إدارة المفاتيح في Azure

مقالة
06/29/2023

ملاحظة

ثقة معدومة هي استراتيجية أمنية تتكون من ثلاثة مبادئ: "التحقق بشكل صريح" و"استخدام الوصول الأقل امتيازا" و"افتراض الخرق". تدعم حماية البيانات، بما في ذلك إدارة المفاتيح، مبدأ "استخدام الوصول الأقل امتيازا". لمزيد من المعلومات، راجع ما هو ثقة معدومة؟

في Azure، يمكن أن تكون مفاتيح التشفير إما مُدارة بواسطة النظام الأساسي أو مُدارة بواسطة العميل.

المفاتيح المدارة بواسطة النظام الأساسي (PMKs) هي مفاتيح تشفير تم إنشاؤها وتخزينها وإدارتها بالكامل بواسطة Azure. لا يتفاعل العملاء مع PMKs. المفاتيح المستخدمة لـ Azure Data Encryption-at-Rest، على سبيل المثال، هي PMKs بشكل افتراضي.

من ناحية أخرى، المفاتيح التي يديرها العميل (CMK)، هي مفاتيح للقراءة أو الإنشاء أو الحذف أو التحديث و/أو إدارتها من قبل عميل واحد أو أكثر. المفاتيح المخزنة في خزينة مفاتيح مملوكة للعميل أو وحدة أمان للأجهزة (HSM) هي CMKs. إحضار المفتاح الخاص بك (BYOK) هو سيناريو CMK يقوم فيه العميل باستيراد (جلب) مفاتيح من موقع تخزين خارجي إلى خدمة إدارة مفاتيح Azure (راجع Azure Key Vault: إحضار مواصفات المفتاح الخاص بك).

نوع معين من المفاتيح التي يديرها العميل هو "مفتاح تشفير المفتاح" (KEK). KEK هو مفتاح أساسي يتحكم في الوصول إلى مفتاح تشفير واحد أو أكثر مشفر.

يمكن تخزين المفاتيح التي يديرها العميل في محبيًا أو، بشكل أكثر شيوعًا، في خدمة إدارة المفاتيح السحابية.

خدمات إدارة مفاتيح Azure

يوفر Azure العديد من الخيارات لتخزين المفاتيح وإدارتها في السحابة، بما في ذلك Azure Key Vault وAzure Managed HSM وAzure Dedicated HSM وAzure Payment HSM. تختلف هذه الخيارات من حيث مستوى توافقها مع FIPS ونفقات الإدارة والتطبيقات المقصودة.

للحصول على نظرة عامة على كل خدمة إدارة مفاتيح ودليل شامل لاختيار حل إدارة المفاتيح المناسب لك، راجع كيفية اختيار حل إدارة المفتاح الصحيح.

الأسعار

تتم محاسبة مستويي Azure Key Vault القياسي والمتميز على أساس العمليات، مع رسوم شهرية إضافية لكل مفتاح للمفاتيح المتميزة المدعومة بالأجهزة. لا تفرض HSM المدارة وHSM المخصص المدفوعات HSM رسوما على أساس المعاملات؛ بدلا من ذلك فهي أجهزة قيد الاستخدام دائما تتم فوترتها بسعر ثابت بالساعة. للحصول على معلومات مفصلة عن الأسعار، راجع أسعار Key Vault، وأسعار HSM المخصص، وأسعار الدفع HSM.

حدود الخدمة

توفر HSM المُدار وHSM المخصص وHSM للمدفوعات سعة مخصصة. Key Vault Standard وPremium عبارة عن عروض متعددة المستأجرين ولها حدود خانقة. لمعرفة حدود الخدمة، راجع حدود خدمة Key Vault.

Encryption-At-Rest

يحتوي Azure Key Vault وAzure Key Vault المُدار من HSM على تكامل مع Azure Services وMicrosoft 365 للمفاتيح المُدارة من قِبل العميل، ما يعني أنه يمكن للعملاء استخدام مفاتيحهم الخاصة في Azure Key Vault وAzure Key Managed HSM للتشفير في باقي البيانات المخزنة في هذه الخدمات. HSM المخصص والمدفوعات يعد HSM عروض البنية الأساسية كخدمة ولا يقدم تكاملاً مع خدمات Azure. للحصول على نظرة عامة بشأن التشفير أثناء الثبات (عدم تنقلها) باستخدام Azure Key Vault وHSM المُدار، راجع Azure Data Encryption-at-Rest.

واجهات برمجة التطبيقات

يدعم HSM المخصص والمدفوعات واجهات برمجة التطبيقات PKCS # 11 وJCE/JCA وKSP/CNG، لكن Azure Key Vault وHSM المُدار لا يدعمان ذلك. يستخدم Azure Key Vault وHSM المُدار واجهة Azure Key Vault REST API ويقدمان دعم SDK. لمزيد من المعلومات بشأن Azure Key Vault API، راجع مرجع واجهة برمجة تطبيقات Azure Key Vault REST.

مشاركة عبر