Over sleutels
Azure Key Vault biedt twee typen resources voor het opslaan en beheren van cryptografische sleutels. Kluizen ondersteunen met software beveiligde en met HSM beveiligde sleutels (Hardware Security Module). Beheerde HSM's ondersteunen alleen met HSM beveiligde sleutels.
| Brontype | Methoden voor sleutelbeveiliging | Basis-URL van het eindpunt van het gegevensvlak |
|---|---|---|
| Kluizen | Met software beveiligd en met HSM beveiligd (met Premium SKU) |
https://{vault-name}.vault.azure.net |
| Beheerde HSM's | HSM-beveiligd | https://{hsm-name}.managedhsm.azure.net |
- Kluizen - Kluizen bieden een goedkope, eenvoudig te implementeren, multi-tenant, zone-flexibele (indien beschikbaar), maximaal beschikbare oplossing voor sleutelbeheer die geschikt is voor de meeste veelvoorkomende scenario's voor cloudtoepassingen.
- Beheerde HSM's - Beheerde HSM biedt één tenant, zone-flexibele (indien beschikbaar), maximaal beschikbare HSM's voor het opslaan en beheren van uw cryptografische sleutels. Het meest geschikt voor toepassingen en gebruiksscenario's die hoogwaardige sleutels verwerken. Helpt u ook voldoen aan de strengste vereisten voor beveiliging, naleving en regelgeving.
Notitie
Met kluizen kunt u naast cryptografische sleutels ook verschillende typen objecten opslaan en beheren, zoals geheimen, certificaten en sleutels voor opslagaccounts.
Cryptografische sleutels in Key Vault worden weergegeven als JWK-objecten (JSON Web Key). De specificaties voor JavaScript Object Notation (JSON) en JavaScript Object Signing and Encryption (JOSE) zijn:
De basisspecificaties van JWK/JWA worden ook uitgebreid om sleuteltypen mogelijk te maken die uniek zijn voor de Azure Key Vault-implementatie en beheerde HSM-implementatie.
HSM-sleutels in kluizen zijn beveiligd; Softwaresleutels worden niet beveiligd door HSM's.
- Sleutels die zijn opgeslagen in kluizen profiteren van robuuste beveiliging met behulp van fips 140 gevalideerde HSM. Er zijn twee verschillende HSM-platforms beschikbaar: 1, die belangrijke versies beveiligt met FIPS 140-2 Niveau 2 en 2, waarmee sleutels worden beveiligd met FIPS 140-2 HSM's op niveau 3 , afhankelijk van wanneer de sleutel is gemaakt. Alle nieuwe sleutels en sleutelversies worden nu gemaakt met platform 2 (met uitzondering van geografische gebieden in het Verenigd Koninkrijk). Als u wilt bepalen welk HSM Platform een sleutelversie beveiligt, moet u het hsmPlatform downloaden.
- Beheerde HSM maakt gebruik van MET FIPS 140-2 Level 3 gevalideerde HSM-modules om uw sleutels te beveiligen. Elke HSM-pool is een geïsoleerd exemplaar met één tenant met een eigen beveiligingsdomein dat volledige cryptografische isolatie biedt van alle andere HSM's die dezelfde hardware-infrastructuur delen.
Deze sleutels worden beveiligd in HSM-groepen van één tenant. U een RSA-, EC- en symmetrische sleutel importeren, in zachte vorm of door te exporteren vanaf een ondersteund HSM-apparaat. U kunt ook sleutels genereren in HSM-pools. Wanneer u HSM-sleutels importeert met behulp van de methode die wordt beschreven in de specificatie BYOK (uw eigen sleutel gebruiken), wordt het sleutelmateriaal voor beveiligd transport in beheerde HSM-pools ingeschakeld.
Zie Microsoft Azure Trust Center voor meer informatie over geografische grenzen
Sleuteltypen en beveiligingsmethoden
Key Vault ondersteunt RSA- en EC-sleutels. Beheerde HSM ondersteunt RSA-, EC- en symmetrische sleutels.
HSM-beveiligde sleutels
| Type sleutel | Kluizen (alleen premium SKU) | Beheerde HSM's |
|---|---|---|
| EC-HSM: Elliptische curvesleutel | Ondersteund (P-256, P-384, P-521, secp256k1/P-256K) | Ondersteund (P-256, secp256k1/P-256K, P-384, P-521) |
| RSA-HSM: RSA-sleutel | Ondersteund (2048-bits, 3072-bits, 4096-bits) | Ondersteund (2048-bits, 3072-bits, 4096-bits) |
| oct-HSM: Symmetrische sleutel | Niet ondersteund | Ondersteund (128-bits, 192-bits, 256-bits) |
Met software beveiligde sleutels
| Type sleutel | Kluizen | Beheerde HSM's |
|---|---|---|
| RSA: RSA-sleutel met softwarebeveiliging | Ondersteund (2048-bits, 3072-bits, 4096-bits) | Niet ondersteund |
| EC: "Software-protected" Elliptic Curve key | Ondersteund (P-256, P-384, P-521, secp256k1/P-256K) | Niet ondersteund |
Naleving
| Sleuteltype en doel | Naleving |
|---|---|
| Met software beveiligde sleutels (hsmPlatform 0) in kluizen | FIPS 140-2 Level 1 |
| met hsmPlatform 1 beveiligde sleutels in kluizen (Premium SKU) | FIPS 140-2 Level 2 |
| met hsmPlatform 2 beveiligde sleutels in kluizen (Premium SKU) | FIPS 140-2 Niveau 3 |
| Sleutels in beheerde HSM zijn altijd met HSM beveiligd | FIPS 140-2 Niveau 3 |
Zie sleuteltypen, algoritmen en bewerkingen voor meer informatie over elk sleuteltype, algoritmen, bewerkingen, kenmerken en tags.
Gebruiksscenario's
| Wanneer gebruiken | Voorbeelden |
|---|---|
| Gegevensversleuteling aan de serverzijde voor geïntegreerde resourceproviders met door de klant beheerde sleutels | - Versleuteling aan de serverzijde met door de klant beheerde sleutels in Azure Key Vault |
| Gegevensversleuteling aan de clientzijde | - Versleuteling aan de clientzijde met Azure Key Vault |
| Sleutelloze TLS | - Sleutelclientbibliotheken gebruiken |