Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Remarque
Confiance Zéro est une stratégie de sécurité comprenant trois principes : « Vérifiez explicitement », « Utilisez l’accès à privilèges minimum » et « Supposez une violation ». La protection des données, y compris la gestion des clés, prend en charge le principe « Utilisez l’accès à privilèges minimum ». Pour plus d’informations, consultez Qu’est-ce qu’une Confiance Zéro ?
Dans Azure, les clés de chiffrement peuvent être gérées par la plateforme ou gérées par le client.
Les clés gérées par la plateforme (PMK) sont des clés de chiffrement qui sont entièrement générées, stockées et gérées par Azure. Les clients n’interagissent pas avec les PMK. Les clés utilisées pour Chiffrement des données au repos Azure, par exemple, sont des PMK par défaut.
Les clés gérées par le client (CMK), en revanche, sont des clés qui sont lues, créées, supprimées, mises à jour ou gérées par un ou plusieurs clients. Les clés stockées dans un coffre de clés ou un module de sécurité matériel (HSM) appartenant au client sont des CMK. Bring Your Own Key (BYOK) est un scénario CMK dans lequel un client importe (apporte) des clés d’un emplacement de stockage extérieur dans un service de gestion de clés Azure (voir Azure Key Vault : Spécification Bring Your Own Key).
La « clé de chiffrement de clé » (KEK) est un type spécifique de clé gérée par le client. Une KEK est une clé primaire, qui contrôle l’accès à une ou plusieurs clés de chiffrement qui sont elles-mêmes chiffrées.
Les clés gérées par le client peuvent être stockées localement ou, plus communément, dans un service de gestion des clés dans le cloud.
Services de gestion des clés Azure
Azure offre plusieurs options pour stocker et gérer vos clés dans le cloud, notamment Azure Key Vault, Azure Key Vault Managed HSM, Azure Cloud HSM et Azure Payment HSM. Ces options diffèrent en termes de niveau de conformité aux normes FIPS (Federal Information Processing Standard), de frais de gestion et d’applications prévues.
Pour obtenir un guide complet sur le choix de la solution de gestion de clés appropriée pour vos besoins spécifiques, consultez Comment choisir la solution de gestion des clés appropriée.
Azure Key Vault (niveau Standard)
Un service de gestion de clés cloud multi-locataire certifié FIPS 140-2 Niveau 1 qui peut être utilisé pour stocker des clés asymétriques, des secrets et des certificats. Les clés stockées dans Azure Key Vault sont protégées par logiciel et peuvent être utilisées pour les applications de chiffrement au repos et personnalisées. Azure Key Vault Standard fournit une API moderne et une étendue de déploiements et d’intégrations régionaux avec les services Azure. Pour plus d’informations, consultez À propos d’Azure Key Vault.
Azure Key Vault (niveau Premium)
Une offre HSM fiPS 140-3 de niveau 3 validée, conforme PCI, multilocataire qui peut être utilisée pour stocker des clés asymétriques, des secrets et des certificats. Les clés sont stockées dans une limite matérielle sécurisée à l’aide de HSM Marvell LiquidSecurity*. Microsoft gère et exploite le HSM sous-jacent, et les clés stockées dans Azure Key Vault Premium peuvent être utilisées pour le chiffrement au repos et les applications personnalisées. Azure Key Vault Premium fournit également une API moderne et une étendue de déploiements et d’intégrations régionaux avec les services Azure.
Important
HSM intégré Azure : à compter du nouveau matériel serveur Azure (préversion AMD D et E Series v7), les puces HSM conçues par Microsoft sont incorporées directement sur des serveurs, répondant aux normes FIPS 140-3 de niveau 3. Ces puces résistantes à la falsification conservent les clés de chiffrement dans des limites matérielles sécurisées, éliminant ainsi les risques de latence et d’exposition. Le module HSM intégré fonctionne de manière transparente par défaut pour les services pris en charge tels qu’Azure Key Vault et le chiffrement de stockage Azure, fournissant une approbation appliquée par le matériel sans configuration supplémentaire. Cette intégration garantit que les opérations de chiffrement bénéficient de l’isolation de sécurité au niveau du matériel tout en conservant les performances et l’extensibilité des services cloud.
Si vous êtes un client Azure Key Vault Premium à la recherche de souveraineté de clé, d’une location unique et/ou d’opérations de chiffrement supérieures par seconde, vous souhaiterez peut-être envisager le HSM managé Azure Key Vault à la place. Pour plus d’informations, consultez À propos d’Azure Key Vault.
HSM géré par Azure Key Vault
Une offre HSM à locataire unique validée fiPS 140-3 de niveau 3 qui donne aux clients un contrôle total d’un HSM pour le chiffrement au repos, le déchargement SSL/TLS sans clé et les applications personnalisées. Azure Key Vault Managed HSM est la seule solution de gestion de clés offrant des clés confidentielles. Les clients reçoivent un pool de trois partitions HSM, qui agissent ensemble comme une appliance HSM logique et hautement disponible, devant un service qui expose les fonctionnalités de chiffrement via l’API Key Vault. Microsoft gère l’approvisionnement, la mise à jour corrective, la maintenance et le basculement matériel des modules HSM, mais n’a pas accès aux clés elles-mêmes, car le service s’exécute dans l’infrastructure de calcul confidentielle d’Azure. Azure Key Vault Managed HSM est intégré aux services PaaS Azure SQL, Stockage Azure et Azure Information Protection et offre une prise en charge de TLS sans clé avec F5 et Nginx. Pour plus d’informations, consultez Qu’est-ce qu’Azure Key Vault Managed HSM ?.
Azure Cloud HSM
Un service à locataire unique conforme FIPS 140-3 de niveau 3 hautement disponible qui accorde aux clients une autorité administrative complète sur leurs HSM. Azure Cloud HSM est le successeur d’Azure Dedicated HSM et fournit un cluster HSM sécurisé appartenant au client pour stocker des clés de chiffrement et effectuer des opérations de chiffrement. Microsoft gère la haute disponibilité, la mise à jour corrective et la maintenance de l’infrastructure HSM. Le service prend en charge différentes applications, notamment PKCS#11, le déchargement SSL/TLS, la protection de clé privée de l’autorité de certification (CA), le chiffrement transparent des données (TDE) et la signature de code et de document. Azure Cloud HSM prend en charge les API standard, notamment PKCS#11, OpenSSL, JCA/JCE et Microsoft CNG/KSP, ce qui le rend idéal pour la migration d’applications à partir d’un HSM local, d’Azure Dedicated HSM ou d’AWS CloudHSM. Pour plus d’informations, consultez Qu’est-ce qu’Azure Cloud HSM ?.
HSM de paiement Azure
Une offre de PCI HSM v3 de matériel nu monolocataire aux normes FIPS 140-2 de niveau 3 qui permet aux clients de louer une appliance HSM de paiement dans les centres de données Microsoft pour les opérations de paiement, notamment le traitement des paiements par code PIN, l’émission d’informations d’identification de paiement, la sécurisation des clés et des données d’authentification et la protection des données sensibles. Le service est conforme à PCI DSS, PCI 3DS et PCI PIN. Azure Payment HSM offre des HSM monolocataires pour que les clients disposent d’un contrôle administratif complet et d’un accès exclusif au HSM. Une fois que le HSM est alloué à un client, Microsoft n’a pas accès aux données client. De même, lorsque le HSM n’est plus nécessaire, les données client sont supprimées et effacées dès que le HSM est libéré, pour garantir la confidentialité et la sécurité complètes. Pour plus d’informations, consultez Qu’est-ce qu’Azure Payment HSM ?.
Remarque
* Azure Key Vault Premium permet de créer des clés protégées par logiciel et HSM. Si vous utilisez Azure Key Vault Premium, vérifiez que la clé créée est protégée par HSM.
HSM dédié Azure (mise hors service)
Le HSM dédié Azure est mis hors service. Microsoft prendra entièrement en charge les clients HSM dédiés existants jusqu’au 31 juillet 2028. Aucune nouvelle intégration de clients n’est acceptée. Pour obtenir des détails complets et des actions requises, consultez la mise à jour Officielle d’Azure.
Si vous êtes un utilisateur HSM dédié Azure, consultez Migrer d’Azure Dedicated HSM vers Azure Managed HSM ou Azure Cloud HSM. Azure Cloud HSM est désormais en disponibilité générale et le successeur d’Azure Dedicated HSM.
Tarifs
Les niveaux Azure Key Vault Standard et Premium sont facturés sur une base transactionnelle, avec des frais mensuels supplémentaires par clé pour les clés sauvegardées par matériel Premium. Azure Key Vault Managed HSM, Azure Cloud HSM et Azure Payment HSM ne sont pas facturés sur une base transactionnelle ; Au lieu de cela, ils sont des appareils toujours en cours d’utilisation facturés à un tarif horaire fixe. Pour obtenir des informations de tarification détaillées, consultez la tarification key Vault, la tarification du HSM cloud et la tarification HSM de paiement.
Limites du service
Azure Key Vault Managed HSM, Azure Cloud HSM et Azure Payment HSM offrent une capacité dédiée. Azure Key Vault Standard et Premium sont des offres à locataires multiples et ont des limites de débit. Pour connaître les limites de service, consultez les limites du service Key Vault et les limites du service HSM cloud.
Chiffrement au repos
Azure Key Vault et Azure Key Vault Managed HSM ont des intégrations avec les services Azure et Microsoft 365 pour les clés gérées par le client, ce qui signifie que les clients peuvent utiliser leurs propres clés dans Azure Key Vault et Azure Key Vault Managed HSM pour le chiffrement au repos des données stockées dans ces services. Azure Cloud HSM et Azure Payment HSM sont des offres Infrastructure-as-Service et n’offrent pas d’intégrations avec les services Azure. Pour obtenir une vue d’ensemble du chiffrement au repos avec Azure Key Vault et Azure Key Vault Managed HSM, consultez Azure Data Encryption-at-Rest.
API
Azure Cloud HSM prend en charge les API PKCS#11, OpenSSL, JCA/JCE et KSP/CNG. Azure Payment HSM utilise des interfaces PayShield Thales pour la gestion et les opérations de chiffrement HSM. Azure Key Vault et Azure Key Vault Managed HSM ne prennent pas en charge ces API ; Au lieu de cela, ils utilisent l’API REST Azure Key Vault et offrent une prise en charge du SDK. Pour plus d’informations sur l’API d’Azure Key Vault, consultez Informations de référence sur l’API REST Azure Key Vault.