Управление ключами в Azure

Примечание.

Нулевое доверие — это стратегия безопасности, состоящая из трех принципов: "Проверка явным образом", "Использование минимального доступа к привилегиям" и "Предполагать нарушение". Защита данных, включая управление ключами, поддерживает принцип "использовать минимальный доступ к привилегиям". Дополнительные сведения см. в разделе "Что такое нулевое доверие"?

Azure поддерживает ключи шифрования, управляемые платформой и клиентом.

Azure генерирует, хранит и управляет ключами, управляемыми платформой (PMK). Вам не нужно взаимодействовать с PMKs. Например, ключи, используемые для шифрования неактивных данных Azure , по умолчанию являются PMK.

Ключи, управляемые клиентом (CMK), — это ключи, которые вы создаёте, удаляете, используете и управляете. Вы можете хранить клиентские мастер-ключи в хранилище ключей, принадлежащем клиенту, или аппаратном модуле безопасности (HSM). Bring your own key (BYOK) — это сценарий CMK, при котором вы импортируете ключи из внешнего хранилища в сервис управления ключами Azure. Дополнительные сведения см. в Azure Key Vault. Создание собственной спецификации ключей.

Ключ шифрования ключей (KEK) — это первичный ключ, который управляет доступом к одному или нескольким ключам шифрования, которые он шифрует.

CMK можно хранить локально или, чаще, в облачном сервисе управления ключами.

Службы управления ключами Azure

Azure предлагает несколько вариантов хранения и управления ключами в облаке, включая Azure Key Vault, Azure Managed HSM, Azure Cloud HSM и Azure Payment HSM. Эти варианты различаются уровнем соответствия FIPS, управленческими расходами и предполагаемыми применениями.

Для подробного руководства по выбору подходящего решения для управления ключами см. раздел «Как выбрать правильное решение для управления ключами».

Azure Key Vault (standard tier)

Стандартный уровень Azure Key Vault — это многопользовательский облачный сервис управления ключами, прошедший валидацию по стандарту FIPS 140-2 уровня 1. Вы можете использовать его для хранения асимметричных ключей, секретов и сертификатов. Ключи, хранящиеся в стандартном уровне Azure Key Vault, защищены программным обеспечением. Их можно использовать для шифрования в состоянии покоя и для кастомных приложений. Стандартный уровень Azure Key Vault предоставляет современный API и широкие региональные развертывания и интеграции с сервисами Azure. Дополнительные сведения см. в статье Сведения об Azure Key Vault.

Azure Key Vault (premium tier)

Azure Key Vault уровня Premium — это мультитенантное решение HSM, валидированное по стандарту FIPS 140-3 Level 3 и соответствующее требованиям PCI. Используйте его для хранения асимметричных ключей, секретов и сертификатов. Ключи хранятся в защищённой аппаратной границе с помощью HSM Marvell LiquidSecurity. Корпорация Майкрософт управляет и эксплуатирует базовый HSM. Используйте ключи, хранящиеся в премиум-уровне Azure Key Vault, для шифрования в состоянии покоя и пользовательских приложений. Azure Key Vault premium tier также предоставляет современный API, широкие региональные развертывания и интеграцию с сервисами Azure.

Это важно

Azure Integrated HSM — это отдельная инфраструктура Azure для криптографических операций в поддерживаемых виртуальных машинах (VM). Эта функция общедоступна на поддерживаемых SKU виртуальных машин AMD v7 для виртуальных машин Windows Trusted Launch с 8 vCPU или более и требует явного включения со стороны клиента. Для получения дополнительной информации см. обзор Azure Integrated HSM.

Если вы клиент премиум-уровня Azure Key Vault и ищете суверенитет ключей, единую аренду или более высокий объём криптоопераций в секунду, рассмотрите Azure Key Vault Managed HSM. Премиум-уровень Key Vault использует общие HSM, управляемые Microsoft. Управляемый HSM необходим для рабочих нагрузок, которым требуется принадлежащий клиенту доверенный корень. Дополнительные сведения см. в статье Сведения об Azure Key Vault.

Примечание.

Премиум-уровень Azure Key Vault позволяет создавать как программно-защищённые, так и HSM-защищённые ключи. Если вы используете премиум-уровень Azure Key Vault, убедитесь, что созданный ключ защищён HSM.

Управляемый сервис HSM от Azure Key Vault

Azure Key Vault Managed HSM — это решение HSM для одного клиента, прошедшее валидацию по стандарту FIPS 140-3 уровня 3 и обеспечивающее полный контроль над модулем HSM для шифрования данных при хранении, разгрузки SSL/TLS без хранения ключей, внешнего управления ключами и пользовательских приложений. Управление внешними ключами доступно в предварительной версии и поддерживает только операции упаковки и распаковки ключей. Управляемый HSM в Azure Key Vault — это единственное решение для управления ключами, предлагающее конфиденциальные ключи. Клиенты получают пул из трёх HSM-разделов, которые работают как одно логичное, высокодоступное HSM-устройство. Фронтенд сервиса раскрывает криптографическую функциональность через API Key Vault. Microsoft занимается подготовкой HSM к работе, установкой обновлений, обслуживанием и аппаратным аварийным переключением, но не имеет доступа к ключам. Клиент владеет и контролирует домен безопасности, который является корнем доверия для HSM. Потеря домена безопасности приводит к постоянной, необратимой потере всех ключей. Azure Key Vault Managed HSM интегрирован с Azure SQL, служба хранилища Azure, Azure Information Protection и Customer Key for Microsoft 365. Также поддерживается Keyless TLS с F5 и NGINX. Дополнительные сведения см. в статье "Что такое Управляемый HSM Azure Key Vault?".

Azure Cloud HSM

Azure Cloud HSM — это высокодоступный, валидированный по FIPS 140-3 уровня 3 сервис с одним арендатором, который предоставляет клиентам полные административные полномочия над их HSM. Azure Cloud HSM является преемником выделенного HSM Azure и предоставляет безопасный, принадлежащий клиенту кластер HSM для хранения криптографических ключей и выполнения криптографических операций. Корпорация Майкрософт управляет высокой доступностью, обновлениями и обслуживанием инфраструктуры HSM. Сервис поддерживает различные приложения, включая PKCS#11, разгрузку SSL/TLS с помощью Apache, NGINX и F5 BIG-IP, защиту приватных ключей сертификационного центра (CA), прозрачное шифрование данных (TDE), а также подписывание документов и кода. Azure Cloud HSM поддерживает отраслевые стандартные API, включая PKCS#11, OpenSSL, Java Cryptography Architecture (JCA), Java Cryptography Extension (JCE), Cryptography API: Next Generation (CNG) и провайдера хранения ключей (KSP). Эти API делают Azure Cloud HSM хорошим вариантом для миграции приложений с локальных устройств, Выделенное устройство HSM Azure или AWS CloudHSM. Дополнительные сведения см. в статье "Что такое Azure Cloud HSM?".

Аппаратный модуль безопасности (HSM) для платежей Azure

Azure Payment HSM — это выделенное HSM-решение на физическом сервере для одного арендатора, сертифицированное по стандартам FIPS 140-2 Level 3 и PCI HSM v3. Клиенты могут арендовать платёжное HSM-устройство в дата-центрах Microsoft для платежных операций, включая обработку PIN-кодов платежей, выдачу платежных учетных данных, безопасность ключей и аутентификации, а также защиту конфиденциальных данных. Служба соответствует PCI DSS, PCI 3DS и ПИН-коду PCI. Azure Payment HSM предлагает HSM с одним арендатором, чтобы клиенты получили полный административный контроль и эксклюзивный доступ к HSM. После того как HSM выделен клиенту, Microsoft не получает доступа к данным клиента. Когда HSM больше не требуется, данные клиента обнуляются и удаляются сразу после публикации HSM для поддержания конфиденциальности и безопасности. Для получения дополнительной информации см. Что такое Azure Payment HSM?.

Выделенное устройство HSM Azure (выводится из эксплуатации)

Поддержка выделенного HSM Azure будет прекращена. Корпорация Майкрософт полностью поддерживает существующие клиенты выделенного устройства HSM до 31 июля 2028 г. Новые подключения клиентов не принимаются. Для полной информации и необходимых действий см. объявление о выходе из эксплуатации Выделенное устройство HSM Azure.

Если вы пользуетесь Выделенное устройство HSM Azure, см. раздел «Переход от Выделенное устройство HSM Azure к Azure Key Vault Managed HSM или Azure Cloud HSM». Azure Cloud HSM теперь общедоступен и является преемником выделенного HSM Azure.

Цены

Для уровней Azure Key Vault Standard и Premium действует тарификация на основе количества транзакций, а для ключей Premium с аппаратной защитой дополнительно взимается ежемесячная плата за каждый ключ. Azure Key Vault Managed HSM, Azure Cloud HSM и Azure Payment HSM не взимают плату на транзакционной основе. Вместо этого это устройства, которые используются постоянно и тарифицируются по фиксированной почасовой ставке. Подробные сведения о ценах см. в разделе о ценах Key Vault, ценах на облачные устройства HSM и ценах HSM для оплаты.

Ограничения сервисов

Управляемое HSM в Azure Key Vault, Облачное HSM и HSM для оплаты Azure предлагают выделенную мощность. Ценовые категории Standard и Premium Azure Key Vault являются мультитенантными предложениями и имеют ограничения по количеству запросов. Сведения об ограничениях служб см. в разделе "Ограничения службы Key Vault " и ограничения службы HSM в облаке.

Шифрование данных в состоянии покоя

Azure Key Vault и Azure Key Vault Managed HSM интегрируются с Azure services и Microsoft 365 для ключей, управляемых клиентом. Вы можете использовать свои ключи в Azure Key Vault и Azure Key Vault Managed HSM для шифрования на месте данных, хранящихся в этих службах. Для организаций с регуляторными или договорными требованиями, требующими физического размещения ключевых материалов вне инфраструктуры Microsoft, Azure Key Vault Managed HSM также поддерживает внешнее управление ключами. Внешнее управление ключами доступно в режиме предварительной версии и хранит ключ шифрования ключа в HSM, управляемом клиентом, вне Azure. Azure Cloud HSM и Azure Payment HSM являются предложениями инфраструктуры как услуги (IaaS) и не интегрируются с сервисами платформы Azure as a service (PaaS) или с сервисами программного обеспечения как услуги (SaaS). Общие сведения о шифровании данных в покое с помощью Azure Key Vault и Управляемого HSM Azure Key Vault см. в статье Шифрование данных Azure в покое.

Программные интерфейсы

Azure Cloud HSM поддерживает API PKCS#11, OpenSSL, JCA, JCE, CNG и KSP. Azure Payment HSM использует интерфейсы Thales payShield для управления HSM и криптографических операций. Azure Key Vault и Azure Key Vault Managed HSM не поддерживают эти API. Вместо этого они используют REST API Azure Key Vault и предлагают поддержку пакета SDK. Дополнительные сведения об API Azure Key Vault см. в статье Справочник по Azure Key Vault REST API.

Дальнейшие действия