Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure Key Vault Managed HSM — это полностью управляемая, высокодоступная облачная служба с одним клиентом, использующая FIPS 140-3 уровня 3 проверенные аппаратные модули безопасности для защиты криптографических ключей. Все ключи в экземпляре Managed HSM защищены с помощью HSM; Managed HSM не хранит ключи, защищенные программным обеспечением.
Каждый управляемый экземпляр HSM — это изолированный пул с одним клиентом с собственным доменом безопасности, который обеспечивает полную криптографическую изоляцию от всех остальных экземпляров управляемого устройства HSM, использующих одно и то же базовое оборудование. Базовый URL-адрес конечной точки плоскости данных для экземпляра управляемого HSM: https://<hsm-name>.managedhsm.azure.net.
Криптографические ключи в Управляемом HSM представлены в виде объектов веб-ключа JSON (JWK), как определено в следующих спецификациях:
Базовые спецификации JWK/JWA расширены, чтобы включить типы ключей, уникальные для реализации управляемого устройства HSM.
Поддерживаемые типы ключей и размеры
| Тип ключа | Размеры и кривые |
|---|---|
| RSA-HSM — ключ RSA | 2048-разрядная, 3072-разрядная, 4096-разрядная |
| EC-HSM — ключ эллиптической кривой | P-256, P-256K (secp256k1), P-384, P-521 |
| oct-HSM — симметричный ключ (AES) | 128-разрядная, 192-разрядная, 256-разрядная |
Ключи можно создавать непосредственно в управляемом экземпляре HSM, импортировать ключи RSA или EC из PEM-файла или безопасно передавать ключи (RSA, EC или oct-HSM) из поддерживаемой локальной среды HSM с помощью спецификации BYOK (принести собственный ключ). Дополнительные сведения см. в разделе Управление ключами в управляемом HSM и статье Импорт ключей, защищенных HSM, в управляемый HSM (BYOK).
Дополнительные сведения о поддерживаемых алгоритмах, операциях, атрибутах и тегах см. в разделах "Типы ключей", "Алгоритмы" и "Операции".
Compliance
Все ключи в Managed HSM защищены модулем HSM на аппаратном обеспечении, прошедшем валидацию по стандарту FIPS 140-3 уровня 3. Доступен только один уровень защиты; Managed HSM не поддерживает несколько платформ HSM или вариант с программной защитой. Дополнительные сведения о аппаратной среде, проверенных стандартах (FedRAMP-High, PCI, SOC 1/2/3, ISO 270x) и более широкой программе соответствия требованиям Azure см. в разделе Управляемые технические сведения HSM.
Криптография, устойчивая к квантовым вычислениям
«Квантово-устойчивая», «квантово-безопасная» и «постквантовая» криптография — это термины, используемые для описания криптографических алгоритмов, которые, как считается, устойчивы к криптоаналитическим атакам со стороны как классических, так и квантовых компьютеров. 256-битные ключи oct-HSM, используемые с алгоритмами AES, предлагаемыми Managed HSM, устойчивы к квантовым атакам. Дополнительные сведения см. в статье "Коммерческий алгоритм национальной безопасности" 2.0 и вопросы и ответы о квантовых вычислениях.
Аттестация ключей
Managed HSM может удостоверить, что ключ был создан и находится внутри HSM, которым управляет Microsoft. Асимметричные ключи получают аттестацию открытого и закрытого ключей; Симметричные ключи (oct-HSM) получают только аттестацию закрытого ключа. Дополнительные сведения см. в разделе "Проверка управляемых ключей HSM с аттестацией ключей".
Сценарии использования
| Когда использовать | Examples |
|---|---|
| Azure шифрование данных на стороне сервера с помощью ключей, управляемых клиентом | Серверное шифрование с помощью ключей, управляемых клиентом, в Azure Key Vault |
| Шифрование данных на стороне клиента | Шифрование на стороне клиента с использованием Azure Key Vault |
| Протокол TLS без ключей | Библиотека разгрузки управляемого протокола TLS HSM |