Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure Key Vault предоставляет два типа ресурсов для хранения криптографических ключей и управления ими. Хранилища поддерживают ключи, защищенные с помощью программного обеспечения, и ключи, защищенные с помощью HSM (модуля аппаратной безопасности). Управляемые модули HSM поддерживают только ключи, защищенные HSM.
| Тип ресурса | Методы защиты ключа | Базовый URL-адрес конечной точки в плоскости данных |
|---|---|---|
| Хранилища | Защищенные программным обеспечением и защищенные HSM (типы ключей HSM в SKU класса Premium) | https://<vault-name>.vault.azure.net |
| Управляемые модули HSM | Защищенные модулем HSM | https://<hsm-name>.managedhsm.azure.net |
- Хранилища — это недорогие, простые в развертывании, многоклиентские, устойчивые к отказу зоны (если доступно) и высокодоступные решения для управления ключами, которые отлично подходят для наиболее распространенных сценариев облачных приложений.
- Управляемые HSM — Управляемый HSM предоставляет однотенантные высокодоступные HSM для хранения криптографических ключей и управления ими. Они лучше всего подходят для приложений и сценариев использования с особо ценными ключами. Также они помогают соблюдать наиболее строгие стандарты безопасности, условия соответствия и нормативные требования.
Примечание.
В этой статье описываются ключи в Key Vault (хранилища). Дополнительные сведения о Managed HSM см. в разделах О ключах в Managed HSM и Типы ключей, алгоритмы и операции (Managed HSM).
Примечание.
Хранилища также позволяют хранить и администрировать не только криптографические ключи, но и объекты других типов, например секреты, сертификаты и ключи учетной записи хранения.
Ключи шифрования в Key Vault представлены объектами веб-ключей JSON (JWK). Спецификации JavaScript Object Notation (JSON) и JavaScript Object Signing and Encryption (JOSE) такие:
Базовые спецификации JWK/JWA также расширены для включения типов ключей, уникальных для реализации Azure Key Vault.
Ключи HSM в хранилищах защищены с использованием HSM. Ключи программного обеспечения не защищены с использованием HSM.
Ключи, хранящиеся в криптографических хранилищах, получают надежную защиту благодаря сертифицированным модулям HSM по стандарту FIPS 140. Доступны две разные платформы HSM: платформа HSM 1, которая защищает ключевые версии с помощью FIPS 140-2 уровня 2 и HSM Platform 2, которая защищает ключи с помощью FIPS 140-3 уровня 3 HSM в зависимости от того, когда был создан ключ. Теперь все новые ключи и версии ключей создаются с помощью HSM Platform 2. Чтобы определить, какая платформа HSM защищает версию ключа, получите его атрибут hsmPlatform .
Дополнительные сведения о географических границах см. в разделе Microsoft Azure Центре управления безопасностью.
Типы ключей и методы защиты
Key Vault Premium и Standard поддерживают ключи RSA и EC. Для симметричных ключей (oct-HSM / AES) используйте Managed HSM.
Защищенные HSM ключи (Key Vault Premium)
| Тип ключа | Размеры и кривые |
|---|---|
| EC-HSM: ключ эллиптической кривой. | P-256, P-384, P-521, secp256k1/P-256K |
| RSA-HSM: ключ RSA | 2048 бит, 3072 бит, 4096 бит |
Ключи, защищенные программным обеспечением (Key Vault категории "Стандартный" и "Премиум")
| Тип ключа | Размеры и кривые |
|---|---|
| RSA: ключ RSA, защищенный программным обеспечением | 2048-битный, 3072-битный, 4096-битный |
| EC: ключ эллиптической кривой, защищенный программным обеспечением | P-256, P-384, P-521, secp256k1/P-256K |
Сведения о поддержке Managed HSM см. в разделе О ключах в Managed HSM.
Соответствие нормативным требованиям
| Тип и назначение ключа | Соответствие нормативным требованиям |
|---|---|
| Ключи, защищенные программным обеспечением (HSM Platform 0), в сейфах | FIPS 140-2 уровня 1 |
| Защищенные ключи на платформе HSM 1 в хранилищах (SKU уровня "Премиум") | FIPS 140-2 Уровень 2 |
| Защищенные ключи HSM Platform 2 в хранилищах (SKU уровня "Премиум") | Уровень 3 FIPS 140-3 |
Квантовые устойчивые, квантовые безопасные или пост-квантовые криптографии
Криптография "квантово-устойчивой", "квантово-безопасной" и "пост-квантовой" — все эти термины используются для описания криптографических алгоритмов, которые, как считается, устойчивы к криптоаналитическим атакам как со стороны классических, так и квантовых компьютеров. 256-битные ключи oct-HSM, используемые с алгоритмами AES, предлагаемыми Managed HSM, устойчивы к квантовым атакам. Дополнительные сведения см. в статье "Коммерческий алгоритм национальной безопасности" 2.0 и вопросы и ответы о квантовых вычислениях.
Подробные сведения о типах ключей, алгоритмах, операциях, атрибутах и тегах см. в статье Типы ключей, алгоритмы и операции.
Сценарии использования
| Когда использовать | Примеры |
|---|---|
| Шифрование данных на стороне сервера Azure для интегрированных поставщиков ресурсов с ключами, управляемыми клиентом | - Шифрование на стороне сервера с помощью управляемых пользователем ключей в Azure Key Vault |
| Шифрование данных на стороне клиента | - Шифрование на стороне клиента с использованием Azure Key Vault |
| Протокол TLS без ключей | Используйте основные клиентские библиотеки |