Share via

«About keys»

  • مقالة

يوفر Azure Key Vault نوعين من الموارد لتخزين مفاتيح التشفير وإدارتها. تدعم Vaults مفاتيح محمية بالبرامج ومفاتيح محمية من HSM (وحدة أمان الأجهزة). تدعم HSMs المدارة المفاتيح المحمية من HSM فقط.

نوع المورد طرق الحماية الرئيسية عنوان URL الأساسي لنقطة نهاية البيانات
خزائن محمية من البرامج

و

محمية من HSM (مع Premium SKU)		 https://{vault-name}.vault.azure.net
HSMs المدارة محمية من HSM https://{hsm-name}.managedhsm.azure.net
  • Vaults - توفر الخزائن حلا منخفض التكلفة وسهل النشر ومتعدد المستأجرين ومرنا للمنطقة (حيثما كان متوفرا)، وهو حل إدارة رئيسي عالي التوفر مناسب لسيناريوهات التطبيقات السحابية الأكثر شيوعا.
  • HSMs المدارة - توفر HSM المدارة مستأجرا واحدا ومرنا للمنطقة (حيثما كان متوفرا)، وHSMs عالية التوفر لتخزين مفاتيح التشفير وإدارتها. الأكثر ملاءمة للتطبيقات وسيناريوهات الاستخدام التي تعالج مفاتيح القيمة العالِية. يساعد أيضًا على تلبية متطلبات الأمان والامتثال والتنظيم الأكثر صرامة.

إشعار

كما تسمح لك الخزائن بتخزين وإدارة عدة أنواع من الأشياء؛ مثل: الأسرار، والشهادات، ومفاتيح حسابات التخزين، بالإضافة إلى مفاتيح التشفير.

يتم تمثيل مفاتيح التشفير في مفتاح Vault ككائنات مفتاح ويب JSON [JWK]. مواصفات تدوين كائن JavaScript (JSON) و JavaScript توقيع وتشفير الكائنات (JOSE) هي:

كما تم توسيع مواصفات JWK/JWA الأساسية؛ لتمكين الأنواع الرئيسية الفريدة من نوعها في تطبيقات Azure Key Vault وHSM المدارة.

مفاتيح HSM في الخزائن محمية؛ مفاتيح البرامج غير محمية بواسطة HSMs.

  • تستفيد المفاتيح المخزنة في المخازن من الحماية القوية باستخدام FIPS 140 HSM الذي تم التحقق من صحته. هناك نظامان أساسيان متميزان ل HSM متاحان: 1، والذي يحمي إصدارات المفاتيح مع FIPS 140-2 المستوى 2، و2، والذي يحمي المفاتيح باستخدام FIPS 140-2 المستوى 3 HSMs اعتمادا على وقت إنشاء المفتاح. يتم الآن إنشاء جميع المفاتيح الجديدة وإصدارات المفاتيح باستخدام النظام الأساسي 2 (باستثناء الموقع الجغرافي للمملكة المتحدة). لتحديد النظام الأساسي ل HSM الذي يحمي إصدارا رئيسيا، احصل على hsmPlatform.
  • تستخدم HSM المدارة وحدات HSM المعتمدة من المستوى 3 من FIPS 140-2 لحماية مفاتيحك. كل تجمع HSM هو مثيل مستأجر واحد معزول مع مجال الأمان الخاص به يوفر عزل تشفير كامل من جميع HSM الأخرى التي تشترك في نفس البنية الأساسية للأجهزة.

هذه المفاتيح محمية في تجمعات HSM المستأجرة المفردة. يمكنك استيراد مفتاح RSA وEC والمتماثل في شكل ناعم، أو عن طريق التصدير من جهاز HSM معتمد. يمكنك أيضًا إنشاء مفاتيح في تجمعات HSM. عند استيراد مفاتيح HSM باستخدام الطريقة الموضحة في مواصفات BYOK (إحضار المفتاح الخاص بك)، فإنه يتيح مواد مفتاح النقل الآمن إلى تجمعات HSM المدارة.

لمزيد من المعلومات حول الحدود الجغرافية، راجع مركز توثيق Microsoft Azure

أنواع المفاتيح وطرق الحماية

مفتاح المدفن يدعم RSA ومفاتيح EC. يدعم HSM المدارة RSA وEC ومفاتيح متماثلة.

مفاتيح محمية بـ HSM

نَوع المفتاح خزائن (Premium SKU فقط) HSMs المدارة
EC-HSM: مفتاح منحنى القطع الناقص مدعوم (P-256، P-384، P-521، secp256k1/P-256K) مدعوم (P-256، secp256k1/P-256K، P-384، P-521)
RSA-HSM: مفتاح RSA مدعوم (2048 بت، 3072 بت، 4096 بت) مدعوم (2048 بت، 3072 بت، 4096 بت)
oct-HSM: مفتاح متماثل غير مدعوم مدعوم (128 بت، 192 بت، 256 بت)

المفاتيح المحمية بالبرامج

نَوع المفتاح المخازن HSMs المدارة
RSA: مفتاح RSA "محمي بالبرامج" مدعوم (2048 بت، 3072 بت، 4096 بت) غير مدعوم
EC: مفتاح منحنى القطع الناقص "المحمي بالبرامج" مدعوم (P-256، P-384، P-521، secp256k1/P-256K) غير مدعوم

التوافق

نوع المفتاح والوجهة التوافق
مفاتيح محمية بالبرامج (hsmPlatform 0) في الخزائن FIPS 140-2 المُستوى 1
hsmPlatform 1 مفاتيح محمية في الخزائن (Premium SKU) FIPS 140-2 المستوى 2
hsmPlatform 2 مفاتيح محمية في الخزائن (Premium SKU) FIPS 140-2 المستوى 3
المفاتيح في HSM المدارة محمية دائما بواسطة HSM FIPS 140-2 المستوى 3

راجع أنواع المفاتيح والخوارزميات والعمليات للحصول على تفاصيل حول كل نوع مفتاح وخوارزميات وعمليات وسمات وعلامات.

سيناريوهات الاستخدام

وقت الاستخدام الأمثلة
تشفير البيانات من جانب الخادم Azure لموفري الموارد المتكاملة مع مفاتيح مدارة من قبل العملاء - التشفير من جانب الخادم باستخدام المفاتيح التي يديرها العميل في Azure Key Vault
تشفير البيانات من جانب العميل - التشفير من جانب العميل باستخدام Azure Key Vault
TLS دون مفتاح - استخدم مفتاح مكتبات العميل

الخطوات التالية