Informationen zu Schlüsseln
Azure Key Vault bietet zwei Arten von Ressourcen für die Speicherung und Verwaltung kryptografischer Schlüssel. Vault-Instanzen unterstützen sowohl durch Software als auch durch HSM (Hardware Security Module, Hardwaresicherheitsmodul) geschützte Schlüssel. Verwaltete HSMs unterstützen nur durch HSM geschützte Schlüssel.
| Ressourcentyp | Schlüsselschutzmethoden | Basis-URL des Datenebenenendpunkts |
|---|---|---|
| Tresore | Softwaregeschützt und Durch HSM geschützt (mit Premium-SKU) |
https://{Tresorname}.vault.azure.net |
| Verwaltete HSMs | Durch HSM geschützt | https://{HSM-Name}.managedhsm.azure.net |
- Tresore: Tresore bieten eine kostengünstige, leicht bereitzustellende, mehrinstanzenfähige, zonenresiliente (sofern verfügbar) und hochverfügbare Schlüsselverwaltungslösung, die für die meisten gängigen Cloudanwendungsszenarien geeignet ist.
- Verwaltete HSMs: Verwaltetes HSM bietet einzelinstanzfähige, zonenresiliente (sofern verfügbar) und hochverfügbare HSMs zum Speichern und Verwalten Ihrer kryptografischen Schlüssel. Diese Lösung eignet sich am besten für Anwendungen und Verwendungsszenarien, in denen Schlüsseln mit hohem Wert verwendet werden. Darüber hinaus ermöglicht sie die Erfüllung besonders strenger Sicherheits- und Complianceanforderungen sowie entsprechender gesetzlicher Anforderungen.
Hinweis
Mit Tresoren können neben kryptografischen Schlüsseln auch verschiedene Arten von Objekten wie etwa Geheimnisse, Zertifikate und Speicherkontoschlüssel gespeichert und verwaltet werden.
Kryptografische Schlüssel in Key Vault werden als JSON Web Key-Objekte (JWK) dargestellt. Die Spezifikationen von JavaScript Object Notation (JSON) und JavaScript Object Signing and Encryption (JOSE) lauten wie folgt:
Die grundlegenden JWK/JWA-Spezifikationen wurden erweitert, um Schlüsseltypen zu ermöglichen, die speziell für die Implementierung von Azure Key Vault und verwalteten HSMs verwendet werden.
HSM-Schlüssel in Tresoren sind geschützt; Softwareschlüssel sind nicht durch HSMs geschützt.
- In Tresoren gespeicherte Schlüssel profitieren von einem robusten Schutz mit HSMs nach FIPS 140. Es gibt zwei unterschiedliche HSM-Plattformen: 1, bei der Schlüsselversionen mit FIPS 140-2 Level 2 geschützt werden, und 2, bei der Schlüssel mit HSMs nach FIPS 140-2 Level 3 schützt, je nachdem, wann der Schlüssel erstellt wurde. Alle neuen Schlüssel und Schlüsselversionen werden jetzt mit Plattform 2 erstellt (mit Ausnahme des geografischen Bereichs „Vereinigtes Königreich“). Um zu ermitteln, durch welche HSM-Plattform eine Schlüsselversion geschützt ist, rufen Sie den zugehörigen Wert hsmPlatform ab.
- Verwaltete HSMs verwenden durch FIPS 140-2 Level 3 überprüfte HSMs zum Schützen Ihrer Schlüssel. Jeder HSM-Pool ist eine isolierte Einzelmandanteninstanz mit eigener Sicherheitsdomäne, die vollständige kryptografische Isolation von allen anderen HSMs bietet, die die gleiche Hardwareinfrastruktur nutzen.
Diese Schlüssel werden in HSM-Pools mit einem einzelnen Mandanten geschützt. Sie können einen RSA-Schlüssel, einen EC-Schlüssel und einen symmetrischen Schlüssel importieren – in Soft-Form oder durch Exportieren von einem kompatiblen HSM-Gerät. Außerdem können Sie Schlüssel in HSM-Pools generieren. Wenn Sie HSM-Schlüssel unter Verwendung der in der BYOK-Spezifikation (Bring Your Own Key) beschriebenen Methode importieren, ermöglicht dies den sicheren Transport von Schlüsselmaterial in Pools verwalteter HSMs.
Weitere Informationen zu geografischen Grenzen finden Sie unter Datenschutz.
Schlüsseltypen und Schutzmethoden
Key Vault unterstützt RSA- und EC-Schlüssel. Verwaltete HSMs unterstützen RSA-Schlüssel, EC-Schlüssel und symmetrische Schlüssel.
HSM-geschützte Schlüssel
| Schlüsseltyp | Tresore (nur Premium-SKU) | Verwaltete HSMs |
|---|---|---|
| EC-HSM: Elliptic Curve-Schlüssel | Unterstützt (P-256, P-384, P-521, secp256k1/P-256K) | Unterstützt (P-256, secp256k1/P-256K, P-384, P-521) |
| RSA-HSM: RSA-Schlüssel | Unterstützt (2048 Bit, 3072 Bit, 4096 Bit) | Unterstützt (2048 Bit, 3072 Bit, 4096 Bit) |
| oct-HSM: symmetrischer Schlüssel | Nicht unterstützt | Unterstützt (128 Bit, 192 Bit, 256 Bit) |
Softwaregeschützte Schlüssel
| Schlüsseltyp | Tresore | Verwaltete HSMs |
|---|---|---|
| RSA: Softwaregeschützter RSA-Schlüssel | Unterstützt (2048 Bit, 3072 Bit, 4096 Bit) | Nicht unterstützt |
| EC: Softwaregeschützter Elliptic Curve-Schlüssel. | Unterstützt (P-256, P-384, P-521, secp256k1/P-256K) | Nicht unterstützt |
Kompatibilität
| Schlüsseltyp und -ziel | Kompatibilität |
|---|---|
| Durch Software geschützte (hsmPlatform 0) Schlüssel in Tresoren | FIPS 140-2 Level 1 |
| Durch hsmPlatform 1 geschützte Schlüssel in Tresoren (Premium-SKU) | FIPS 140-2 Level 2 |
| Durch hsmPlatform 2 geschützte Schlüssel in Tresoren (Premium-SKU) | FIPS 140-2 Level 3 |
| Schlüssel in verwalteten HSMs sind immer durch HSMs geschützt. | FIPS 140-2 Level 3 |
Ausführliche Informationen zu den einzelnen Schlüsseltypen, Algorithmen, Vorgängen, Attributen und Tags finden Sie unter Schlüsseltypen, Algorithmen und Vorgänge.
Verwendungsszenarien
| Verwendung | Beispiele |
|---|---|
| Serverseitige Azure-Datenverschlüsselung für integrierte Ressourcenanbieter mit kundenseitig verwalteten Schlüsseln | - Serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln in Azure Key Vault |
| Clientseitige Datenverschlüsselung | - Clientseitige Verschlüsselung und Azure Key Vault für Microsoft Azure Storage |
| Schlüsselloses TLS | - Verwenden Sie Clientbibliotheken für Schlüssel. |