler. Azure Ödeme HSM, HSM yönetimi ve şifreleme işlemleri için Thales payShield arabirimlerini kullanır. Azure Key Vault ve Azure Key Vault Yönetilen HSM bu API'leri desteklemez. Bunun yerine Azure Key Vault REST API'sini kullanır ve SDK desteği sunar. Azure Key Vault API'si hakkında daha fazla bilgi için bkz . Azure Key Vault REST API Başvurusu.