Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota
Confianza cero es una estrategia de seguridad que consta de tres principios: "Comprobar explícitamente", "Usar acceso con privilegios mínimos" y "Asumir una vulneración". La protección de datos, incluida la administración de claves, admite el principio de "Usar acceso con privilegios mínimos". Para obtener más información, consulte ¿Qué es la confianza cero?
En Azure, las claves de cifrado pueden estar administradas por la plataforma o administradas por el cliente.
Las claves administradas por la plataforma (PMK) son claves de cifrado que Azure genera, almacena y administra completamente. Los clientes no interactúan con PMK. Las claves usadas para Azure Data Encryption-at-Rest, por ejemplo, son PMK de forma predeterminada.
Por otro lado, las claves administradas por el cliente (CMK) son aquellas que uno o varios clientes leen, crean, eliminan, actualizan y/o administran. Las claves almacenadas en un almacén de claves propiedad del cliente o en un módulo de seguridad de hardware (HSM) son CMK. Bring Your Own Key (BYOK) es un escenario de CMK en el que un cliente importa (aporta) claves de una ubicación de almacenamiento externa a un servicio de administración de claves de Azure ( consulte Azure Key Vault: Bring Your Own Key).
Un tipo específico de clave administrada por el cliente es la "clave de cifrado de claves" (KEK). Una KEK es una clave principal que controla el acceso a una o varias claves de cifrado que están cifradas.
Las claves administradas por el cliente se pueden almacenar de forma local o, más comúnmente, en un servicio de administración de claves en la nube.
Servicio de administración de claves de Azure
Azure ofrece varias opciones para almacenar y administrar las claves en la nube, como Azure Key Vault, HSM administrado de Azure Key Vault, Azure Cloud HSM y Azure Payment HSM. Estas opciones difieren en cuanto a su nivel de cumplimiento de FIPS, la sobrecarga de administración y las aplicaciones previstas.
Para obtener una guía completa para elegir la solución de administración de claves adecuada para sus necesidades específicas, consulte Cómo elegir la solución de administración de claves adecuada.
Azure Key Vault (nivel estándar)
Un servicio de administración de claves en la nube multicliente validado FIPS 140-2 de Nivel 1 que se puede usar para almacenar claves asimétricas, secretos y certificados. Las claves almacenadas en Azure Key Vault están protegidas por software y se pueden usar para el cifrado en reposo y las aplicaciones personalizadas. Azure Key Vault Estándar proporciona una API moderna y una amplia variedad de implementaciones e integraciones regionales con los servicios de Azure. Para obtener más información, consulte Acerca de Azure Key Vault.
Azure Key Vault (nivel Premium)
Una oferta HSM multinivel, validada FIPS 140-3 de Nivel 3 y compatible con PCI, que se puede usar para almacenar claves asimétricas, secretos y certificados. Las claves se almacenan en una frontera de hardware seguro utilizando HSMs de Marvell LiquidSecurity*. Microsoft administra y opera el HSM subyacente y las claves almacenadas en Azure Key Vault Premium se pueden usar para el cifrado en reposo y las aplicaciones personalizadas. Azure Key Vault Premium también proporciona una API moderna y una amplia variedad de implementaciones e integraciones regionales con los servicios de Azure.
Importante
HSM integrado de Azure: a partir de un nuevo hardware de servidor de Azure (versión preliminar de AMD D y E Series V7), los chips HSM diseñados por Microsoft se insertan directamente en servidores, cumpliendo los estándares FIPS 140-3 de nivel 3. Estos chips resistentes a alteraciones mantienen las claves de cifrado dentro de límites de hardware seguros, lo que elimina los riesgos de latencia y exposición. El HSM integrado funciona de forma transparente de forma predeterminada para los servicios admitidos, como Azure Key Vault y el cifrado de Azure Storage, lo que proporciona confianza aplicada por hardware sin configuración adicional. Esta integración garantiza que las operaciones criptográficas se beneficien del aislamiento de seguridad de nivel de hardware al tiempo que mantienen el rendimiento y la escalabilidad de los servicios en la nube.
Si es un cliente de Azure Key Vault Premium que busca soberanía de claves, tenencia única o un mayor número de operaciones criptográficas por segundo, es posible que desee considerar Azure Key Vault Managed HSM en su lugar. Para obtener más información, consulte Acerca de Azure Key Vault.
HSM administrado por Azure Key Vault
Una oferta validada de FIPS 140-3 Nivel 3, un HSM dedicado que proporciona a los clientes control total sobre un HSM para cifrado en reposo, descarga de SSL/TLS sin claves y aplicaciones personalizadas. HSM administrado de Azure Key Vault es la única solución de administración de claves que ofrece claves confidenciales. Los clientes reciben un grupo de tres particiones de HSM, que actúan conjuntamente como un dispositivo HSM lógico y de alta disponibilidad, frente a un servicio que expone la funcionalidad criptográfica a través de la API de Key Vault. Microsoft gestiona el aprovisionamiento, la aplicación de revisiones, el mantenimiento y la conmutación por error de hardware de los HSM. Sin embargo, no tiene acceso a las claves ya que el servicio se ejecuta dentro de la Infraestructura de 'Azure Confidential Compute'. HSM administrado de Azure Key Vault se integra con los servicios PaaS de Azure SQL, Azure Storage y Azure Information Protection y ofrece compatibilidad con TLS sin claves con F5 y Nginx. Para más información, consulte ¿Qué es HSM administrado de Azure Key Vault?.
Azure Cloud HSM
Un servicio de alta disponibilidad y de inquilino único validado por el nivel 3 de FIPS 140-3 que concede a los clientes una autoridad administrativa completa sobre sus módulos de seguridad de hardware (HSM). Azure Cloud HSM es el sucesor de Azure Dedicated HSM y proporciona un clúster HSM seguro y propiedad del cliente para almacenar claves criptográficas y realizar operaciones criptográficas. Microsoft controla la alta disponibilidad, la aplicación de revisiones y el mantenimiento de la infraestructura de HSM. El servicio admite varias aplicaciones, como PKCS#11, descarga SSL/TLS, protección de claves privadas de entidad de certificación (CA), cifrado de datos transparente (TDE) y firma de documentos y código. Azure Cloud HSM admite API estándar del sector, como PKCS#11, OpenSSL, JCA/JCE y Microsoft CNG/KSP, lo que resulta ideal para migrar aplicaciones desde el entorno local, Azure Dedicated HSM o AWS CloudHSM. Para más información, consulte ¿Qué es Azure Cloud HSM?.
HSM de pago de Azure
Una oferta de HSM sin sistema operativo de inquilino único validado por FIPS 140-2 de nivel 3 y PCI HSM v3 que permite a los clientes dar concesión a un dispositivo HSM de pago en centros de datos de Microsoft para operaciones de pago, como el procesamiento PIN de pagos, la emisión de credenciales de pago, la protección de claves y datos de autenticación y la protección de datos confidenciales. El servicio es compatible con PCI DSS, PCI 3DS y PCI PIN. Azure Payment HSM ofrece HSM de un solo inquilino para que los clientes tengan un control administrativo completo y acceso exclusivo al HSM. Una vez asignado el HSM a un cliente, Microsoft no tiene acceso a los datos del cliente. Del mismo modo, cuando el HSM ya no es necesario, los datos del cliente se borran y eliminan en cuanto se libera el HSM, para garantizar que se mantenga la privacidad y la seguridad completas. Para más información, consulte ¿Qué es Azure Payment HSM?.
Nota
* Azure Key Vault Premium permite la creación de claves protegidas por software y HSM. Si usa Azure Key Vault Premium, compruebe que la clave creada está protegida por HSM.
Azure Dedicated HSM (retirada)
Azure Dedicated HSM se está retirando. Microsoft brindará pleno soporte a los clientes existentes de Dedicated HSM hasta el 31 de julio de 2028. No se aceptan nuevas incorporaciones de clientes. Para más información y acciones necesarias, consulte la actualización oficial de Azure.
Si es un usuario de Azure Dedicated HSM, consulte Migración de Azure Dedicated HSM a Azure Managed HSM o Azure Cloud HSM. Azure Cloud HSM ya está disponible con carácter general y el sucesor de Azure Dedicated HSM.
Precios
Los niveles Estándar y Premium de Azure Key Vault se facturan de forma transaccional, con un cargo mensual adicional por clave para las claves con respaldo de hardware Premium. HSM administrado de Azure Key Vault, HSM en la nube de Azure y HSM de pago de Azure no se cobran de forma transaccional; en su lugar, son dispositivos siempre en uso que se facturan a una tarifa horaria fija. Para obtener información detallada sobre los precios, consulte Precios de Key Vault, Precios de HSM en la nube y Precios de HSM de pago.
Límites de servicio
Azure Key Vault Managed HSM, Azure Cloud HSM y Azure Payment HSM ofrecen capacidad dedicada. Azure Key Vault Estándar y Premium son ofertas multicliente y tienen restricciones de control de acceso. Para conocer los límites de servicio, consulte Límites de servicio de Key Vault y Límites de servicio de HSM en la nube.
Cifrado en reposo
Azure Key Vault y Azure Key Vault Managed HSM tienen integraciones con los servicios de Azure y Microsoft 365 para claves administradas por el cliente, lo que significa que los clientes pueden usar sus propias claves en Azure Key Vault y HSM administrado de Azure Key Vault para el cifrado en reposo de los datos almacenados en estos servicios. Azure Cloud HSM y Azure Payment HSM son ofertas de infraestructura como servicio y no ofrecen integraciones con los servicios de Azure. Para obtener información general sobre el cifrado en reposo con Azure Key Vault y HSM administrado de Azure Key Vault, consulte Azure Data Encryption-at-Rest.
APIs (Interfaz de Programación de Aplicaciones)
Azure Cloud HSM admite las API PKCS#11, OpenSSL, JCA/JCE y KSP/CNG. Azure Payment HSM usa interfaces payShield de Thales para la administración de HSM y las operaciones criptográficas. Azure Key Vault y HSM administrado de Azure Key Vault no admiten estas API; en su lugar, usan la API REST de Azure Key Vault y ofrecen compatibilidad con el SDK. Para obtener más información sobre la API Azure Key Vault, consulte Referencia de la API REST de Azure Key Vault.