Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Nota
O Zero Trust é uma estratégia de segurança composta por três princípios: "Verificar explicitamente", "Usar acesso com privilégios mínimos" e "Assumir violação". A proteção de dados, incluindo o gerenciamento de chaves, apoia o princípio de "usar acesso com privilégios mínimos". Para obter mais informações, consulte O que é Zero Trust?
No Azure, as chaves de criptografia podem ser gerenciadas pela plataforma ou pelo cliente.
As chaves gerenciadas pela plataforma (PMKs) são chaves de criptografia geradas, armazenadas e gerenciadas inteiramente pelo Azure. Os clientes não interagem com PMKs. As chaves usadas para a Criptografia de Dados do Azure em repouso, por exemplo, são PMKs por padrão.
As chaves gerenciadas pelo cliente (CMK), por outro lado, são chaves lidas, criadas, excluídas, atualizadas e/ou administradas por um ou mais clientes. As chaves armazenadas num cofre de chaves de propriedade do cliente ou módulo de segurança de hardware (HSM) são CMKs. Bring Your Own Key (BYOK) é um cenário de CMK no qual um cliente importa (traz) chaves de um local de armazenamento externo para um serviço de gerenciamento de chaves do Azure (consulte o Azure Key Vault: Bring your own key specification).
Um tipo específico de chave gerida por clientes é a "chave de encriptação" (KEK). Um KEK é uma chave primária que controla o acesso a uma ou mais chaves de criptografia que são criptografadas.
As chaves gerenciadas pelo cliente podem ser armazenadas no local ou, mais comumente, em um serviço de gerenciamento de chaves na nuvem.
Serviços de gerenciamento de chaves do Azure
O Azure oferece várias opções para armazenar e gerenciar suas chaves na nuvem, incluindo o Azure Key Vault, o Azure Key Vault Managed HSM, o Azure Cloud HSM e o Azure Payment HSM. Essas opções diferem em termos de nível de conformidade FIPS, sobrecarga de gerenciamento e aplicativos pretendidos.
Para obter um guia abrangente sobre como escolher a solução de gerenciamento de chaves certa para suas necessidades específicas, consulte Como escolher a solução certa de gerenciamento de chaves.
Azure Key Vault (nível padrão)
Um serviço de gerenciamento de chaves na nuvem multilocatário validado pelo FIPS 140-2 Nível 1 que pode ser usado para armazenar chaves, segredos e certificados assimétricos. As chaves armazenadas no Cofre de Chaves do Azure são protegidas por software e podem ser usadas para criptografia em repouso e aplicativos personalizados. O Azure Key Vault Standard fornece uma API moderna e uma variedade de implantações e integrações regionais com os Serviços do Azure. Para obter mais informações, consulte Sobre o Azure Key Vault.
Azure Key Vault (Nível Premium)
Uma oferta de HSM multilocatário validada FIPS 140-3 Nível 3 e compatível com PCI que pode ser usada para armazenar chaves, segredos e certificados assimétricos. As chaves são armazenadas num limite de hardware seguro, utilizando HSMs Marvell LiquidSecurity*. A Microsoft gerencia e opera o HSM subjacente, e as chaves armazenadas no Azure Key Vault Premium podem ser usadas para criptografia em repouso e aplicativos personalizados. O Azure Key Vault Premium também fornece uma API moderna e uma variedade de implantações e integrações regionais com os Serviços do Azure.
Importante
Azure Integrated HSM: Começando com o novo hardware de servidor Azure (AMD D e E Series v7 Preview), os chips HSM desenhados pela Microsoft estão a ser incorporados diretamente nos servidores, cumprindo os padrões FIPS 140-3 Nível 3. Estes chips resistentes a adulteração mantêm as chaves de encriptação dentro dos limites seguros do hardware, eliminando riscos de latência e exposição. O HSM integrado opera de forma transparente por defeito para serviços suportados como Azure Key Vault e encriptação de Azure Storage, proporcionando confiança garantida por hardware sem configuração adicional. Esta integração garante que as operações criptográficas beneficiam do isolamento de segurança ao nível do hardware, mantendo ao mesmo tempo o desempenho e a escalabilidade dos serviços na cloud.
Se for um cliente do Azure Key Vault Premium à procura de soberania de chaves, arrendamento único e/ou operações de encriptação superiores por segundo, poderá considerar o Azure Key Vault Managed HSM. Para obter mais informações, consulte Sobre o Azure Key Vault.
HSM Gerido do Azure Key Vault
Uma oferta HSM validada FIPS 140-3 Nível 3, de ambiente dedicado, que dá aos clientes controlo total de um HSM para encriptação de dados em repouso, descarregamento TLS/SSL sem chave e aplicações customizadas. O Azure Key Vault Managed HSM é a única solução de gerenciamento de chaves que oferece chaves confidenciais. Os clientes recebem um pool de três partições HSM — juntas atuando como um dispositivo HSM lógico e altamente disponível — encabeçadas por um serviço que expõe a funcionalidade de criptografia por meio da API do Cofre de Chaves. A Microsoft gerencia o provisionamento, aplicação de patches, manutenção e failover de hardware dos HSMs, mas não tem acesso às chaves em si, porque o serviço é executado na Infraestrutura de Computação Confidencial do Azure. O Azure Key Vault Managed HSM está integrado com os serviços PaaS do Azure SQL, Armazenamento do Azure e Proteção de Informações do Azure e oferece suporte para TLS sem chave com F5 e Nginx. Para obter mais informações, consulte O que é o Azure Key Vault Managed HSM?.
Azure Cloud HSM
Um serviço de inquilino único, altamente disponível, validado pelo FIPS 140-3 Nível 3, que concede aos clientes autoridade administrativa completa sobre os seus HSMs. O Azure Cloud HSM é o sucessor do Azure Dedicated HSM e fornece um cluster HSM seguro e propriedade do cliente para armazenar chaves criptográficas e realizar operações criptográficas. A Microsoft gere a alta disponibilidade, patches e manutenção da infraestrutura HSM. O serviço suporta várias aplicações, incluindo PKCS#11, descarregamento de SSL/TLS, proteção de chave privada da autoridade certificadora (CA), encriptação transparente de dados (TDE) e assinatura de documentos e códigos. O Azure Cloud HSM suporta APIs padrão da indústria, incluindo PKCS#11, OpenSSL, JCA/JCE e Microsoft CNG/KSP, tornando-o ideal para migrar aplicações de ambientes locais, Azure Dedicated HSM ou AWS CloudHSM. Para mais informações, consulte O que é Azure Cloud HSM?.
Azure Payment HSM
Um FIPS 140-2 Nível 3, PCI HSM v3, validou uma oferta de HSM bare metal de inquilino único que permite aos clientes alugar um dispositivo HSM de pagamento em datacenters da Microsoft para operações de pagamento, incluindo processamento de PIN de pagamento, emissão de credenciais de pagamento, chaves de segurança e dados de autenticação e proteção de dados confidenciais. O serviço é compatível com PCI DSS, PCI 3DS e PCI PIN. O Azure Payment HSM oferece HSMs de locatário único para que os clientes tenham controle administrativo completo e acesso exclusivo ao HSM. Depois que o HSM é alocado a um cliente, a Microsoft não tem acesso aos dados do cliente. Da mesma forma, quando o HSM não é mais necessário, os dados do cliente são zerados e apagados assim que o HSM é liberado, para garantir total privacidade e segurança. Para obter mais informações, consulte O que é o HSM de pagamento do Azure?.
Nota
* O Azure Key Vault Premium permite a criação de chaves protegidas por software e HSM. Se estiver usando o Azure Key Vault Premium, verifique se a chave criada está protegida por HSM.
Azure Dedicated HSM (em descontinuação)
O Azure Dedicated HSM está a ser retirado. A Microsoft irá suportar totalmente os clientes HSM Dedicados existentes até 31 de julho de 2028. Não se aceitam novos clientes. Para detalhes completos e ações obrigatórias, consulte a atualização oficial do Azure.
Se for utilizador de Azure Dedicated HSM, veja Migrar de Azure Dedicated HSM para Azure Managed HSM ou Azure Cloud HSM. O Azure Cloud HSM está agora geralmente disponível e é o sucessor do Azure Dedicated HSM.
Preços
As camadas Standard e Premium do Azure Key Vault são cobradas numa base transacional, com uma cobrança mensal extra por chave para chaves premium suportadas por hardware. Azure Key Vault Managed HSM, Azure Cloud HSM e Azure Payment HSM não cobram de forma transacional; em vez disso, são dispositivos sempre em uso que são faturados a uma tarifa fixa por hora. Para informações detalhadas sobre preços, consulte preços do Key Vault, preços do Cloud HSM e preços do Payment HSM.
Limites do Serviço
Azure Key Vault Managed HSM, Azure Cloud HSM e Azure Payment HSM oferecem capacidade dedicada. O Azure Key Vault Standard e Premium são ofertas multilocatárias e têm limites de limitação. Para limites de serviço, consulte limites de serviço do Key Vault e limites de serviço do Cloud HSM.
Encriptação em repouso
O Azure Key Vault e o Azure Key Vault Managed HSM têm integrações com os Serviços do Azure e o Microsoft 365 for Customer Managed Keys, o que significa que os clientes podem usar suas próprias chaves no Azure Key Vault e no Azure Key Vault Managed HSM para criptografia em repouso dos dados armazenados nesses serviços. Azure Cloud HSM e Azure Payment HSM são ofertas de Infrastructure-as-Service e não oferecem integrações com Azure Services. Para obter uma visão geral da criptografia em repouso com o Azure Key Vault e o Azure Key Vault Managed HSM, consulte Azure Data Encryption-at-Rest.
APIs
O Azure Cloud HSM suporta as APIs PKCS#11, OpenSSL, JCA/JCE e KSP/CNG. O Azure Payment HSM utiliza interfaces payShield da Thales para gestão de HSM e operações criptográficas. Azure Key Vault e Azure Key Vault Managed HSM não suportam estas APIs; em vez disso, utilizam a API REST do Azure Key Vault e oferecem suporte a SDK. Para obter mais informações sobre a API do Azure Key Vault, consulte Referência da API REST do Azure Key Vault.