Sleutelbeheer in Azure
Notitie
Zero Trust is een beveiligingsstrategie met drie principes: 'Expliciet verifiëren', 'Minimale toegangsrechten gebruiken' en 'Inbreuk aannemen'. Gegevensbescherming, inclusief sleutelbeheer, ondersteunt het principe 'minimale toegangsrechten gebruiken'. Zie Wat is Zero Trust? voor meer informatie.
In Azure kunnen versleutelingssleutels door het platform of door de klant worden beheerd.
Door platform beheerde sleutels (PMK's) zijn versleutelingssleutels die volledig door Azure worden gegenereerd, opgeslagen en beheerd. Klanten communiceren niet met PMK's. De sleutels die bijvoorbeeld worden gebruikt voor Azure Data Encryption-at-Rest zijn standaard PMK's.
Door de klant beheerde sleutels (CMK) daarentegen zijn sleutels die worden gelezen, gemaakt, verwijderd, bijgewerkt en/of beheerd door een of meer klanten. Sleutels die zijn opgeslagen in een sleutelkluis van de klant of HSM (Hardware Security Module) zijn CMK's. Bring Your Own Key (BYOK) is een CMK-scenario waarin een klant sleutels van een externe opslaglocatie importeert (brengt) in een Azure-sleutelbeheerservice (zie de specificatie Azure Key Vault: Bring Your Own Key).
Een specifiek type door de klant beheerde sleutel is de 'sleutelversleutelingssleutel' (KEK). Een KEK is een primaire sleutel waarmee de toegang tot een of meer versleutelingssleutels wordt beheerd die zelf zijn versleuteld.
Door de klant beheerde sleutels kunnen on-premises worden opgeslagen of, vaker, in een cloudsleutelbeheerservice.
Azure-services voor sleutelbeheer
Azure biedt verschillende opties voor het opslaan en beheren van uw sleutels in de cloud, waaronder Azure Key Vault, Azure Managed HSM, Azure Dedicated HSM en Azure Payment HSM. Deze opties verschillen qua FIPS-nalevingsniveau, beheeroverhead en beoogde toepassingen.
Zie How to Choose the Right Key Management Solution (De juiste oplossing voor sleutelbeheer kiezen) voor een overzicht van elke sleutelbeheerservice en een uitgebreide handleiding voor het kiezen van de juiste oplossing voor sleutelbeheer.
Prijzen
De Azure Key Vault Standard- en Premium-lagen worden op transactionele basis gefactureerd, met extra maandelijkse kosten per sleutel voor premium-sleutels met hardware-ondersteuning. Beheerde HSM, Toegewezen HSM en Betalingen HSM brengen geen transactionele kosten in rekening; in plaats daarvan zijn het apparaten die altijd worden gebruikt en tegen een vast uurtarief worden gefactureerd. Zie prijzen voor Key Vault, prijzen voor toegewezen HSM's en Prijzen voor HSM voor betaling voor gedetailleerde informatie over prijzen.
Servicelimieten
Beheerde HSM, Toegewezen HSM en Betalingen HSM bieden toegewezen capaciteit. Key Vault Standard en Premium zijn multitenant-aanbiedingen en hebben beperkingslimieten. Zie servicelimieten Key Vault voor servicelimieten.
Versleutelings-at-rest
Azure Key Vault en Azure Key Vault Managed HSM hebben integraties met Azure Services en Microsoft 365 voor door de klant beheerde sleutels, wat betekent dat klanten hun eigen sleutels in Azure Key Vault en Azure Key Managed HSM kunnen gebruiken voor versleutelings-at-rest van gegevens die in deze services zijn opgeslagen. Toegewezen HSM en Betalingen HSM zijn Infrastructure-as-Service-aanbiedingen en bieden geen integraties met Azure Services. Zie Azure Data Encryption-at-rest voor een overzicht van versleuteling-at-rest met Azure Key Vault en Beheerde HSM.
API's
Toegewezen HSM en Betalingen HSM ondersteunen de PKCS#11-, JCE/JCA- en KSP/CNG-API's, maar Azure Key Vault en Beheerde HSM niet. Azure Key Vault en beheerde HSM maken gebruik van de Azure Key Vault REST API en bieden SDK-ondersteuning. Zie Naslaginformatie over azure Key Vault REST API voor meer informatie over de Azure Key Vault-API.