Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Key Vault udostępnia dwa typy zasobów do przechowywania kluczy kryptograficznych i zarządzania nimi. Magazyny obsługują klucze chronione przez oprogramowanie i chronione przez moduł HSM (sprzętowy moduł zabezpieczeń). Zarządzane moduły HSM obsługują tylko klucze chronione przez moduł HSM.
| Typ zasobu | Metody ochrony kluczy | Podstawowy adres URL punktu końcowego płaszczyzny danych |
|---|---|---|
| Sklepienia | Chronione programowo i chronione przez moduł HSM (typy kluczy HSM w jednostce SKU w warstwie Premium) | https://{nazwa magazynu}.vault.azure.net |
| Zarządzane moduły HSM | chronione przez moduł HSM | https://{hsm-name}.managedhsm.azure.net |
- Magazyny — magazyny zapewniają niedrogie, łatwe w wdrażaniu wielodostępne, odporne na strefy (jeśli są dostępne), wysoce dostępne rozwiązanie do zarządzania kluczami odpowiednie dla najbardziej typowych scenariuszy aplikacji w chmurze.
- Zarządzane moduły HSM — zarządzany moduł HSM zapewnia moduły HSM o wysokiej dostępności z jedną dzierżawą do przechowywania kluczy kryptograficznych i zarządzania nimi. Najbardziej odpowiednie dla aplikacji i scenariuszy użycia, które obsługują klucze o wysokiej wartości. Pomaga również spełnić najbardziej rygorystyczne wymagania dotyczące zabezpieczeń, zgodności i przepisów.
Uwaga
Magazyny umożliwiają również przechowywanie kilku typów obiektów, takich jak wpisy tajne, certyfikaty i klucze konta magazynu, oprócz kluczy kryptograficznych i zarządzanie nimi.
Klucze kryptograficzne w usłudze Key Vault są reprezentowane jako obiekty klucza internetowego JSON [JWK]. Specyfikacje javaScript Object Notation (JSON) i JavaScript Object Signing and Encryption (JOSE) to:
- Klucz internetowy JSON (JWK)
- Szyfrowanie sieci Web JSON (JWE)
- Algorytmy internetowe JSON (JWA)
- Podpis internetowy JSON (JWS)
Podstawowe specyfikacje JWK/JWA są również rozszerzone w celu umożliwienia typów kluczy unikatowych dla implementacji usługi Azure Key Vault i zarządzanego modułu HSM.
Klucze HSM w magazynach są chronione przez moduły HSM; Klucze oprogramowania nie są chronione przez moduły HSM.
- Klucze przechowywane w magazynach korzystają z niezawodnej ochrony przy użyciu zweryfikowanego modułu HSM ze standardem FIPS 140. Dostępne są dwie różne platformy HSM: PLATFORMA HSM 1, która chroni wersje kluczy za pomocą modułów FIPS 140-2 Poziom 2 i HSM Platform 2, która chroni klucze za pomocą modułów HSM 140–3 poziomu 3 w zależności od momentu utworzenia klucza. Wszystkie nowe klucze i wersje kluczy są teraz tworzone przy użyciu platformy HSM Platform 2. Aby określić, która platforma HSM chroni wersję klucza, pobierz atrybut hsmPlatform .
- Zarządzany moduł HSM używa modułów HSM zweryfikowanych na poziomie 3 fiPS 140–3 w celu ochrony kluczy. Każda pula modułów HSM jest izolowanym wystąpieniem z jedną dzierżawą z własną domeną zabezpieczeń zapewniającą pełną izolację kryptograficzną ze wszystkich innych modułów HSM współużytkujących tę samą infrastrukturę sprzętową. Zarządzane klucze HSM są chronione w pulach HSM z jedną dzierżawą. Możesz zaimportować klucz RSA, EC i symetryczny w postaci nietrwałej lub wyeksportować z obsługiwanego urządzenia HSM. Klucze można również wygenerować w pulach modułów HSM. Podczas importowania kluczy HSM przy użyciu metody opisanej w specyfikacji BYOK (bring your own key) umożliwia bezpieczny materiał klucza transportu do zarządzanych pul modułów HSM.
Aby uzyskać więcej informacji na temat granic geograficznych, zobacz Centrum zaufania platformy Microsoft Azure
Typy kluczy i metody ochrony
Usługa Key Vault Premium i Standardowa obsługują klucze RSA i EC. Zarządzany moduł HSM obsługuje klucze RSA, EC i symetryczne.
Klucze chronione przez moduł HSM
| Typ klucza | Magazyny (tylko jednostka SKU w warstwie Premium) | Zarządzane moduły HSM |
|---|---|---|
| EC-HSM: klucz krzywej eliptycznej | Obsługiwane (P-256, P-384, P-521, secp256k1/P-256K) | Obsługiwane (P-256, secp256k1/P-256K, P-384, P-521) |
| RSA-HSM: klucz RSA | Obsługiwane (2048-bitowe, 3072-bitowe, 4096-bitowe) | Obsługiwane (2048-bitowe, 3072-bitowe, 4096-bitowe) |
| oct-HSM: klucz symetryczny | Nieobsługiwane | Obsługiwane (128-bitowe, 192-bitowe, 256-bitowe) |
Klucze chronione programowo
| Typ klucza | Magazyny | Zarządzane moduły HSM |
|---|---|---|
| RSA: klucz RSA chroniony przez oprogramowanie | Obsługiwane (2048-bitowe, 3072-bitowe, 4096-bitowe) | Nieobsługiwane |
| EC: "Klucz krzywej chronionej przez oprogramowanie" | Obsługiwane (P-256, P-384, P-521, secp256k1/P-256K) | Nieobsługiwane |
Zgodność
| Typ klucza i miejsce docelowe | Zgodność |
|---|---|
| Klucze chronione przez oprogramowanie (HSM Platform 0) w skarbcach | FIPS 140-2 Poziom 1 |
| Klucze zabezpieczone przez HSM Platform 1 w sejfach (SKU Premium) | FIPS 140-2 poziom 2 |
| Klucze chronione przez moduł HSM Platform 2 w skrytkach (Premium SKU) | FIPS 140-3 Poziom 3 |
| Klucze w zarządzanym module HSM są zawsze chronione przez moduł HSM | FIPS 140-3 Poziom 3 |
Kryptografia odporna na kwantowe zagrożenia, bezpieczna przed kwantowymi atakami lub post-kwantowa kryptografia
Kryptografia "odporna na ataki kwantowe", "bezpieczna kwantowo" i "postkwantowa" to wszystkie terminy używane do opisywania algorytmów kryptograficznych, które są odporne na ataki kryptograficzne zarówno z komputerów klasycznych, jak i kwantowych. OCT-HSM 256-bitowe klucze używane z algorytmami AES oferowanymi przez Zarządzany moduł HSM cechują się odpornością na obliczenia kwantowe. Aby uzyskać więcej informacji, zobacz Commercial National Security Algorithm Suite 2.0 i Quantum Computing FAQ (Często zadawane pytania dotyczące komercyjnego algorytmu zabezpieczeń narodowych).
Zobacz Typy kluczy, algorytmy i operacje , aby uzyskać szczegółowe informacje o każdym typie klucza, algorytmach, operacjach, atrybutach i tagach.
Scenariusze użycia
| Kiedy używać | Przykłady |
|---|---|
| Szyfrowanie danych po stronie serwera platformy Azure dla zintegrowanych dostawców zasobów z kluczami zarządzanymi przez klienta | - Szyfrowanie po stronie serwera przy użyciu kluczy zarządzanych przez klienta w usłudze Azure Key Vault |
| Szyfrowanie danych po stronie klienta | - Szyfrowanie po stronie klienta za pomocą usługi Azure Key Vault |
| Protokół TLS bez klucza | — Używanie kluczowych bibliotek klienckich |