Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga
Zero Trust to strategia zabezpieczeń obejmująca trzy zasady: "Weryfikuj jawnie", "Użyj dostępu z najmniejszymi uprawnieniami" i "Przyjmij naruszenie". Ochrona danych, w tym zarządzanie kluczami, obsługuje zasadę "najmniej uprzywilejowanego dostępu". Aby uzyskać więcej informacji, zobacz Co to jest zero trust?
Na platformie Azure klucze szyfrowania mogą być zarządzane przez platformę lub zarządzane przez klienta.
Klucze zarządzane przez platformę (PMK) to klucze szyfrowania generowane, przechowywane i zarządzane w całości przez platformę Azure. Klienci nie komunikują się z PMK. Klucze używane dla Azure Data Encryption-at-Rest są domyślnie kluczami PMKs, na przykład.
Klucze zarządzane przez klienta (CMK) to klucze odczytywane, tworzone, usuwane, aktualizowane i/lub administrowane przez co najmniej jednego klienta. Klucze przechowywane w magazynie kluczy należących do klienta lub sprzętowym module zabezpieczeń (HSM) są kluczami CMK. Bring Your Own Key (BYOK) to scenariusz klienta Zarządzania Kluczami, w którym klient importuje (przynosi) klucze z zewnętrznej lokalizacji do usługi zarządzania kluczami platformy Azure (zobacz Azure Key Vault: Bring your own key specification).
Określony typ klucza zarządzanego przez klienta to "klucz szyfrowania klucza" (KEK). Klucz KEK to klucz podstawowy, który kontroluje dostęp do co najmniej jednego klucza szyfrowania, który sam jest szyfrowany.
Klucze zarządzane przez klienta można przechowywać lokalnie lub częściej w usłudze zarządzania kluczami w chmurze.
Usługi zarządzania kluczami platformy Azure
Platforma Azure oferuje kilka opcji przechowywania kluczy i zarządzania nimi w chmurze, w tym usługi Azure Key Vault, zarządzanego modułu HSM usługi Azure Key Vault, modułu HSM w chmurze platformy Azure i modułu HSM usługi Azure Payment. Te opcje różnią się pod względem poziomu zgodności ze standardem FIPS, obciążeniami zarządzania i zamierzonymi aplikacjami.
Aby zapoznać się z kompleksowym przewodnikiem po wyborze odpowiedniego rozwiązania do zarządzania kluczami dla konkretnych potrzeb, zobacz How to Choose the Right Key Management Solution (Jak wybrać odpowiednie rozwiązanie do zarządzania kluczami).
Azure Key Vault (warstwa Standardowa)
Zweryfikowana wielodostępna usługa zarządzania kluczami w chmurze fiPS 140-2, która może służyć do przechowywania kluczy asymetrycznych, wpisów tajnych i certyfikatów. Klucze przechowywane w usłudze Azure Key Vault są chronione programowo i mogą być używane do szyfrowania danych spoczywających oraz aplikacji niestandardowych. Usługa Azure Key Vault w wariancie Standard zapewnia współczesny interfejs API oraz rozległe wdrożenia regionalne i integracje z usługami Azure. Aby uzyskać więcej informacji, zobacz About Azure Key Vault (Informacje o usłudze Azure Key Vault).
Azure Key Vault (poziom Premium)
Zweryfikowany standard FIPS 140-3 poziom 3, zgodny ze standardem PCI, wielodostępny moduł HSM, który może służyć do przechowywania kluczy asymetrycznych, wpisów tajnych i certyfikatów. Klucze są przechowywane w bezpiecznym środowisku sprzętowym przy użyciu modułów HSM Marvell LiquidSecurity*. Microsoft zarządza podstawowym modułem zabezpieczenia sprzętowego (HSM), a klucze przechowywane w usłudze Azure Key Vault Premium mogą być używane do szyfrowania danych w spoczynku oraz w niestandardowych aplikacjach. Usługa Azure Key Vault Premium udostępnia również nowoczesny interfejs API oraz wiele regionalnych wdrożeń i integracji z usługami platformy Azure.
Ważne
Zintegrowany moduł HSM platformy Azure: począwszy od nowego sprzętu serwera platformy Azure (amd D i E Series v7 w wersji zapoznawczej), mikroukłady HSM zaprojektowane przez firmę Microsoft są osadzone bezpośrednio na serwerach, spełniając standardy fiPS 140-3 poziomu 3. Te mikroukłady odporne na naruszenia przechowują klucze szyfrowania w bezpiecznych granicach sprzętu, eliminując opóźnienia i zagrożenia narażenia. Zintegrowany moduł HSM działa przezroczysto domyślnie dla obsługiwanych usług, takich jak Azure Key Vault i szyfrowanie Azure Storage, zapewniając wymuszane sprzętowo zaufanie bez dodatkowej konfiguracji. Dzięki tej integracji operacje kryptograficzne korzystają z izolacji zabezpieczeń na poziomie sprzętu przy zachowaniu wydajności i skalowalności usług w chmurze.
Jeśli jesteś klientem usługi Azure Key Vault Premium, który szuka suwerenności zarządzania kluczami, jedno-tenancji i/lub wyższej liczby operacji kryptograficznych na sekundę, warto rozważyć użycie zamiast tego Zarządzanego modułu HSM usługi Azure Key Vault. Aby uzyskać więcej informacji, zobacz About Azure Key Vault (Informacje o usłudze Azure Key Vault).
Zarządzany moduł HSM usługi Azure Key Vault
Zweryfikowana oferta modułu HSM standardu FIPS 140-3 na poziomie 3, która zapewnia klientom pełną kontrolę nad modułem HSM na potrzeby szyfrowania w spoczynku, odciążania bez klucza protokołu SSL/TLS i aplikacji niestandardowych. Zarządzany moduł HSM usługi Azure Key Vault to jedyne rozwiązanie do zarządzania kluczami, które oferuje klucze poufne. Klienci otrzymują pulę trzech partycji HSM — razem działając jako jedno logiczne, wysoce dostępne urządzenie HSM — frontowane przez usługę, która uwidacznia funkcje kryptograficzne za pośrednictwem interfejsu API usługi Key Vault. Firma Microsoft obsługuje przygotowanie, wprowadzanie poprawek, konserwację i przełączenie awaryjne sprzętu modułów HSM, ale nie ma dostępu do samych kluczy, ponieważ usługa działa w ramach poufnej infrastruktury obliczeniowej Azure. Zarządzany moduł HSM usługi Azure Key Vault jest zintegrowany z usługami Azure SQL, Azure Storage i Azure Information Protection PaaS oraz oferuje obsługę bezkluczego protokołu TLS za pomocą F5 i Nginx. Aby uzyskać więcej informacji, zobacz Co to jest zarządzany moduł HSM usługi Azure Key Vault?
Moduł HSM w chmurze platformy Azure
Wysoce dostępna, zweryfikowana na poziomie 3 według standardu FIPS 140-3, jednodekadowa usługa, która przyznaje klientom pełną kontrolę administracyjną nad swoimi modułami HSM. Moduł HSM w chmurze platformy Azure jest następcą dedykowanego modułu HSM platformy Azure i zapewnia bezpieczny klaster HSM należący do klienta do przechowywania kluczy kryptograficznych i wykonywania operacji kryptograficznych. Firma Microsoft obsługuje wysoką dostępność, stosowanie poprawek i konserwację infrastruktury HSM. Usługa obsługuje różne aplikacje, w tym PKCS#11, odciążanie protokołu SSL/TLS, ochronę klucza prywatnego urzędu certyfikacji (CA), przezroczyste szyfrowanie danych (TDE) oraz podpisywanie dokumentów i kodu. Moduł HSM w chmurze platformy Azure obsługuje standardowe interfejsy API, w tym PKCS#11, OpenSSL, JCA/JCE i Microsoft CNG/KSP, co czyni go idealnym rozwiązaniem do migrowania aplikacji ze środowiska lokalnego, dedykowanego modułu HSM platformy Azure lub platformy AWS CloudHSM. Aby uzyskać więcej informacji, zobacz Co to jest moduł HSM w chmurze platformy Azure?
Azure Payment HSM
A FIPS 140-2 Level 3, PCI HSM v3, zweryfikowana oferta jednokrotnego użytkowania bare metal HSM, która umożliwia klientom dzierżawę urządzenia HSM do obsługi płatności w centrach danych firmy Microsoft na potrzeby operacji płatniczych, w tym przetwarzania kodu PIN, wydawania poświadczeń płatniczych, zabezpieczania kluczy i danych uwierzytelniających oraz ochrony poufnych danych. Usługa jest zgodna ze standardami PCI DSS, PCI 3DS i PCI PIN. Moduł HSM usługi Azure Payment oferuje moduły HSM z jedną dzierżawą dla klientów, które mają pełną kontrolę administracyjną i wyłączny dostęp do modułu HSM. Po przydzieleniu modułu HSM do klienta firma Microsoft nie ma dostępu do danych klientów. Podobnie, gdy moduł HSM nie jest już wymagany, dane klienta są wyzerowane i usuwane zaraz po wydaniu modułu HSM, aby zapewnić zachowanie pełnej prywatności i bezpieczeństwa. Aby uzyskać więcej informacji, zobacz Co to jest moduł HSM usługi Azure Payment?
Uwaga
* Usługa Azure Key Vault Premium umożliwia tworzenie zarówno kluczy chronionych przez oprogramowanie, jak i chronionych przez moduł HSM. Jeśli używasz usługi Azure Key Vault Premium, upewnij się, że utworzony klucz jest chroniony przez moduł HSM.
Dedykowany moduł HSM platformy Azure (wycofywany)
Dedykowany moduł HSM platformy Azure jest wycofywany. Firma Microsoft będzie w pełni obsługiwać istniejących klientów dedykowanego modułu HSM do 31 lipca 2028 r. Nie są akceptowane żadne nowe dołączania klientów. Aby uzyskać szczegółowe informacje i wymagane akcje, zobacz oficjalną aktualizację platformy Azure.
Jeśli jesteś użytkownikiem dedykowanego modułu HSM platformy Azure, zobacz Migrowanie z dedykowanego modułu HSM platformy Azure do zarządzanego modułu HSM platformy Azure lub modułu HSM w chmurze platformy Azure. Moduł HSM w chmurze platformy Azure jest teraz ogólnie dostępny i następca dedykowanego modułu HSM platformy Azure.
Cennik
Warstwy Usługi Azure Key Vault w warstwie Standardowa i Premium są rozliczane transakcyjnie z dodatkowymi miesięcznymi opłatami za klucz dla kluczy opartych na sprzęcie w warstwie Premium. Zarządzane moduły HSM usługi Azure Key Vault, moduł HSM w chmurze platformy Azure i moduł HSM płatności platformy Azure nie są naliczane na zasadzie transakcyjnej; zamiast tego są to urządzenia zawsze używane, które są rozliczane według stałej stawki godzinowej. Aby uzyskać szczegółowe informacje o cenach, zobacz Cennik usługi Key Vault, Cennik modułu HSM w chmurze i Cennik modułu HSM płatności.
Limity usługi
Usługa Azure Key Vault managed HSM, Azure Cloud HSM i Azure Payment HSM oferują dedykowaną pojemność. Usługa Azure Key Vault w warstwie Standardowa i Premium to oferty wielodostępne i mają limity ograniczania przepustowości. Aby uzyskać informacje o limitach usług, zobacz Limity usługi Key Vault i Limity usługi HSM w chmurze.
Szyfrowanie danych w spoczynku
Usługa Azure Key Vault i zarządzany moduł HSM usługi Azure Key Vault mają integrację z usługami platformy Azure i usługą Microsoft 365 dla kluczy zarządzanych przez klienta, co oznacza, że klienci mogą używać własnych kluczy w usłudze Azure Key Vault i zarządzanym module HSM usługi Azure Key Vault na potrzeby szyfrowania danych przechowywanych w tych usługach. Moduł HSM w chmurze platformy Azure i moduł HSM płatności platformy Azure to oferty infrastruktury jako usługi i nie oferują integracji z usługami platformy Azure. Aby zapoznać się z omówieniem szyfrowania danych w stanie spoczynku za pomocą usługi Azure Key Vault i zarządzanego modułu HSM usługi Azure Key Vault, zobacz Szyfrowanie Danych w Spoczynku w Azure.
API
Moduł HSM w chmurze platformy Azure obsługuje interfejsy API PKCS#11, OpenSSL, JCA/JCE i KSP/CNG. Moduł HSM płatności platformy Azure używa interfejsów PayShield firmy Thales do zarządzania modułem HSM i operacji kryptograficznych. Zarządzane moduły HSM usług Azure Key Vault i Azure Key Vault nie obsługują tych interfejsów API; Zamiast tego używają interfejsu API REST usługi Azure Key Vault i oferują obsługę zestawu SDK. Aby uzyskać więcej informacji na temat interfejsu API usługi Azure Key Vault, zobacz Dokumentacja interfejsu API REST usługi Azure Key Vault.