Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Important
Управление внешними ключами для Managed HSM доступно в предварительной версии. Предварительные версии функций предоставляются вам при условии, что вы соглашаетесь с дополнительными условиями использования. Некоторые аспекты этой функции могут измениться до общедоступной доступности.
Управление внешними ключами HSM позволяет хранить ключ шифрования ключей (KEK) в управляемом клиентом объекте HSM, который работает полностью за пределами инфраструктуры Microsoft. Если службе Azure необходимо упаковать или распаковывать ключ шифрования данных, управляемый HSM делегирует эту операцию внешнему HSM через прокси-сервер EKM, работающий клиентом или поставщиком HSM.
Управление внешними ключами предназначено для организаций с строгими нормативными или цифровыми требованиями, которые юридически или договорно определяют физический контроль ключевых материалов за пределами Microsoft центров обработки данных. Это крайняя мера и вариант с ограниченным доступом, а не универсальный вариант обновления для ключей Managed HSM.
Зачем использовать внешнее управление ключами?
Внешнее управление ключами — оптимальный выбор, если у вас есть строгое требование, чтобы ваш ключевой материал никогда физически не размещался в инфраструктуре Microsoft. К определенным драйверам относятся следующие:
- Максимальное управление клавишами. KEK никогда не хранится в инфраструктуре Microsoft и не передаётся через неё. Только ваше оборудование выполняет операции шифрования и расшифровки.
- Цифровой суверенитет и соответствие требованиям. Внешнее управление ключами соответствует самым строгим нормативным требованиям и требованиям суверенитета данных. Так как вы физически управляете HSM, вы можете отключить его в любое время, чтобы остановить все криптографические операции.
- Независимость от поставщика. Microsoft публикует стандартный API прокси-сервера EKM. Любой поставщик HSM может реализовать соответствующий прокси-сервер, и его можно реализовать самостоятельно.
- Четкая граница ответственности. Microsoft отвечает за Managed HSM в пределах границ сервиса. Вы и ваш поставщик HSM владеете всем, кроме него: прокси-сервер, внешний HSM, сеть, доступность и поддержка.
- Без наценки Microsoft. Управление внешними ключами не добавляет плату за операцию поверх стандартных цен на управляемый модуль HSM. Вы несете расходы на инфраструктуру прокси-сервера и лицензирование поставщика HSM.
Если не использовать внешнее управление ключами
Внешнее управление ключами предполагает компромисс: доступность, производительность и операционная простота уступаются ради физического контроля над ключами вне инфраструктуры Microsoft. Если у вас нет юридических или договорных требований, которые определяют этот элемент управления, используйте вместо этого ключи управляемого устройства HSM.
Конкретные причины выбрать управляемые ключи HSM вместо внешнего управления ключами:
- Для внешних ключей соглашение об уровне обслуживания (SLA) не предусмотрено. Управляемое соглашение об уровне обслуживания HSM охватывает только управляемые ключи HSM. Доступность операций упаковки и распаковки внешних ключей полностью зависит от прокси-сервера и HSM.
- Низкая доступность и производительность. Каждая операция с внешним ключом добавляет дополнительные сетевые обмены между вашим прокси-сервером и HSM. Ключи управляемого HSM по своей архитектуре работают быстрее и отличаются более высокой доступностью.
- Более высокая операционная стоимость. Вы несете ответственность за подготовку, исправление, масштабирование и мониторинг прокси-сервера и внешнего устройства HSM.
- Microsoft не поддерживает прокси-сервер или HSM. Microsoft не поставляет, не эксплуатирует и не поддерживает прокси-сервер EKM и внешний HSM. Эта ответственность принадлежит вам или поставщику HSM.
- Только обернуть и развернуть. Внешнее управление криптографическими ключами поддерживает операции
wrapKeyиunwrapKey. Подписание, проверка, шифрование, расшифровка, безопасное предоставление ключа (SKR) и сценарии запуска конфиденциальных виртуальных машин не входят в область рассмотрения.
Сравнение: внешние ключи и управляемые ключи HSM
| Внешний ключ | Управляемый ключ HSM | |
|---|---|---|
| Расположение ключевого материала | Управляемый клиентом HSM за пределами инфраструктуры Microsoft | HSM уровня 3 по стандарту FIPS 140-3 в Azure |
| Ключевое владение и суверенитет | Клиент (или ваш поставщик HSM) — ключевой материал хранится в вашем собственном HSM | Клиент — полностью контролирует ключевой материал за счёт владения разделами; у Microsoft нет доступа к вашим ключам |
| Соглашение об уровне обслуживания | Нет (зависит от прокси-сервера и HSM) | Охватывается соглашением об уровне обслуживания управляемого модуля HSM |
| Latency | Выше (для каждой операции добавляется полный цикл запроса и ответа через прокси + HSM) | Нижний (без внешней круговой поездки) |
| Поддерживаемые операции |
wrapKey, unwrapKey только |
Полный набор операций ключа |
| Сети | Вы управляете: общедоступной конечной точкой для проксирования, защищённой с помощью mutual TLS (mTLS) | Управляется Azure |
| Логирование | Azure Monitor для управляемых HSM; прокси-серверы и журналы HSM находятся в вашей зоне ответственности. | Azure Monitor, полностью интегрированный |
| Цены | Цены на управляемые устройства HSM уровня "Стандартный" и затраты на прокси-сервер и HSM | Цены на стандартный управляемый HSM |
| Рекомендуемый вариант использования | Нормативное требование или мандат, связанный с суверенитетом, предписывающий физический контроль над ключами вне Microsoft | Все остальные рабочие нагрузки шифрования неактивных данных |
Как работает управление внешними ключами (высокий уровень)
Когда служба Azure выполняет неактивную операцию шифрования, управляемый HSM определяет, имеет ли ключ идентификатор внешнего ключа. Если это так, управляемый модуль HSM перенаправляет операцию на ваш прокси-сервер EKM, а не обрабатывает её локально. Прокси-сервер аутентифицируется с внешним HSM по протоколу взаимной TLS-аутентификации и возвращает результат в Managed HSM, который затем возвращает его вызывающей стороне.
Поток запроса выглядит следующим образом:
- Служба Azure, например служба хранилища Azure, обращается к Managed HSM для выполнения операции
wrapKeyилиunwrapKey. - Управляемый HSM определяет ключ как внешний через его идентификатор внешнего ключа и перенаправляет операцию на прокси-сервер EKM клиента.
- EKM Proxy выполняет взаимную аутентификацию с внешним HSM по протоколу mutual TLS и отправляет запрос на выполнение операции.
- Внешний HSM выполняет операцию и возвращает результат прокси-серверу.
- Прокси-сервер возвращает результат управляемому HSM, который возвращает его вызывающей службе Azure.
Полные параметры архитектуры и топологии сети см. в статье Об архитектуре управления внешними ключами HSM.
Поставщики HSM, поддерживающие управление внешними ключами (предварительная версия)
Следующие поставщики HSM поддерживают спецификацию API Managed HSM для управления внешними ключами.
| Имя поставщика | Поддерживаемые продукты | Дополнительные сведения |
|---|---|---|
| Вверять | Менеджер ключей платформы криптографической безопасности Entrust, работающий на базе HSM-модулей Entrust nShield | решения Entrust для управления ключами |
| Эвиден | Eviden Proteccio HSM и Eviden KMS | Eviden Proteccio HSM и Eviden KMS |
| Fortanix | Диспетчер безопасности данных | Решения Fortanix для Microsoft Azure |
| Futurex | CryptoHub | Futurex |
| Securosys SA | Семейство Primus HSM и Securosys Cloud HSM | Прокси-сервер управления внешними ключами Securosys |
| Thales | Thales Luna HSM | Расширенное шифрование с помощью комплексного управления ключами Azure |
| Utimaco | Enterprise Secure Key Manager (ESKM) и Enterprise Key Manager as a Service (EKMaaS) | Диспетчер безопасных ключей Utimaco Enterprise |
Этот список является информационным. Microsoft не предоставляет никаких представлений о совместимости, доступности или качестве реализации прокси-сервера конкретного поставщика. Каждый поставщик HSM отвечает за функциональные возможности своего прокси-сервера и за поддержку собственных клиентов. Оцените поставщиков на основе рекомендаций по развертыванию, результатов соответствия и обязательств поддержки, которые каждый поставщик публикует для собственного продукта.
Microsoft не отправляет прокси-сервер. Поставщики реализуют прокси-сервер с помощью общедоступного API прокси-сервера EKM. Вы также можете реализовать собственный прокси-сервер для того же общедоступного API.
Область и ограничения предварительного просмотра
Помните о следующих ограничениях во время предварительной версии:
- Закрытый доступ. Для вашей подписки функция внешнего управления ключами должна быть включена вашей командой Microsoft по работе с учетной записью. Обратитесь к ним, чтобы запросить активацию. Чтобы иметь право на подключение и использование внешнего управления ключами, у вас должен быть назначенный менеджер по работе с клиентами Microsoft, а также вы должны соответствовать финансовому требованию: не менее 10 млн долларов США (USD 10 млн) по совокупной ежегодной выручке Azure по обязательствам.
- Регион. Доступно во всех общедоступных регионах Azure на этапе запуска предварительной версии. Суверенные облака (Azure для государственных организаций, Azure Китай) не доступны для предварительной версии.
- Поддерживаемые операции. Только обернуть и развернуть (
wrapKey,unwrapKey). - Поддерживаемые сценарии. Шифрование данных при хранении для служб Azure, поддерживающих управляемые клиентом ключи (CMK) с Managed HSM.
- Нет соглашение об уровне обслуживания. Соглашение об уровне обслуживания не охватывает внешние ключи, прокси-сервер EKM или внешний HSM.
- Прозрачность сведений об ошибках. Управляемые устройства HSM регистрируют сбои, связанные с прокси-сервером или внешним устройством HSM. Эти сбои не учитываются в уровне обслуживания управляемого модуля HSM.
- Неизменяемость внешнего идентификатора ключа. Идентификатор внешнего ключа неизменяем после назначения. Выполняйте ротацию ключей, создавая новые версии ключей, а не изменяя существующий идентификатор внешнего ключа.
- Резервное копирование и восстановление не поддерживаются. Управляемый модуль HSM в настоящее время не поддерживает операции резервного копирования и восстановления для внешних ключей. Попытка восстановить внешний ключ из резервной копии может привести к тому, что связанный ресурс управляемого устройства HSM вступает в состояние пониженного состояния. Чтобы восстановить ссылку на внешний ключ, повторно создайте ссылку на внешний ключ в управляемом HSM, а не с помощью операций восстановления.
Get started
Начните с обзорных статей и кратких руководств по началу работы, которые соответствуют вашей роли и предпочтениям по инструментам.
- Архитектура внешнего управления ключами для Managed HSM.
- Соглашение об уровне обслуживания и общая ответственность за управление внешними ключами HSM.
- Краткое руководство. Создание первого внешнего ключа с помощью Azure CLI.
- Краткое руководство. Создание первого внешнего ключа с помощью портала Azure.
- Настройте сеть и mTLS для управления внешними ключами управляемого устройства HSM.
- Жизненный цикл внешнего ключа в управляемом управлении внешними ключами HSM.
- Ведение журналов и мониторинг для управления внешними ключами в Managed HSM.
- Устранение неполадок при управлении внешними ключами в Managed HSM
- Перенос рабочих нагрузок с внешних ключей для управления внешними ключами HSM.
- Часто задаваемые вопросы об управлении внешними ключами в Managed HSM.
- Справочник по API прокси-сервера EKM для управления внешним ключом HSM.