Informationen zu Schlüsseln

Azure Key Vault bietet zwei Arten von Ressourcen für die Speicherung und Verwaltung kryptografischer Schlüssel. Vault-Instanzen unterstützen sowohl durch Software als auch durch HSM (Hardware Security Module, Hardwaresicherheitsmodul) geschützte Schlüssel. Verwaltete HSMs unterstützen nur durch HSM geschützte Schlüssel.

Ressourcentyp Schlüsselschutzmethoden Basis-URL des Datenebenenendpunkts
Tresore Softwaregeschützt

und

Durch HSM geschützt (mit Premium-SKU)
https://{Tresorname}.vault.azure.net
Verwaltete HSMs Durch HSM geschützt https://{HSM-Name}.managedhsm.azure.net
  • Tresore: Tresore bieten eine kostengünstige, leicht bereitzustellende, mehrinstanzenfähige, zonenresiliente (sofern verfügbar) und hochverfügbare Schlüsselverwaltungslösung, die für die meisten gängigen Cloudanwendungsszenarien geeignet ist.
  • Verwaltete HSMs: Verwaltetes HSM bietet einzelinstanzfähige, zonenresiliente (sofern verfügbar) und hochverfügbare HSMs zum Speichern und Verwalten Ihrer kryptografischen Schlüssel. Diese Lösung eignet sich am besten für Anwendungen und Verwendungsszenarien, in denen Schlüsseln mit hohem Wert verwendet werden. Darüber hinaus ermöglicht sie die Erfüllung besonders strenger Sicherheits- und Complianceanforderungen sowie entsprechender gesetzlicher Anforderungen.

Hinweis

Mit Tresoren können neben kryptografischen Schlüsseln auch verschiedene Arten von Objekten wie etwa Geheimnisse, Zertifikate und Speicherkontoschlüssel gespeichert und verwaltet werden.

Kryptografische Schlüssel in Key Vault werden als JSON Web Key-Objekte (JWK) dargestellt. Die Spezifikationen von JavaScript Object Notation (JSON) und JavaScript Object Signing and Encryption (JOSE) lauten wie folgt:

Die grundlegenden JWK/JWA-Spezifikationen wurden erweitert, um Schlüsseltypen zu ermöglichen, die speziell für die Implementierung von Azure Key Vault und verwalteten HSMs verwendet werden.

Durch HSM geschützte Schlüssel (auch HSM-Schlüssel genannt) werden in einem HSM (Hardwaresicherheitsmodul) verarbeitet und verlassen nie die HSM-Schutzgrenze.

  • Von Tresoren werden FIPS 140-2 Level 2-zertifizierte HSMs verwendet, um HSM-Schlüssel in einer gemeinsam genutzten HSM-Back-End-Infrastruktur zu schützen.
  • Verwaltete HSMs verwenden durch FIPS 140-2 Level 3 überprüfte HSMs zum Schützen Ihrer Schlüssel. Jeder HSM-Pool ist eine isolierte Einzelmandanteninstanz mit eigener Sicherheitsdomäne, die vollständige kryptografische Isolation von allen anderen HSMs bietet, die die gleiche Hardwareinfrastruktur nutzen.

Diese Schlüssel werden in HSM-Pools mit einem einzelnen Mandanten geschützt. Sie können einen RSA-Schlüssel, einen EC-Schlüssel und einen symmetrischen Schlüssel importieren – in Soft-Form oder durch Exportieren von einem kompatiblen HSM-Gerät. Außerdem können Sie Schlüssel in HSM-Pools generieren. Wenn Sie HSM-Schlüssel unter Verwendung der in der BYOK-Spezifikation (Bring Your Own Key) beschriebenen Methode importieren, ermöglicht dies den sicheren Transport von Schlüsselmaterial in Pools verwalteter HSMs.

Weitere Informationen zu geografischen Grenzen finden Sie unter Datenschutz.

Schlüsseltypen und Schutzmethoden

Key Vault unterstützt RSA- und EC-Schlüssel. Verwaltete HSMs unterstützen RSA-Schlüssel, EC-Schlüssel und symmetrische Schlüssel.

HSM-geschützte Schlüssel

Schlüsseltyp Tresore (nur Premium-SKU) Verwaltete HSMs
EC-HSM: Elliptic Curve-Schlüssel Unterstützt Unterstützt
RSA-HSM: RSA-Schlüssel Unterstützt Unterstützt
oct-HSM: symmetrischer Schlüssel Nicht unterstützt Unterstützt

Softwaregeschützte Schlüssel

Schlüsseltyp Tresore Verwaltete HSMs
RSA: Softwaregeschützter RSA-Schlüssel Unterstützt Nicht unterstützt
EC: Softwaregeschützter Elliptic Curve-Schlüssel. Unterstützt Nicht unterstützt

Kompatibilität

Schlüsseltyp und -ziel Kompatibilität
Softwaregeschützte Schlüssel in Tresoren (Premium- und Standard-SKUs) FIPS 140-2 Level 1
Durch HSM geschützte Schlüssel in Tresoren (Premium-SKU) FIPS 140-2 Level 2
Durch HSM geschützte Schlüssel in verwalteten HSMs FIPS 140-2 Level 3

Ausführliche Informationen zu den einzelnen Schlüsseltypen, Algorithmen, Vorgängen, Attributen und Tags finden Sie unter Schlüsseltypen, Algorithmen und Vorgänge.

Nächste Schritte