Információ a kulcsokról

Az Azure Key Vault kétféle erőforrást biztosít a titkosítási kulcsok tárolásához és kezeléséhez. A tárolók támogatják a szoftveres és HSM által védett (hardveres biztonsági modul) kulcsokat. A felügyelt HSM-k csak a HSM által védett kulcsokat támogatják.

Erőforrás típusa Kulcsvédelmi módszerek Adatsík végponti alap URL-címe
Kulcstartók Szoftveres védelem

és

HSM által védett (Prémium termékváltozattal)
https://{vault-name}.vault.azure.net
Felügyelt HSM-ek HSM által védett https://{hsm-name}.managedhsm.azure.net
  • Tárolók – A tárolók alacsony költségű, könnyen üzembe helyezhető, több-bérlős, zónareziliens (ahol vannak) magas rendelkezésre állású kulcskezelési megoldást biztosítanak, amely a leggyakoribb felhőalkalmazás-forgatókönyvekhez használható.
  • Felügyelt HSM - A felügyelt HSM egybérlős, zónarugalmas (ahol elérhető), magas rendelkezésre állású HSM-eket biztosít a titkosítási kulcsok tárolásához és kezeléséhez. Leginkább olyan alkalmazásokhoz és használati forgatókönyvekhez alkalmas, amelyek nagy értékű kulcsokat kezelnek. Emellett segít megfelelni a legszigorúbb biztonsági, megfelelőségi és szabályozási követelményeknek is.

Megjegyzés

A tárolók lehetővé teszik a titkosítási kulcsok mellett különböző típusú objektumok, például titkos kódok, tanúsítványok és tárfiókkulcsok tárolását és kezelését is.

A Key Vault titkosítási kulcsai JSON-webkulcs -[JWK] objektumokként jelennek meg. A JavaScript Object Notation (JSON) és a JavaScript Object Signing and Encryption (JOSE) specifikációi a következők:

Az alap JWK/JWA-specifikációk is ki vannak bővítve, hogy lehetővé tegyék az Azure-Key Vault és a felügyelt HSM-implementációkra egyedi kulcstípusokat.

A HSM által védett kulcsok (más néven HSM-kulcsok) hSM-ben (hardveres biztonsági modulban) vannak feldolgozva, és mindig HSM-védelmi határ maradnak.

  • A tárolók a FIPS 140-2 2. szintű ellenőrzött HSM-eket használják a HSM-kulcsok védelmére a megosztott HSM háttérinfrastruktúrában.
  • A felügyelt HSM FIPS 140-2 3. szintű ellenőrzött HSM-modulokat használ a kulcsok védelméhez. Minden HSM-készlet egy elkülönített egybérlős példány saját biztonsági tartománnyal , amely teljes titkosítási elkülönítést biztosít az azonos hardverinfrastruktúrával rendelkező többi HSM-től.

Ezek a kulcsok egybérlős HSM-készletekben vannak védve. Importálhat RSA-, EC- és szimmetrikus kulcsot lágy formában, vagy egy támogatott HSM-eszközről való exportálással. A HSM-készletekben kulcsokat is létrehozhat. Ha A HSM-kulcsokat a BYOK (saját kulcs) specifikációjában leírt módszerrel importálja, az biztonságos szállításikulcs-anyagokat tesz lehetővé a felügyelt HSM-készletekbe.

További információ a földrajzi határokról: Microsoft Azure Adatvédelmi központ

Kulcstípusok és védelmi módszerek

Key Vault támogatja az RSA- és EC-kulcsokat. A felügyelt HSM támogatja az RSA, az EC és a szimmetrikus kulcsokat.

HSM-védett kulcsok

Kulcs típusa Tárolók (csak Prémium termékváltozat) Felügyelt HSM-ek
EC-HSM: Elliptikus görbekulcs Támogatott (P-256, P-384, P-521, P-256K) Támogatott (P-256, P-256K, P-384, P-521)
RSA-HSM: RSA-kulcs Támogatott (2048 bites, 3072 bites, 4096 bites) Támogatott (2048 bites, 3072 bites, 4096 bites)
oct-HSM: Szimmetrikus kulcs Nem támogatott Támogatott (128 bites, 192 bites, 256 bites)

Szoftveres védelem alatt álló kulcsok

Kulcs típusa Kulcstartók Felügyelt HSM-ek
RSA: "Szoftveres védelemmel ellátott" RSA-kulcs Támogatott (2048 bites, 3072 bites, 4096 bites) Nem támogatott
EC: "Szoftveres védelemmel ellátott" elliptikus görbekulcs Támogatott (P-256, P-384, P-521, P-256K) Nem támogatott

Megfelelőség

Kulcs típusa és célja Megfelelőség
Szoftveres védelem alatt álló kulcsok tárolókban (Prémium & Standard termékváltozatok) FIPS 140-2 1. szint
HSM által védett kulcsok tárolókban (Prémium termékváltozat) 2. szintű FIPS 140-2
HSM által védett kulcsok a felügyelt HSM-ben FIPS 140-2 3. szint

Az egyes kulcstípusok, algoritmusok, műveletek, attribútumok és címkék részleteiért tekintse meg a kulcstípusokat, algoritmusokat, műveleteket, attribútumokat és műveleteket.

Használati forgatókönyvek

A következő esetekben használja Példák
Azure-kiszolgálóoldali adattitkosítás ügyfél által felügyelt kulcsokkal rendelkező integrált erőforrás-szolgáltatók számára - Kiszolgálóoldali titkosítás ügyfél által felügyelt kulcsokkal az Azure Key Vault
Ügyféloldali adattitkosítás - Ügyféloldali titkosítás az Azure Key Vault
Kulcs nélküli TLS – Kulcs ügyfélkódtárak használata

Következő lépések