Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Azure Key Vault fornece dois tipos de recursos para armazenar e gerenciar chaves de criptografia. Os cofres dão suporte a chaves protegidas por software e por HSM (Módulo de segurança de hardware). HSMs gerenciados dão suporte apenas a chaves protegidas por HSM.
| Tipo de recurso | Métodos de proteção da chave | URL base do ponto de extremidade do plano de dados |
|---|---|---|
| Vaults | Protegido por software e por HSM (tipos de chave HSM no SKU Premium) | https://{vault-name}.vault.azure.net |
| HSMs gerenciados | protegida por HSM | https://{hsm-name}.managedhsm.azure.net |
- Cofres – os cofres oferecem uma solução de gerenciamento de chaves altamente disponível, de baixo custo, fácil de implantar, multilocatário (quando disponível) adequada para os cenários de aplicativos de nuvem mais comuns.
- HSMs gerenciados - o HSM gerenciado fornece HSMs de locatário único e altamente disponíveis para armazenar e gerenciar suas chaves criptográficas. É mais adequado para aplicativos e cenários de uso que lidam com chaves de alto valor. Também ajuda a alcançar os requisitos mais rigorosos de segurança, conformidade e regulamentação.
Observação
Os cofres também permitem que você armazene e gerencie vários tipos de objetos, como segredos, certificados e chaves de conta de armazenamento, além das chaves criptográficas.
As chaves de criptografia no Key Vault são representadas como objetos de chave da Web JSON [JWK]. As especificações do JSON (JavaScript Object Notation) e do JOSE (JavaScript Object Signing and Encryption) são:
- Chave da Web JSON (JWK)
- Criptografia de Web JSON (JWE)
- Algoritmos da Web JSON (JWA)
- Assinatura da Web JSON (JWS)
As especificações de base JWK/JWA também são estendidas para habilitar tipos de chave exclusivos para as implementações do Azure Key Vault e de HSM Gerenciado.
As chaves HSM em cofres são protegidas por HSMs; as chaves de software não são protegidas por HSMs.
- As chaves armazenadas em cofres se beneficiam de proteção robusta usando HSM validado por FIPS 140. Há duas plataformas HSM distintas disponíveis: HSM Platform 1, que protege versões de chaves com FIPS 140-2 Nível 2, e HSM Platform 2, que protege chaves com FIPS 140-3 Nível 3 HSMs, dependendo de quando a chave foi criada. Todas as novas chaves e versões de chave agora são criadas usando a Plataforma HSM 2. Para determinar qual plataforma HSM está protegendo uma versão chave, obtenha seu atributo hsmPlatform .
- O HSM gerenciado usa módulos HSM validados fips 140-3 nível 3 para proteger suas chaves. Cada pool de HSM é uma instância de locatário única isolada com seu próprio domínio de segurança que fornece isolamento de criptografia completo em relação a todos os outros HSMs que compartilham a mesma infraestrutura de hardware. As chaves HSM gerenciadas são protegidas em pools de HSM de locatário único. Você pode importar uma RSA, EC e uma chave simétrica em forma flexível ou exportar de um dispositivo HSM com suporte. Você também pode gerar chaves em pools de HSM. Quando você importa chaves HSM usando o método descrito na especificação de BYOK (Bring Your Own Key), isso habilita o material de chave de transporte seguro em pools do HSM Gerenciado.
Para obter mais informações sobre fronteiras geográficas, consulte Microsoft Azure Trust Center
Tipos de chave e métodos de proteção
O Key Vault Premium e o Standard dão suporte a chaves RSA e EC. O HSM Gerenciado dá suporte a chaves de RSA, EC e simétricas.
Chaves protegidas por HSM
| Tipo de chave | Cofres (somente SKU Premium) | HSMs gerenciados |
|---|---|---|
| EC-HSM: chave de curva elíptica | Com suporte (P-256, P-384, P-521, secp256k1/P-256K) | Com suporte (P-256, secp256k1/P-256K, P-384, P-521) |
| RSA-HSM: chave RSA | Com suporte (2.048 bits, 3.072 bits, 4.096 bits) | Com suporte (2.048 bits, 3.072 bits, 4.096 bits) |
| oct-HSM: chave simétrica | Sem suporte | Com suporte (128 bits, 192 bits, 256 bits) |
Chaves protegidas por software
| Tipo de chave | Cofres | HSMs gerenciados |
|---|---|---|
| RSA: chave RSA "protegida por software" | Com suporte (2.048 bits, 3.072 bits, 4.096 bits) | Sem suporte |
| EC: chave de Curva Elíptica "protegida por software" | Com suporte (P-256, P-384, P-521, secp256k1/P-256K) | Sem suporte |
Conformidade
| Tipo de chave e destino | Conformidade |
|---|---|
| Chaves protegidas por software (Plataforma HSM 0) em cofres | FIPS 140-2 Nível 1 |
| Chaves protegidas da Plataforma HSM 1 em cofres (SKU Premium) | FIPS 140-2 Nível 2 |
| Chaves protegidas da Plataforma HSM 2 em cofres (SKU Premium) | FIPS 140-3 Nível 3 |
| As chaves no HSM Gerenciado são sempre protegidas por HSM | FIPS 140-3 Nível 3 |
Criptografia resistente a quantum, quântica segura ou pós-quântica
Criptografia "resistente a quantum", "quântica segura" e "pós-quantum" são termos usados para descrever algoritmos criptográficos que se acredita serem resistentes a ataques criptoanalíticos de computadores clássicos e quânticos. As chaves OCT-HSM de 256 bits usadas com os algoritmos AES oferecidos pelo HSM Gerenciado são resistentes a quantum. Para obter mais informações, consulte as perguntas frequentes sobre o Pacote de Algoritmos de Segurança Nacional Comercial 2.0 e a Computação Quântica.
Confira Tipos de chave, algoritmos e operações para obter detalhes sobre cada tipo de chave, algoritmo, operação, atributo e marcação.
Cenários de uso
| Quando usar | Exemplos |
|---|---|
| Criptografia de dados do lado do servidor do Azure para provedores de recursos integrados com chaves gerenciadas pelo cliente | - Criptografia do lado do servidor utilizando chaves de cliente gerenciado no Azure Key Vault |
| Criptografia de dados do lado do cliente | - Criptografia do lado do cliente com o Azure Key Vault |
| TLS sem chave | – Usar a chave Bibliotecas de Clientes |