Információ a kulcsokról

Az Azure Key Vault kétféle erőforrást biztosít a titkosítási kulcsok tárolásához és kezeléséhez. A tárolók támogatják a szoftveres védelem és a HSM által védett (hardveres biztonsági modul) kulcsokat. A felügyelt HSM-k csak a HSM által védett kulcsokat támogatják.

Erőforrás típusa	Kulcsvédelmi módszerek	Adatsík végpont alap URL-címe
Boltívek	Szoftveres védelem és HSM által védett (prémium termékváltozattal)	https://{vault-name}.vault.azure.net
Felügyelt HSM-k	HSM által védett	https://{hsm-name}.managedhsm.azure.net

• Tárolók – A tárolók alacsony költségű, könnyen üzembe helyezhető, több-bérlős, zónareziliens (ahol elérhető), magas rendelkezésre állású kulcskezelési megoldást biztosítanak, amely a leggyakoribb felhőalkalmazás-forgatókönyvekhez használható.
• Felügyelt HSM - A felügyelt HSM egybérlős , zónareziliens (ahol elérhető), magas rendelkezésre állású HSM-eket biztosít a titkosítási kulcsok tárolásához és kezeléséhez. Leginkább olyan alkalmazásokhoz és használati forgatókönyvekhez alkalmas, amelyek nagy értékű kulcsokat kezelnek. Emellett segít megfelelni a legszigorúbb biztonsági, megfelelőségi és szabályozási követelményeknek.

Feljegyzés

A tárolók lehetővé teszik, hogy a titkosítási kulcsok mellett többféle objektumot is tároljon és kezeljen, például titkos kulcsokat, tanúsítványokat és tárfiókkulcsokat.

A Key Vault titkosítási kulcsai JSON-webkulcs -[JWK] objektumokként jelennek meg. A JavaScript Object Notation (JSON) és a JavaScript Object Signing and Encryption (JO Standard kiadás) specifikációi a következők:

• JSON webkulcs (JWK)
• JSON webtitkosítás (JWE)
• JSON webes algoritmusok (JWA)
• JSON webes aláírás (JWS)

Az alap JWK/JWA-specifikációk az Azure Key Vault és a felügyelt HSM-implementációk egyedi kulcstípusainak engedélyezéséhez is ki vannak terjesztve.

A tárolók HSM-kulcsai védettek; A szoftverkulcsokat nem védik a HSM-ek.

• A tárolókban tárolt kulcsok hatékony védelmet nyújtanak a FIPS 140 által ellenőrzött HSM használatával. Két különböző HSM-platform érhető el: 1, amely a kulcsverziókat a FIPS 140-2 Level 2 és a 2 használatával védi, amelyek a kulcsok fiPS 140-2 3. szintű HSM-ekkel vannak védve a kulcs létrehozásának időpontjától függően. Az összes új kulcs és kulcsverzió a 2. platformmal jön létre (az Egyesült Királyság földrajzi régiója kivételével). Annak megállapításához, hogy melyik HSM-platform védi a kulcsverziót, kérje le a hsmPlatformot.
• A felügyelt HSM a FIPS 140-2 3. szintű hitelesített HSM-modulokat használja a kulcsok védelméhez. Minden HSM-készlet egy különálló egybérlős példány saját biztonsági tartománnyal , amely teljes titkosítási elkülönítést biztosít az azonos hardverinfrastruktúrával rendelkező többi HSM-től.

Ezek a kulcsok védettek az egybérlős HSM-készletekben. Az RSA, EC és szimmetrikus kulcsok importálhatók puha formában, vagy egy támogatott HSM-eszközről való exportálással. A HSM-készletekben kulcsokat is létrehozhat. Ha a HSM-kulcsokat a BYOK (saját kulcs) specifikációban leírt módszerrel importálja, az biztonságos szállításikulcs-anyagokat tesz lehetővé a felügyelt HSM-készletekbe.

További információ a földrajzi határokról: Microsoft Azure Trust Center

Kulcstípusok és védelmi módszerek

A Key Vault támogatja az RSA- és EC-kulcsokat. A felügyelt HSM támogatja az RSA, az EC és a szimmetrikus kulcsokat.

HSM-védett kulcsok

Kulcs típusa	Tárolók (csak prémium termékváltozat)	Felügyelt HSM-k
EC-HSM: Elliptikus görbekulcs	Támogatott (P-256, P-384, P-521, secp256k1/P-256K)	Támogatott (P-256, secp256k1/P-256K, P-384, P-521)
RSA-HSM: RSA-kulcs	Támogatott (2048 bites, 3072 bites, 4096 bites)	Támogatott (2048 bites, 3072 bites, 4096 bites)
okt-HSM: Szimmetrikus kulcs	Nem támogatott	Támogatott (128 bites, 192 bites, 256 bites)

Szoftverrel védett kulcsok

Kulcs típusa	Kulcstartók	Felügyelt HSM-k
RSA: "Szoftver által védett" RSA-kulcs	Támogatott (2048 bites, 3072 bites, 4096 bites)	Nem támogatott
EC: "Szoftver által védett" elliptikus görbekulcs	Támogatott (P-256, P-384, P-521, secp256k1/P-256K)	Nem támogatott

Megfelelőség

Kulcs típusa és célja	Megfelelőség
Szoftveresen védett (hsmPlatform 0) kulcsok a tárolókban	FIPS 140-2 1. szint
hsmPlatform 1 védett kulcs a tárolókban (Prémium termékváltozat)	2. szintű FIPS 140-2
hsmPlatform 2 védett kulcs a tárolókban (Prémium termékváltozat)	FIPS 140-2 3. szint
A felügyelt HSM-kulcsok mindig HSM-védelemmel vannak ellátva	FIPS 140-2 3. szint

Az egyes kulcstípusok, algoritmusok, műveletek, attribútumok és címkék részleteiért tekintse meg a kulcstípusokat, algoritmusokat és műveleteket .

Használati forgatókönyvek

Mikor érdemes használni?	Példák
Azure-kiszolgálóoldali adattitkosítás az ügyfél által felügyelt kulcsokkal rendelkező integrált erőforrás-szolgáltatók számára	- Kiszolgálóoldali titkosítás ügyfél által felügyelt kulcsokkal az Azure Key Vaultban
Ügyféloldali adattitkosítás	- Ügyféloldali titkosítás az Azure Key Vaulttal
Kulcs nélküli TLS	– Kulcs ügyfélkódtárak használata

Következő lépések

• Kulcskezelés az Azure-ban
• Tudnivalók a Key Vaultról
• A felügyelt HSM ismertetése
• Tudnivalók a titkos kódokról
• Tudnivalók a tanúsítványokról
• A Key Vault REST API áttekintése
• Hitelesítés, kérelmek és válaszok
• Key Vault fejlesztői útmutató