Azure'da anahtar yönetimi
Not
Sıfır Güven üç ilkeden oluşan bir güvenlik stratejisidir: "Açıkça doğrula", "En az ayrıcalık erişimi kullan" ve "İhlal varsay". Anahtar yönetimi de dahil olmak üzere veri koruma , "en az ayrıcalık erişimi kullan" ilkesini destekler. Daha fazla bilgi için bkz. Sıfır Güven nedir?
Azure'da şifreleme anahtarları platform tarafından veya müşteri tarafından yönetilebilir.
Platform tarafından yönetilen anahtarlar (PMK) tamamen Azure tarafından oluşturulan, depolanan ve yönetilen şifreleme anahtarlarıdır. Müşteriler PMK'lerle etkileşim kurmaz. Örneğin , Bekleyen Azure Veri Şifrelemesi için kullanılan anahtarlar varsayılan olarak PMK'lerdir.
Müşteri tarafından yönetilen anahtarlar (CMK) ise bir veya daha fazla müşteri tarafından okunan, oluşturulan, silinen, güncelleştirilen ve/veya yönetilen anahtarlardır. Müşteriye ait anahtar kasasında veya donanım güvenlik modülünde (HSM) depolanan anahtarlar CMK'lardır. Kendi Anahtarını Getir (KAG), müşterinin anahtarları dış depolama konumundan Azure anahtar yönetimi hizmetine aktardığı (getirdiği) bir CMK senaryosudur (bkz. Azure Key Vault: Kendi anahtar belirtimini getirme).
Müşteri tarafından yönetilen anahtarın belirli bir türü "anahtar şifreleme anahtarı" (KEK) türüdür. KEK, kendileri şifrelenen bir veya daha fazla şifreleme anahtarına erişimi denetleen bir birincil anahtardır.
Müşteri tarafından yönetilen anahtarlar şirket içinde veya daha yaygın olarak bir bulut anahtarı yönetim hizmetinde depolanabilir.
Azure anahtar yönetim hizmetleri
Azure, anahtarlarınızı bulutta depolamak ve yönetmek için Azure Key Vault, Azure Yönetilen HSM, Azure Ayrılmış HSM ve Azure Ödeme HSM gibi çeşitli seçenekler sunar. Bu seçenekler FIPS uyumluluk düzeyi, yönetim yükü ve amaçlanan uygulamalar açısından farklılık gösterir.
Her anahtar yönetimi hizmetine genel bir bakış ve sizin için doğru anahtar yönetimi çözümünü seçmeye yönelik kapsamlı bir kılavuz için bkz. Doğru Anahtar Yönetimi Çözümünü Seçme.
Fiyatlandırma
Azure Key Vault Standart ve Premium katmanları, premium donanım destekli anahtarlar için aylık ek anahtar başına ücretlendirme ile işlem temelinde faturalandırılır. Yönetilen HSM, Ayrılmış HSM ve Ödemeler HSM işlem bazında ücret ödemez; bunun yerine sabit saatlik ücret karşılığında faturalandırılan her zaman kullanımda olan cihazlardır. Ayrıntılı fiyatlandırma bilgileri için bkz. Key Vault fiyatlandırması, Ayrılmış HSM fiyatlandırması ve Ödeme HSM fiyatlandırması.
Hizmet Sınırlamaları
Yönetilen HSM, Ayrılmış HSM ve Ödemeler HSM ayrılmış kapasite sunar. Key Vault Standard ve Premium, çok kiracılı tekliflerdir ve azaltma sınırlarına sahiptir. Hizmet sınırları için bkz. Key Vault hizmet sınırları.
Bekleyen Şifreleme
Azure Key Vault ve Azure Key Vault Yönetilen HSM' nin Azure Hizmetleri ve Müşteri Tarafından Yönetilen Anahtarlar için Microsoft 365 ile tümleştirmeleri vardır; bu da müşterilerin azure Key Vault ve Azure Anahtar Ile Yönetilen HSM'de kendi anahtarlarını bu hizmetlerde depolanan verilerin geri kalanında şifreleme için kullanabilecekleri anlamına gelir. Ayrılmış HSM ve Ödemeler HSM, Hizmet Olarak Altyapı teklifleridir ve Azure Hizmetleri ile tümleştirme sunmaz. Azure Key Vault ve Yönetilen HSM ile bekleyen şifrelemeye genel bakış için bkz. Bekleyen Azure Veri Şifrelemesi.
API'ler
Ayrılmış HSM ve Ödemeler HSM PKCS#11, JCE/JCA ve KSP/CNG API'lerini destekler, ancak Azure Key Vault ve Yönetilen HSM desteklemez. Azure Key Vault ve Yönetilen HSM, Azure Key Vault REST API'sini kullanır ve SDK desteği sunar. Azure Key Vault API'si hakkında daha fazla bilgi için bkz. Azure Key Vault REST API Başvurusu.