Informace o klíčích
Azure Key Vault nabízí dva typy prostředků pro ukládání a správu kryptografických klíčů. Trezory podporují klíče chráněné softwarem a modulem hardwarového zabezpečení (HSM). Spravované HSM podporují jenom klíče chráněné HSM.
| Typ prostředku | Klíčové metody ochrany | Základní adresa URL koncového bodu roviny dat |
|---|---|---|
| Trezory | Chráněno softwarem a Chráněné HSM (s Premium SKU) |
https://{název-trezoru}.vault.azure.net |
| Spravované HSM | Chráněné HSM | https://{hsm-name}.managedhsm.azure.net |
- Trezory – trezory poskytují nízkonákladové, snadno nasaditčné, více tenantské, zónové odolné (pokud je k dispozici), vysoce dostupné řešení pro správu klíčů vhodné pro většinu běžných scénářů cloudových aplikací.
- Spravované HSM – Managed HSM poskytuje pro ukládání a správu kryptografických klíčů moduly hardwarového zabezpečení odolné vůči zónám s jedním tenantem (pokud jsou k dispozici). Nejvhodnější pro aplikace a scénáře použití, které se řídí klíči s vysokou hodnotou. Pomáhá také splnit většinu přísnějších požadavků na zabezpečení, dodržování předpisů a zákonné požadavky.
Poznámka
Trezory také umožňují kromě kryptografických klíčů ukládat a spravovat několik typů objektů, jako jsou tajné kódy, certifikáty a klíče účtu úložiště.
Kryptografické klíče v Key Vault jsou reprezentovány jako JSON Web Key [JWK]. Specifikace JavaScript Object Notation (JSON) a JAVAScript Object Signing and Encryption (FUNKCE) jsou následující:
Základní specifikace JWK/JWA jsou také rozšířeny o povolení typů klíčů jedinečných pro Azure Key Vault a spravované HSM.
Klíče chráněné HSM (označované také jako klíče HSM) se zpracovávají v modulu HSM (Modul hardwarového zabezpečení) a vždy zůstávají hranicí ochrany HSM.
- Trezory používají hsm ověřené podle FIPS 140-2 Level 2 k ochraně klíčů HSM ve sdílené back-endové infrastruktuře HSM.
- Spravovaný HSM používá moduly HSM ověřené podle FIPS 140-2 Level 3 k ochraně vašich klíčů. Každý fond HSM je izolovaná instance s jedním tenantem s vlastní doménou zabezpečení, která poskytuje úplnou kryptografickou izolaci od všech ostatních HSM sdílejících stejnou hardwarovou infrastrukturu.
Tyto klíče jsou chráněné ve fondech HSM s jedním tenantem. RSA, EC a symetrický klíč můžete importovat v softwarové podobě nebo exportem z podporovaného zařízení HSM. Klíče můžete také generovat ve fondech HSM. Při importu klíčů HSM pomocí metody popsané ve specifikaci BYOK (Přinestesi vlastní klíč) se povolí zabezpečený transportní materiál do spravovaných fondů HSM.
Další informace o geografických hranicích najdete v Microsoft Azure Trust Center.
Klíčové typy a metody ochrany
Key Vault podporuje klíče RSA a EC. Spravovaný HSM podporuje RSA, EC a symetrické klíče.
Klíče chráněné pomocí HSM
| Typ klíče | Trezory (Premium SKU) | Spravované HSM |
|---|---|---|
| EC-HSM: Klávesa Elliptic Curve | Podporováno (P-256, P-384, P-521, P-256K) | Podporováno (P-256, P-256K, P-384, P-521) |
| RSA-HSM: klíč RSA | Podporováno (2048 bitů, 3072 bitů, 4096 bitů) | Podporováno (2048 bitů, 3072 bitů, 4096 bitů) |
| oct-HSM: Symetrický klíč | Nepodporováno | Podporováno (128bitová, 192bitová, 256bitová verze) |
Klíče chráněné softwarem
| Typ klíče | Trezory | Spravované HSM |
|---|---|---|
| RSA: Klíč RSA chráněný softwarem | Podporováno (2048 bitů, 3072 bitů, 4096 bitů) | Nepodporováno |
| EC: Klíč "Softwarově chráněná" elipsa | Podporováno (P-256, P-384, P-521, P-256K) | Nepodporováno |
Dodržování předpisů
| Typ a cíl klíče | Dodržování předpisů |
|---|---|
| Klíče chráněné softwarem v trezorech (Premium & SKU Standard) | FIPS 140-2 Level 1 |
| Klíče chráněné HSM v trezorech (Premium SKU) | FIPS 140-2 Level 2 |
| Klíče chráněné HSM ve spravovaném HSM | FIPS 140-2 Level 3 |
Podrobnosti o jednotlivých typech klíčů, algoritmech, operacích, atributech a značkách najdete v tématu Typy klíčů, algoritmy a operace.
Scénáře použití
| Kdy je použít | Příklady |
|---|---|
| Šifrování dat na straně serveru Azure pro integrované poskytovatele prostředků s využitím klíčů spravovaných zákazníkem | - Šifrování na straně serveru s využitím klíčů spravovaných zákazníkem v Azure Key Vault |
| Šifrování dat na straně klienta | - Šifrování na straně klienta s Azure Key Vault |
| Protokol TLS bez klíčů | – Použití klíčových klientských knihoven |