Управление ключами в Azure

В Azure ключи шифрования могут управляться платформой или клиентом.

Управляемые платформой ключи (PMKs) — это ключи шифрования, созданные, сохраненные и управляемые полностью Azure. Клиенты не взаимодействуют с PMK. Ключи, используемые для шифрования неактивных данных Azure, например, являются PMK по умолчанию.

С другой стороны, управляемые клиентом ключи (CMK), являются ключами чтения, создания, удаления, обновления и /или администрирования одним или несколькими клиентами. Ключи, хранящиеся в принадлежащем пользователю хранилище ключей или аппаратном модуле безопасности (HSM), являются ключами CMK. Создание собственных ключей (BYOK) — это сценарий с CMK, когда клиент импортирует (переносит) ключи из внешнего хранилища в службу управления ключами Azure (см. статью Azure Key Vault: спецификация BYOK).

Определенный тип ключа, управляемого клиентом, — это ключ шифрования ключей (KEK). KEK — это первичный ключ, который управляет доступом к одному или нескольким ключам шифрования, которые сами шифруются.

Ключи, управляемые клиентом, могут храниться локально или, что происходит чаще, в облачной службе управления ключами.

Службы управления ключами Azure

Azure предлагает несколько вариантов хранения ключей и управления ими в облаке, включая Azure Key Vault, Управляемый HSM Azure, предварительную версию Cloud HSM, выделенный HSM Azure и HSM для оплаты Azure. Эти варианты различаются уровнем соответствия FIPS, затратами на управление и предполагаемыми приложениями.

Общие сведения о каждой службе управления ключами и комплексном руководстве по выбору подходящего решения по управлению ключами см. в разделе "Выбор правильного решения по управлению ключами".

Цены

Уровни доступа Azure Key Vault "Стандартный" и "Премиум" выставляются на транзакционной основе с дополнительной ежемесячной оплатой за аппаратно поддерживаемыми ключами премиум класса. Управляемый HSM, Cloud HSM Preview, Выделенный HSM и Платежный HSM не тарифицируются на основе транзакций; вместо этого они являются устройствами постоянного использования, которые выставляются по фиксированной почасовой ставке. Подробную информацию о ценах см. в разделах Цены на Key Vault, Цены на выделенный HSM и Цены на платежный HSM.

Ограничения службы

Управляемое HSM, предварительная версия облачного HSM, выделенное HSM и платежное HSM предоставляют выделенные ресурсы. Key Vault Standard и Premium являются предложениями с мультиарендными возможностями и имеют ограничения на пропускную способность. Дополнительные сведения см. в статье Ограничения службы Key Vault.

Шифрование данных в состоянии покоя

Azure Key Vault и Управляемый HSM Azure Key Vault имеют интеграции с службами Azure и Microsoft 365 для ключей, управляемых клиентами, что означает, что клиенты могут использовать собственные ключи в Azure Key Vault и Управляемом HSM Azure для шифрования данных в состоянии покоя, хранящихся в этих службах. Облачная предварительная версия HSM, выделенный HSM и платежи HSM — это предложения инфраструктуры как услуга и не предлагают интеграции со службами Azure. Общие сведения о шифровании неактивных данных с использованием Azure Key Vault и Управляемого модуля HSM см. в статье Шифрование неактивных данных в Azure.

Программные интерфейсы

Cloud HSM Preview, Dedicated HSM и Payments HSM поддерживают API PKCS#11, JCE/JCA и KSP/CNG, но Azure Key Vault и Управляемый HSM не поддерживают. Azure Key Vault и Управляемый модуль HSM используют Azure Key Vault REST API и предлагают поддержку пакетов SDK. Дополнительные сведения об API Azure Key Vault см. в статье Справочник по Azure Key Vault REST API.

Дальнейшие действия

• Выбор правильного решения для управления ключами
• Azure Key Vault
• Управляемый HSM Azure
• Предварительная версия azure Cloud HSM
• Выделенный модуль HSM Azure
• HSM для оплаты Azure
• Что такое нулевое доверие?