Over sleutels
Azure Key Vault biedt twee typen resources voor het opslaan en beheren van cryptografische sleutels. Kluizen bieden ondersteuning voor met software beveiligde en met HSM beveiligde sleutels (Hardware Security Module). Beheerde HSM's ondersteunen alleen met HSM beveiligde sleutels.
| Resourcetype | Methoden voor sleutelbeveiliging | Basis-URL van het eindpunt van het gegevensvlak |
|---|---|---|
| Kluizen | Met software beveiligd en met HSM beveiligd (met Premium SKU) |
https://{vault-name}.vault.azure.net |
| Beheerde HMS's | HSM-beveiligd | https://{hsm-name}.managedhsm.azure.net |
- Kluizen - Kluizen bieden een goedkope, eenvoudig te implementeren, multi-tenant, zone-flexibele (indien beschikbaar), maximaal beschikbare oplossing voor sleutelbeheer die geschikt is voor de meeste veelvoorkomende scenario's voor cloudtoepassingen.
- Beheerde HSM's - Beheerde HSM biedt één tenant, zone-flexibele (indien beschikbaar), maximaal beschikbare HSM's voor het opslaan en beheren van uw cryptografische sleutels. Het meest geschikt voor toepassingen en gebruiksscenario's die hoogwaardige sleutels verwerken. Helpt u ook voldoen aan de strengste vereisten voor beveiliging, naleving en regelgeving.
Notitie
Met kluizen kunt u naast cryptografische sleutels ook verschillende typen objecten opslaan en beheren, zoals geheimen, certificaten en sleutels voor opslagaccounts.
Cryptografische sleutels in Key Vault worden weergegeven als JWK-objecten (JSON Web Key). De specificaties voor JavaScript Object Notation (JSON) en JavaScript Object Signing and Encryption (JOSE) zijn:
De basisspecificaties van JWK/JWA worden ook uitgebreid om sleuteltypen mogelijk te maken die uniek zijn voor de Azure Key Vault-implementatie en beheerde HSM-implementatie.
Met HSM-beveiligde sleutels (ook wel HSM-sleutels genoemd) worden verwerkt in een HSM (Hardware Security Module) en behouden altijd de grens van de HSM-beveiliging.
- Kluizen gebruiken FIPS 140-2 Level 2 gevalideerde HSM's om HSM-sleutels in gedeelde HSM-backend-infrastructuur te beschermen.
- Beheerde HSM maakt gebruik van met FIPS 140-2 Level 3 gevalideerde HSM-modules om uw sleutels te beveiligen. Elke HSM-pool is een geïsoleerd exemplaar met één tenant met een eigen beveiligingsdomein dat volledige cryptografische isolatie biedt van alle andere HSM's die dezelfde hardware-infrastructuur delen.
Deze sleutels worden beveiligd in HSM-groepen van één tenant. U een RSA-, EC- en symmetrische sleutel importeren, in zachte vorm of door te exporteren vanaf een ondersteund HSM-apparaat. U kunt ook sleutels genereren in HSM-pools. Wanneer u HSM-sleutels importeert met behulp van de methode die wordt beschreven in de specificatie BYOK (uw eigen sleutel gebruiken), wordt het sleutelmateriaal voor beveiligd transport in beheerde HSM-pools ingeschakeld.
Zie Microsoft Azure Trust Center voor meer informatie over geografische grenzen
Sleuteltypen en beveiligingsmethoden
Key Vault ondersteunt RSA- en EC-sleutels. Beheerde HSM ondersteunt RSA, EC en symmetrische sleutels.
HSM-beveiligde sleutels
| Type sleutel | Kluizen (alleen premium SKU) | Beheerde HMS's |
|---|---|---|
| EC-HSM: Elliptic Curve-sleutel | Ondersteund (P-256, P-384, P-521, P-256K) | Ondersteund (P-256, P-256K, P-384, P-521) |
| RSA-HSM: RSA-sleutel | Ondersteund (2048-bits, 3072-bits, 4096-bits) | Ondersteund (2048-bits, 3072-bits, 4096-bits) |
| oct-HSM: Symmetrische sleutel | Niet ondersteund | Ondersteund (128-bits, 192-bits, 256-bits) |
Met software beveiligde sleutels
| Type sleutel | Kluizen | Beheerde HMS's |
|---|---|---|
| RSA: Met software beveiligde RSA-sleutel | Ondersteund (2048-bits, 3072-bits, 4096-bits) | Niet ondersteund |
| EC: Met software beveiligde Elliptic Curve-sleutel | Ondersteund (P-256, P-384, P-521, P-256K) | Niet ondersteund |
Naleving
| Sleuteltype en doel | Naleving |
|---|---|
| Met software beveiligde sleutels in kluizen (Premium & Standard-SKU's) | FIPS 140-2 Level 1 |
| Met HSM beveiligde sleutels in kluizen (Premium SKU) | FIPS 140-2 Level 2 |
| Met HSM beveiligde sleutels in beheerde HSM | FIPS 140-2 Level 3 |
Zie Sleuteltypen, algoritmen en bewerkingen voor meer informatie over elk sleuteltype, algoritmen, bewerkingen, kenmerken en tags.
Gebruiksscenario's
| Wanneer gebruikt u dit? | Voorbeelden |
|---|---|
| Gegevensversleuteling aan de serverzijde van Azure voor geïntegreerde resourceproviders met door de klant beheerde sleutels | - Versleuteling aan de serverzijde met behulp van door de klant beheerde sleutels in Azure Key Vault |
| Gegevensversleuteling aan de clientzijde | - Versleuteling aan clientzijde met Azure Key Vault |
| TLS zonder sleutel | - Sleutelclientbibliotheken gebruiken |