在 Azure 中,加密金鑰可以是平台代控或客戶自控。
平台代控金鑰 (PMK) 是由 Azure 產生、儲存且完全管理的加密金鑰。 客戶不會與 PMK 互動。 例如,用於 Azure 資料待用加密的金鑰預設為 PMK。
另一方面,客戶自控金鑰 (CMK) 是可由一或多個客戶讀取、建立、刪除、更新和/或管理的金鑰。 儲存在客戶自有金鑰保存庫或硬體安全模組 (HSM) 中的金鑰是 CMK。 攜帶您自己的金鑰 (BYOK) 是 CMK 案例,其中客戶會將金鑰從外部儲存位置匯入 (帶入) Azure 金鑰管理服務 (請參閱 Azure Key Vault:攜帶您自己的金鑰規格 (機器翻譯))。
有一種特定類型的客戶自控金鑰是「金鑰加密金鑰」(KEK)。 KEK 是主要金鑰,可控制對一或多個本身加密之加密金鑰的存取。
客戶自控金鑰可以儲存在內部部署或更常見的雲端金鑰管理服務中。
Azure 金鑰管理服務
Azure 提供數個選項,可在雲端中儲存和管理金鑰,包括 Azure 金鑰保存庫、Azure 金鑰保存庫受控 HSM、Azure 雲端 HSM 和 Azure 付款 HSM。 這些選項在 FIPS 合規性層級、管理負擔和預定應用程式方面有所不同。
有關選擇適合您特定需求的正確金鑰管理解決方案的全面指南,請參閱 如何選擇正確的金鑰管理解決方案。
Azure 金鑰保存庫 (標準層)
FIPS 140-2 第 1 級驗證的多租用戶雲端金鑰管理服務,可用來儲存非對稱金鑰、密碼和憑證。 儲存在 Azure 金鑰保存庫中的金鑰受軟體保護,可用於待用加密和自訂應用程式。 Azure 金鑰保存庫標準提供新式 API,以及廣泛的區域部署,以及與 Azure 服務的整合。 如需詳細資訊,請參閱關於 Azure Key Vault。
Azure 金鑰保存庫 (進階層)
經過 FIPS 140-3 第 3 級驗證、符合 PCI 規範的多租用戶 HSM 供應項目,可用來儲存非對稱金鑰、密碼和憑證。 金鑰使用 Marvell LiquidSecurity HSM* 儲存在安全的硬體邊界中。 Microsoft 會管理和操作基礎 HSM,而儲存在 Azure 金鑰保存庫進階版中的金鑰可用於待用加密和自訂應用程式。 Azure 金鑰保存庫進階版也提供新式 API,以及廣泛的區域部署,以及與 Azure 服務的整合。
這很重要
Azure 整合 HSM:從新款 Azure 伺服器硬體(AMD D 與 E 系列 v7 預覽版)開始,Microsoft 設計的 HSM 晶片直接嵌入伺服器,符合 FIPS 140-3 Level 3 標準。 這些防篡改晶片將加密金鑰限制在安全的硬體範圍內,消除延遲與暴露風險。 整合的硬體安全模塊預設透明運作,直接適用於支援的服務,例如 Azure Key Vault 和 Azure Storage 加密,提供基於硬體的信任,無需額外設定。 此整合確保密碼學作業能享有硬體層級的安全隔離,同時維持雲端服務的效能與可擴展性。
如果您是 Azure 金鑰保存庫 Premium 客戶,正在尋找金鑰主權保障、單一租戶架構和/或更高的每秒加密運算,您可能想要考慮改用 Azure 金鑰保存庫受控 HSM。 如需詳細資訊,請參閱關於 Azure Key Vault。
Azure Key Vault 受控 HSM
經過 FIPS 140-2 第 3 級驗證的單一租用戶 HSM 供應項目,可讓客戶完全控制 HSM,以進行靜態加密、無金鑰 SSL/TLS 卸載和自訂應用程式。 Azure 金鑰保存庫受控 HSM 是唯一提供機密金鑰的金鑰管理解決方案。 客戶會收到三個 HSM 分區的集群,它們共同作為一個邏輯且高可用性的 HSM 硬體設備,由一個透過 Key Vault API 提供加密功能的服務加以管理。 Microsoft 會處理 HSM 的布建、修補、維護和硬體容錯移轉,但無法存取金鑰本身,因為服務會在 Azure 的機密計算基礎結構內執行。 Azure Key Vault 受控 HSM 已與 Azure SQL、Azure 儲存體及 Azure 資訊保護 PaaS 服務整合,並提供對 F5 和 Nginx 的無金鑰 TLS 支援。 如需詳細資訊,請參閱 什麼是 Azure 金鑰保存庫受控 HSM?。
Azure 專用 HSM
一款通過 FIPS 140-2 Level 3 驗證的單一租用戶 HSM 供應項目,可讓客戶完全控制用於 PKCS#11 的 HSM、卸載 SSL/TLS 處理、憑證授權單位私密金鑰保護、透明資料加密 (包括文件和程式碼簽署) 以及自訂應用程式。 客戶對其 HSM 叢集擁有完整的系統管理控制權。 雖然客戶擁有其 HSM 的部署和初始化,但 Microsoft 會處理 HSM 的服務布建和裝載。 Azure 專用 HSM 支援現有的使用案例,包括使用隨即轉移工作負載、PKI、SSL 卸載和無金鑰 TLS、OpenSSL 應用程式、Oracle TDE 和 Azure SQL TDE IaaS。 Azure 專用 HSM 未與任何 Azure PaaS 供應專案整合。 如需詳細資訊,請參閱 什麼是 Azure 專用 HSM?。
Azure 付款 HSM
FIPS 140-2 層級 3、PCI HSM v3、經過驗證的單一租用戶裸機 HSM 供應專案,可讓客戶在 Microsoft 資料中心租用付款 HSM 設備,以進行付款作業,包括付款 PIN 處理、付款認證發行、保護金鑰和驗證資料,以及敏感性資料保護。 該服務符合 PCI DSS、PCI 3DS 和 PCI PIN 標準。 Azure 支付 HSM 提供單一租戶 HSM,使客戶能夠完全掌握系統管理控制權並享有 HSM 的獨佔存取權。 將 HSM 配置給客戶之後,Microsoft 就無法存取客戶資料。 同樣,當不再需要 HSM 時,客戶資料會在 HSM 發布後立即歸零並刪除,以確保維護完全的隱私和安全。 如需詳細資訊,請參閱 什麼是 Azure 付款 HSM?。
附註
* Azure 金鑰保存庫進階版允許建立受軟體保護和 HSM 保護的金鑰。 如果使用 Azure 金鑰保存庫進階版,請檢查以確保建立的金鑰受到 HSM 保護。
定價
Azure Key Vault 標準層和進階層的計費以交易為準,進階硬體支援金鑰需每月支付每個金鑰的額外費用。 Azure 金鑰保存庫受控 HSM、Azure 專用 HSM 和 Azure 付款 HSM 不會以交易方式收費;相反,它們是始終使用的設備,按固定的小時費率計費。 如需詳細的定價資訊,請參閱 Key Vault 定價和付款 HSM 定價。
服務限制
Azure 金鑰保存庫受控 HSM、Azure 專用 HSM 和 Azure 付款 HSM 提供專用容量。 Azure 金鑰保存庫標準版和進階版是多租用戶供應專案,並具有節流限制。 如需服務限制,請參閱 Key Vault 服務限制。
待用加密
Azure 金鑰保存庫和 Azure 金鑰保存庫受控 HSM 與 Azure 服務和 Microsoft 365 客戶管理金鑰整合,這表示客戶可以在 Azure 金鑰保存庫和 Azure 金鑰保存庫受控 HSM 中使用自己的金鑰,對儲存在這些服務中的待用資料進行加密。 Azure 專用 HSM 和 Azure 付款 HSM 是基礎結構即服務供應專案,不提供與 Azure 服務的整合。 如需使用 Azure 金鑰保存庫和 Azure 金鑰保存庫受控 HSM 進行待用加密的概觀,請參閱 Azure 待用資料加密。
API
Azure 專用 HSM 和 Azure 付款 HSM 支援 PKCS#11、JCE/JCA 和 KSP/CNG API,但 Azure 金鑰保存庫和 Azure 金鑰保存庫受控 HSM 不支援。 Azure 金鑰保存庫和 Azure 金鑰保存庫受控 HSM 會使用 Azure 金鑰保存庫 REST API,並提供 SDK 支援。 如需 Azure Key Vault API 的詳細資訊,請參閱 Azure Key Vault REST API 參考。