Kulcskezelés az Azure-ban
Megjegyzés
Teljes felügyelet egy biztonsági stratégia, amely három alapelvből áll: "Explicit módon történő ellenőrzés", "Minimális jogosultsági hozzáférés használata", valamint "Behatolás feltételezése". Az adatvédelem, beleértve a kulcskezelést is, támogatja a "legkevésbé jogosultsági hozzáférés használata" elvet. További információ: Mi az a Teljes felügyelet?
Az Azure-ban a titkosítási kulcsok platform vagy ügyfél által felügyeltek lehetnek.
A platform által felügyelt kulcsok (PMK-k) olyan titkosítási kulcsok, amelyeket teljes egészében az Azure hoz létre, tárol és kezel. Az ügyfelek nem kommunikálnak a PMK-kkal. Az Azure Data Encryption-at-Rest-hez használt kulcsok például alapértelmezés szerint PMK-k.
Az ügyfél által felügyelt kulcsok (CMK) viszont egy vagy több ügyfél által beolvasott, létrehozott, törölt, frissített és/vagy felügyelt kulcsok. Az ügyfél tulajdonában lévő kulcstartóban vagy hardveres biztonsági modulban (HSM) tárolt kulcsok CMK-k. A Saját kulcs használata (BYOK) egy CMK-forgatókönyv, amelyben az ügyfél egy külső tárolási helyről importál (hoz) kulcsokat egy Azure-kulcskezelési szolgáltatásba (lásd az Azure Key Vault: Saját kulcs specifikációjának használata).
Az ügyfél által kezelt kulcs egy adott típusa a "kulcstitkosítási kulcs" (KEK). A KEK egy elsődleges kulcs, amely egy vagy több, önmagukban titkosított titkosítási kulcshoz való hozzáférést szabályozza.
Az ügyfél által felügyelt kulcsok tárolhatók a helyszínen vagy általában egy felhőkulcs-kezelési szolgáltatásban.
Azure-kulcskezelési szolgáltatások
Az Azure számos lehetőséget kínál a kulcsok felhőben való tárolására és kezelésére, beleértve az Azure Key Vault, az Azure Managed HSM-et, az Azure Dedicated HSM-et és az Azure Payment HSM-et. Ezek a lehetőségek a FIPS megfelelőségi szintje, a felügyeleti terhelés és a tervezett alkalmazások tekintetében különböznek.
Az egyes kulcskezelési szolgáltatások áttekintését és a megfelelő kulcskezelési megoldás kiválasztására vonatkozó átfogó útmutatót a Megfelelő kulcskezelési megoldás kiválasztása című témakörben találja.
Díjszabás
Az Azure Key Vault Standard és Prémium szintű tarifacsomagok számlázása tranzakciós alapon történik, a prémium hardveres háttérkulcsokért pedig további havi, kulcsonkénti díjakat kell fizetni. A felügyelt HSM, a dedikált HSM és Kifizetések HSM nem tranzakciós alapon számít fel díjat, hanem mindig használatban lévő eszközök, amelyek számlázása rögzített óránként történik. Részletes díjszabási információkért lásd: Key Vault díjszabás, dedikált HSM-díjszabás és fizetési HSM-díjszabás.
Szolgáltatási korlátozások
A felügyelt HSM, a dedikált HSM és Kifizetések HSM dedikált kapacitást kínál. Key Vault Standard és Premium több-bérlős ajánlatok, és szabályozási korlátozásokkal rendelkeznek. A szolgáltatáskorlátokért lásd: Key Vault szolgáltatáskorlátok.
Inaktív titkosítás
Az Azure Key Vault és az Azure Key Vault felügyelt HSM integrációval rendelkezik az Azure Services és a Microsoft 365 for Customer Managed Keys szolgáltatással, ami azt jelenti, hogy az ügyfelek saját kulcsaikat használhatják az Azure Key Vault és az Azure Key Managed HSM-ben az ezekben a szolgáltatásokban tárolt adatok titkosításához. A dedikált HSM és Kifizetések HSM szolgáltatásként nyújtott infrastruktúra-ajánlatok, és nem kínálnak integrációt az Azure-szolgáltatásokkal. Az Azure Key Vault és a felügyelt HSM használatával végzett inaktív titkosítás áttekintését lásd: Azure Data Encryption-at-Rest.
API-k
A dedikált HSM és Kifizetések HSM támogatja a PKCS#11, a JCE/JCA és a KSP/CNG API-kat, de az Azure Key Vault és a felügyelt HSM nem. Az Azure Key Vault és a felügyelt HSM az Azure Key Vault REST API-t használja, és SDK-támogatást kínál. Az Azure Key Vault API-val kapcsolatos további információkért lásd: Azure Key Vault REST API-referencia.