Om nycklar

  • Artikel
  • 2 minuter för att läsa

Azure Key Vault två typer av resurser för att lagra och hantera kryptografiska nycklar. Valv stöder programvaruskyddade nycklar och HSM-skyddade nycklar (Hardware Security Module). Hanterade HSM:er stöder endast HSM-skyddade nycklar.

Resurstyp Nyckelskyddsmetoder Bas-URL för dataplansslutpunkt
Valv Programvaruskyddad

och

HSM-skyddad (med Premium SKU)		 https://{vault-name}.vault.azure.net
Hanterade HSM:er HSM-skyddad https://{hsm-name}.managedhsm.azure.net
  • Valv – Valv ger en nyckelhanteringslösning med låg kostnad, som är enkel att distribuera, ha flera klienter och är zon elastisk (där det är tillgängligt), lämplig för de vanligaste molnprogramscenarierna.
  • Hanterade HSM:er – Hanterad HSM ger zon elastiska HSM:er med en enda klientorganisation (där det är tillgängligt), HSM:er med hög tillgänglig lagring och hantering av dina kryptografiska nycklar. Passar bäst för program och användningsscenarier som hanterar nycklar med högt värde. Hjälper också till att uppfylla de strängaste säkerhets-, efterlevnads- och regelkraven.

Anteckning

Med valv kan du också lagra och hantera flera typer av objekt som hemligheter, certifikat och lagringskontonycklar, förutom kryptografiska nycklar.

Kryptografiska nycklar i Key Vault representeras som JSON Web Key [JWK].-objekt. Specifikationerna JavaScript Object Notation (JSON) och JavaScript Object Signing and Encryption (UM) är:

De grundläggande JWK/JWA-specifikationerna utökas också för att aktivera nyckeltyper som är unika för Azure Key Vault och hanterade HSM-implementeringar.

HSM-skyddade nycklar (kallas även HSM-nycklar) bearbetas i en HSM (Hardware Security Module) och förblir alltid HSM-skyddsgräns.

  • Valv använder FIPS 140-2 Level 2-verifierade HSM:er för att skydda HSM-nycklar i delad HSM-backend-infrastruktur.
  • Managed HSM använder FIPS 140-2 Level 3-verifierade HSM-moduler för att skydda dina nycklar. Varje HSM-pool är en isolerad instans för en enskild klientorganisation med en egen säkerhetsdomän som ger fullständig kryptografisk isolering från alla andra HSM:er som delar samma maskinvaruinfrastruktur.

Dessa nycklar skyddas i HSM-pooler med en enda klientorganisation. Du kan importera en RSA-, EC- och symmetrisk nyckel i mjuk form eller genom att exportera från en HSM-enhet som stöds. Du kan också generera nycklar i HSM-pooler. När du importerar HSM-nycklar med hjälp av metoden som beskrivs i specifikationen för BYOK (Bring Your Own Key)möjliggör det säkert transportnyckelmaterial till hanterade HSM-pooler.

Mer information om geografiska gränser finns i Microsoft Azure Säkerhetscenter

Nyckeltyper och skyddsmetoder

Key Vault rsa- och EC-nycklar. Managed HSM stöder RSA-, EC- och symmetriska nycklar.

HSM-skyddade nycklar

Nyckeltyp Valv (endast Premium SKU) Hanterade HSM:er
EC-HSM: Elliptic Curve-nyckel Stöds (P-256, P-384, P-521, P-256K) Stöds (P-256, P-256K, P-384, P-521)
RSA-HSM: RSA-nyckel Stöds (2048-bitars, 3072-bitars, 4096-bitars) Stöds (2048-bitars, 3072-bitars, 4096-bitars)
oct-HSM: Symmetrisk nyckel Stöds inte Stöds (128-bitars, 192-bitars, 256-bitars)

Programvaruskyddade nycklar

Nyckeltyp Valv Hanterade HSM:er
RSA: RSA-nyckel "Programvaruskyddad" Stöds (2048-bitars, 3072-bitars, 4096-bitars) Stöds inte
EC:"Programvaruskyddad" Elliptic Curve-nyckel Stöds (P-256, P-384, P-521, P-256K) Stöds inte

Efterlevnad

Nyckeltyp och mål Efterlevnad
Programvaruskyddade nycklar i valv (Premium & Standard-SKU:er) FIPS 140-2 Nivå 1
HSM-skyddade nycklar i valv (Premium SKU) FIPS 140-2 nivå 2
HSM-skyddade nycklar i Managed HSM FIPS 140-2 Level 3

Se Nyckeltyper, algoritmer och åtgärder för information om varje nyckeltyp, algoritmer, åtgärder, attribut och taggar.

Användningsscenarier

När du ska använda detta Exempel
Azure-datakryptering på serversidan för integrerade resursproviders med kund hanterade nycklar - Kryptering på serversidan med kund hanterade nycklar i Azure Key Vault
Datakryptering på klientsidan - Kryptering på klientsidan med Azure Key Vault
Nyckellös TLS – Använda viktiga klientbibliotek

Nästa steg