Poprzednie

Następne

Opisywanie kluczy szyfrowania na platformie Azure

Ukończone

Właściwa ochrona i zarządzanie kluczami szyfrowania jest niezbędna dla bezpieczeństwa danych, zwłaszcza w sektorze publicznym, gdzie dane mogą być szczególnie wrażliwe i podatne na zagrożenia. Klienci rządowi mogą używać usługi Azure Key Vault, która jest usługą w chmurze do bezpiecznego przechowywania wpisów tajnych i zarządzania nimi, w tym kluczy szyfrowania. Klienci, którzy wymagają dodatkowych zabezpieczeń poufnych danych klientów przechowywanych w usługach platformy Azure, mogą je szyfrować przy użyciu własnych kluczy szyfrowania, które kontrolują w usłudze Azure Key Vault.

Używanie usługi Azure Key Vault do zarządzania kluczami szyfrowania

Dostawca zasobów w usłudze Key Vault obsługuje dwa typy zasobów: magazyn i zarządzany moduł HSM.

• Magazyn obsługuje chronione przez oprogramowanie i sprzętowy moduł zabezpieczeń (HSM) chronione wpisy tajne, klucze i certyfikaty. Magazyny zapewniają wielodostępne, niskie koszty, łatwe w wdrażaniu, odporne na strefy (jeśli są dostępne) i wysoce dostępne rozwiązanie do zarządzania kluczami odpowiednie dla najbardziej typowych scenariuszy aplikacji w chmurze. Mogą być chronione przez oprogramowanie (warstwa Standardowa) lub chronione przez moduł HSM (warstwa Premium). Aby zobaczyć porównanie warstw standardowych i premium, zobacz stronę cennika usługi Azure Key Vault. Platforma Azure chroni wpisy tajne, klucze i certyfikaty chronione przez oprogramowanie przy użyciu standardowych algorytmów branżowych i długości kluczy. Klienci, którzy wymagają większej liczby gwarancji, mogą zdecydować się na ochronę swoich wpisów tajnych, kluczy i certyfikatów w magazynach chronionych przez wielodostępne moduły HSM. Odpowiednie moduły HSM są weryfikowane zgodnie ze standardem FIPS 140-2 i mają ogólną ocenę poziomu zabezpieczeń 2.
• Zarządzany moduł HSM obsługuje tylko klucze kryptograficzne chronione przez moduł HSM . Zapewnia ona moduł HSM z jedną dzierżawą, w pełni zarządzaną, wysoce dostępną i odporną na strefy (jeśli jest dostępna) jako usługę do przechowywania kluczy kryptograficznych i zarządzania nimi. Najbardziej nadaje się do obsługi kluczy o wysokiej wartości w przypadku aplikacji i scenariuszy użycia. Pomaga również klientom spełnić najbardziej rygorystyczne wymagania dotyczące zabezpieczeń, zgodności i przepisów. Zarządzany moduł HSM używa zweryfikowanych modułów HSM fiPS 140–2 poziom 3 w celu ochrony kluczy kryptograficznych. Każda zarządzana pula modułów HSM jest izolowanym wystąpieniem z jedną dzierżawą z własną domeną zabezpieczeń. Klient kontroluje tę domenę zabezpieczeń, która jest odizolowana kryptograficznie od wystąpień należących do innych klientów.

Usługa Azure Key Vault zapewnia abstrakcję podstawowych modułów HSM. Udostępnia interfejs API REST umożliwiający korzystanie z usług z aplikacji w chmurze i uwierzytelniania za pomocą identyfikatora Entra firmy Microsoft (Microsoft Entra ID ). Microsoft Entra ID umożliwia organizacji scentralizowanie i dostosowywanie uwierzytelniania, odzyskiwania po awarii, wysokiej dostępności i elastyczności. Usługa Azure Key Vault obsługuje klucze kryptograficzne różnych typów, rozmiarów i krzywych, w tym RSA i kluczy krzywej eliptycznej. W przypadku zarządzanych modułów HSM obsługa jest również dostępna dla kluczy symetrycznych AES.

Usługa Azure Key Vault obsługuje scenariusze byOK (Bring Your Own Key ). Klienci mogą importować lub generować klucze szyfrowania w modułach HSM, zapewniając, że klucze nigdy nie opuszczają granicy ochrony modułu HSM. Klucze generowane wewnątrz modułów HSM usługi Azure Key Vault nie są eksportowalne — nie może istnieć wersja klucza w postaci zwykłego tekstu poza modułami HSM. Podstawowy moduł HSM wymusza to powiązanie. Funkcja BYOK jest dostępna zarówno w magazynach kluczy, jak i zarządzanych modułach HSM. Metody przesyłania kluczy chronionych przez moduł HSM do usługi Azure Key Vault różnią się w zależności od bazowego modułu HSM, jak wyjaśniono w dokumentacji online.

Usługa Azure Key Vault została zaprojektowana, wdrożona i obsługiwana w taki sposób, aby firma Microsoft i jej agenci nie widzieli ani nie wyodrębniali kluczy kryptograficznych klienta.

Diagram w środku infografiki jest otoczony sześcioma krótko opisanymi krokami. W górnej części infografiki znajduje się ikona oznaczona etykietą "Aplikacja" ze strzałką pod nią wskazującą w dół do ikony "Azure Key Vault" oznaczonej etykietą na godzinie 12.00 diagramu cyklicznego. W dolnej części diagramu w pozycji sześciodniowej znajduje się ikona laptopa. Ścieżka prowadzi od lewej strony ikony laptopa w kierunku wskazówek zegara do ikony klawisza w pozycji dziewiątej o godzinie. Następnie ścieżka prowadzi do ikony "Azure Key Vault" oznaczonej etykietą w pozycji 12 o godzinie, a następnie z powrotem do ikony laptopa u dołu. Na środku diagramu znajduje się ikona budynku z etykietą "Lokalnie". Otaczające opisy kroków są następujące: 1. Wygenerujesz klucz i zachowasz wzorzec. 2. Bezpiecznie przenieś klucz do modułów HSM firmy Microsoft. 3. Sprzęt HSM uniemożliwia firmie Microsoft wyświetlanie klucza. 4. Autoryzowana aplikacja używa klucza. 5. Firma Microsoft replikuje klucz na potrzeby skalowania/odzyskiwania po awarii i utrzymuje aktualne moduły HSM. 6. Firma Microsoft udostępnia dziennik sposobu użycia klucza.

Usługa Azure Key Vault zapewnia niezawodne rozwiązanie do zarządzania cyklem życia klucza szyfrowania. Po utworzeniu każdy magazyn kluczy lub zarządzany moduł HSM jest automatycznie skojarzony z dzierżawą firmy Microsoft Entra, która jest właścicielem subskrypcji. Aby uzyskać dostęp do kluczy szyfrowania w modułach HSM usługi Azure Key Vault (zarówno w magazynie, jak i zarządzanych modułach HSM), identyfikator Entra firmy Microsoft musi uwierzytelnić wszystkich wywołujących. Microsoft Entra ID wymusza izolację dzierżawy i implementuje niezawodne środki, aby zapobiec dostępowi nieautoryzowanych podmiotów, w tym osób wewnętrznych firmy Microsoft. Zgodnie z opisem w temacie Microsoft Entra Data Security Considerations (Zagadnienia dotyczące zabezpieczeń danych firmy Microsoft) izolacja dzierżawy obejmuje dwa podstawowe elementy:

• Zapobieganie wyciekom danych i dostępowi między dzierżawami. Użytkownicy w dzierżawie A nie mogą w żaden sposób uzyskiwać danych należących do dzierżawy B bez wyraźnej autoryzacji przez dzierżawę B.
• Izolacja dostępu do zasobów między dzierżawami. Operacje wykonywane przez dzierżawę A nie mogą w żaden sposób wpływać na dostęp do zasobów dla dzierżawy B.

Dostęp do identyfikatora Entra firmy Microsoft według personelu, wykonawców i dostawców firmy Microsoft jest wysoce ograniczony. Jeśli to możliwe, interwencja człowieka jest zastępowana zautomatyzowanym procesem opartym na narzędziach, w tym rutynowymi funkcjami, takimi jak wdrażanie, debugowanie, zbieranie danych diagnostycznych i ponowne uruchamianie usług. Mechanizmy kontroli mają na celu ograniczenie dostępu niejawnego do systemów produkcyjnych i danych klientów, w tym systemu zarządzania dostępem uprzywilejowanym just in time (JIT).

Następnie przyjrzyj się, jak dane są chronione w całym cyklu życia, począwszy od danych przesyłanych.

Kontynuuj