Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
A Confiança Zero é uma estratégia de segurança composta por três princípios: "Verificar explicitamente", "Usar acesso de privilégios mínimos" e "Assumir violação". A proteção de dados, incluindo o gerenciamento de chaves, dá suporte ao princípio de "usar acesso de privilégios mínimos". Para obter mais informações, consulte o que é Confiança Zero?
No Azure, as chaves de criptografia podem ser gerenciadas pela plataforma ou pelo cliente.
As chaves de criptografia gerenciadas pela plataforma (PMKs) são chaves de criptografia geradas, armazenadas e gerenciadas inteiramente pelo Azure. Os clientes não interagem com as PMKs. As chaves usadas para a Criptografia de Dados do Azure em repouso, por exemplo, são PMKs por padrão.
As chaves gerenciadas pelo cliente (CMKs), por outro lado, são chaves que podem ser lidas, criadas, excluídas, atualizadas e/ou administradas por um ou mais clientes. As chaves armazenadas em um cofre de chaves de propriedade do cliente ou um HSM (módulo de segurança de hardware) são CMKs. Bring Your Own Key (BYOK) é um cenário cmk no qual um cliente importa (traz) chaves de um local de armazenamento externo para um serviço de gerenciamento de chaves do Azure (consulte o Azure Key Vault: Traga sua própria especificação de chave).
Um tipo específico de chave gerenciada pelo cliente é a "chave de criptografia de chave" (KEK). A KEK é uma chave primária, que controla o acesso a uma ou mais chaves de criptografia que também são criptografadas.
As chaves gerenciadas pelo cliente podem ser armazenadas no local ou, mais comumente, em um serviço de gerenciamento de chaves na nuvem.
Serviços de gerenciamento de chaves do Azure
O Azure oferece várias opções para armazenar e gerenciar suas chaves na nuvem, incluindo o Azure Key Vault, o HSM Gerenciado do Azure Key Vault, o HSM de Nuvem do Azure e o HSM de Pagamento do Azure. Essas opções diferem em termos de nível de conformidade com o padrão FIPS, sobrecarga de gerenciamento e aplicativos pretendidos.
Para obter um guia abrangente sobre como escolher a solução de gerenciamento de chaves certa para suas necessidades específicas, consulte Como escolher a solução de gerenciamento de chaves correta.
Azure Key Vault (Camada Standard)
Um serviço de gerenciamento de chaves de nuvem multilocatário validado FIPS 140-2 Nível 1 que pode ser usado para armazenar chaves assimétricas, segredos e certificados. As chaves armazenadas no Azure Key Vault são protegidas por software e podem ser usadas para criptografia em repouso e aplicativos personalizados. O Azure Key Vault Standard fornece uma API moderna e uma variedade de implantações e integrações regionais com os Serviços do Azure. Para saber mais, confira Sobre o Azure Key Vault.
Azure Key Vault (Camada Premium)
Uma oferta de HSM validado FIPS 140-3, nível 3, compatível com PCI e multilocatário, que pode ser usada para armazenar chaves assimétricas, segredos e certificados. As chaves são armazenadas em um limite de hardware seguro usando HSMs do Marvell LiquidSecurity*. A Microsoft gerencia e opera o HSM subjacente e as chaves armazenadas no Azure Key Vault Premium podem ser usadas para aplicativos personalizados e de criptografia em repouso. O Azure Key Vault Premium também fornece uma API moderna e uma variedade de implantações regionais e integrações com os Serviços do Azure.
Importante
HSM Integrado do Azure: a partir do novo hardware do servidor do Azure (AMD D e E Series v7 Preview), os chips HSM projetados pela Microsoft estão sendo inseridos diretamente em servidores, atendendo aos padrões fips 140-3 de nível 3. Esses chips resistentes a adulterações mantêm chaves de criptografia dentro de limites de hardware seguros, eliminando riscos de latência e exposição. O HSM integrado opera de forma transparente por padrão para serviços com suporte, como o Azure Key Vault e a criptografia de Armazenamento do Azure, fornecendo confiança imposta por hardware sem configuração adicional. Essa integração garante que as operações criptográficas se beneficiem do isolamento de segurança em nível de hardware, mantendo o desempenho e a escalabilidade dos serviços de nuvem.
Se você for um cliente do Azure Key Vault Premium que procura soberania de chave, locação única e/ou operações criptográficas mais altas por segundo, convém considerar o HSM Gerenciado do Azure Key Vault. Para saber mais, confira Sobre o Azure Key Vault.
Sobre o HSM Gerenciado do Azure Key Vault
Uma oferta de HSM validada de Nível 3 FIPS 140-2 e de locatário único que fornece aos clientes controle total de um HSM para criptografia em repouso, descarregamento SSL/TLS sem chave e aplicações personalizadas. O HSM Gerenciado do Azure Key Vault é a única solução de gerenciamento de chaves que oferece chaves confidenciais. Os clientes recebem um pool de três partições de HSM, que atuam juntas como um dispositivo HSM lógico e altamente disponível, encadeados por um serviço que expõe a funcionalidade de criptografia por meio da API do Key Vault. A Microsoft gerencia o provisionamento, a aplicação de patches, manutenção e failover de hardware dos HSMs, mas não tem acesso às chaves, porque o serviço é executado na Infraestrutura de Computação Confidencial do Azure. O HSM Gerenciado do Azure Key Vault é integrado aos serviços de PaaS do Azure SQL, Armazenamento do Azure e Proteção de Informações do Azure e oferece suporte para TLS sem chave com F5 e Nginx. Para obter mais informações, consulte O que é HSM Gerenciado do Azure Key Vault?.
HSM Dedicado do Azure
Uma oferta de HSM de instância única validada pelo FIPS 140-2 nível 3 que proporciona aos clientes controle total de um HSM para PKCS#11, processamento de SSL/TLS, proteção da chave privada de uma autoridade certificadora, criptografia de dados transparente, incluindo assinatura de documentos e códigos, além de aplicativos personalizados. O cliente tem controle administrativo total do cluster HSM. Embora os clientes possuam a implantação e a inicialização de seu HSM, a Microsoft cuida do provisionamento e da hospedagem do HSM. O HSM Dedicado do Azure oferece suporte a casos de uso existentes, incluindo workloads de lift-and-shift, PKI, descarga de SSL e TLS sem chave, aplicativos OpenSSL, Oracle TDE e IaaS do TDE do SQL do Azure. O HSM Dedicado do Azure não está integrado a nenhuma oferta de PaaS do Azure. Para obter mais informações, consulte o que é o HSM dedicado do Azure?.
HSM de Pagamento do Azure
Um FIPS 140-2 Nível 3, PCI HSM v3, uma oferta de HSM computador bare-metal de locatário único validada que permite aos clientes alugar um dispositivo HSM de pagamento em datacenters da Microsoft para operações de pagamento, incluindo processamento de PIN de pagamento, emissão de credenciais de pagamento, proteção de chaves e dados de autenticação e proteção de dados confidenciais. O serviço é compatível com PCI DSS, PCI 3DS e PIN PCI. O HSM de Pagamento do Azure oferece HSMs de locatário único para que os clientes tenham controle administrativo completo e acesso exclusivo ao HSM. Depois que o HSM é alocado a um cliente, a Microsoft não tem acesso aos dados do cliente. Da mesma forma, quando o HSM não é mais necessário, os dados do cliente são zerados e apagados assim que o HSM é liberado, para garantir que a privacidade e a segurança completas sejam mantidas. Para obter mais informações, consulte o que é hsm de pagamento do Azure?.
Observação
* O Azure Key Vault Premium permite a criação de chaves protegidas por software e HSM. Se estiver usando o Azure Key Vault Premium, verifique se a chave criada está protegida por HSM.
Preços
As camadas Standard e Premium do Azure Key Vault são cobradas em uma base transacional, com um custo mensal extra por chave para chaves com suporte de hardware premium. O HSM Gerenciado do Azure Key Vault, o HSM Dedicado do Azure e o HSM de Pagamento do Azure não cobram transacionalmente; em vez disso, eles são dispositivos sempre em uso que são cobrados a uma taxa fixa por hora. Para obter informações detalhadas sobre preços, consulte preços do Key Vault e preços de HSM de pagamento.
Limites de Serviço
O HSM Gerenciado do Azure Key Vault, o HSM Dedicado do Azure e o HSM de Pagamento do Azure oferecem capacidade dedicada. O Azure Key Vault Standard e Premium são ofertas multilocatários e têm limites de limitação. Para obter limites de serviço, consulte os limites de serviço do Key Vault.
Criptografia em repouso
O Azure Key Vault e o HSM Gerenciado do Azure Key Vault têm integrações com os Serviços do Azure e o Microsoft 365 para Chaves Gerenciadas pelo Cliente, o que significa que os clientes podem usar suas próprias chaves no Azure Key Vault e no HSM Gerenciado do Azure Key Vault para criptografia em repouso de dados armazenados nesses serviços. O HSM Dedicado do Azure e o HSM de Pagamento do Azure são ofertas de Infraestrutura como Serviço e não oferecem integrações com os Serviços do Azure. Para obter uma visão geral da criptografia em repouso com o Azure Key Vault e o HSM Gerenciado do Azure Key Vault, consulte Azure Data Encryption-at-Rest.
APIs
O HSM dedicado do Azure e o HSM de Pagamento do Azure dão suporte às APIs PKCS#11, JCE/JCA e KSP/CNG, mas o Azure Key Vault e o HSM gerenciado do Azure Key Vault não dão. O Azure Key Vault e o HSM Gerenciado do Azure Key Vault usam a API REST do Azure Key Vault e oferecem suporte ao SDK. Para obter mais informações sobre a API do Azure Key Vault, consulte a Referência da API REST do Azure Key Vault.