Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Примечание.
Нулевое доверие — это стратегия безопасности, состоящая из трех принципов: "Проверка явным образом", "Использование минимального доступа к привилегиям" и "Предполагать нарушение". Защита данных, включая управление ключами, поддерживает принцип "использовать минимальный доступ к привилегиям". Дополнительные сведения см. в разделе "Что такое нулевое доверие"?
В Azure можно использовать ключи шифрования, управляемые платформой или управляемыми клиентом.
Azure создает, хранит и управляет управляемыми платформой ключами (PMKs) полностью самостоятельно. Вам не нужно взаимодействовать с PMK. Например, ключи, используемые для шифрования неактивных данных Azure , по умолчанию являются PMK.
Управляемые клиентом ключи —это ключи, которые можно создавать, удалять, использовать и управлять ими. Вы можете хранить клиентские мастер-ключи в хранилище ключей, принадлежащем клиенту, или аппаратном модуле безопасности (HSM). Использование собственного ключа (BYOK) — это сценарий CMK, в котором вы импортируете ключи из внешнего хранилища в службу управления ключами Azure. Дополнительные сведения см. в Azure Key Vault. Создание собственной спецификации ключей.
Ключ шифрования ключей (KEK) — это первичный ключ, который управляет доступом к одному или нескольким ключам шифрования, которые он шифрует.
Вы можете хранить локальные ключи, управляемые клиентом, или, как правило, в облачной службе управления ключами.
Службы управления ключами Azure
Azure предлагает несколько вариантов хранения и управления ключами в облаке, включая Azure Key Vault, Azure Managed HSM, Azure Cloud HSM и Azure Payment HSM. Эти варианты различаются уровнем соответствия FIPS, затратами на управление и предполагаемыми приложениями.
Полное руководство по выбору подходящего решения для управления ключами для конкретных потребностей см. в статье "Выбор подходящего решения для управления ключами".
Azure Key Vault (уровень "Стандартный")
Служба управления мультитенантными облачными ключами с поддержкой FIPS 140-2 уровня 1, которую можно использовать для хранения асимметричных ключей, секретов и сертификатов. Ключи, хранящиеся в Azure Key Vault, защищены программным обеспечением, и их можно использовать для шифрования неактивных и пользовательских приложений. Azure Key Vault в версии "Стандартный" предоставляет современный интерфейс API и обширный набор региональных развертываний и интеграций со службами Azure. Дополнительные сведения см. в статье Сведения об Azure Key Vault.
Azure Key Vault (уровень "Премиум")
Сертифицированный по FIPS 140-3 уровень 3, совместимый с PCI, мультитенантный модуль HSM, который можно использовать для хранения асимметричных ключей, секретов и сертификатов. Ключи хранятся в защищенной аппаратной границе с помощью HSM Marvell LiquidSecurity*. Корпорация Майкрософт управляет и эксплуатирует базовый HSM. Ключи, хранящиеся в Azure Key Vault Premium, можно использовать для шифрования неактивных и пользовательских приложений. Azure Key Vault Premium также предоставляет современный API и широкий набор региональных развертываний и интеграции со службами Azure.
Это важно
Интегрированный модуль HSM Azure: начиная с нового оборудования сервера Azure (предварительная версия AMD D и E серии v7), микросхемы HSM, разработанные корпорацией Майкрософт, внедрены непосредственно на серверы, отвечая стандартам FIPS 140-3 уровня 3. Эти устойчивые к взлому чипы сохраняют ключи шифрования в безопасных аппаратных границах, устраняя задержку и риски утечки данных. Интегрированный модуль HSM по умолчанию работает прозрачно для поддерживаемых служб, таких как Azure Key Vault и шифрование службы хранилища Azure, предоставляя аппаратное принудительное доверие без дополнительной настройки. Эта интеграция гарантирует, что криптографические операции получают выгоду от изоляции на уровне оборудования при сохранении производительности и масштабируемости облачных служб.
Если вы являетесь клиентом Azure Key Vault Premium и ищете суверенитет ключа, однопользовательскую среду или большее количество криптографических операций в секунду, рассмотрите Управляемый HSM в Azure Key Vault вместо этого. Дополнительные сведения см. в статье Сведения об Azure Key Vault.
Управляемый модуль HSM в Azure Key Vault
Сертифицированное предложение FIPS 140-3 уровня 3 одноклиентного HSM, которое дает клиентам полный контроль над HSM для шифрования данных в состоянии покоя, разгрузки SSL/TLS без использования ключей и пользовательских приложений. Управляемый HSM в Azure Key Vault — это единственное решение для управления ключами, предлагающее конфиденциальные ключи. Клиенты получают пул из трех секций HSM, объединенные в одно логическое, высокодоступное устройство HSM, посредством службы, которая предоставляет криптографические функции через API Key Vault. Корпорация Майкрософт осуществляет подготовку, установку обновлений, обслуживание и переключение на резервное оборудование для аппаратных модулей безопасности (HSM), но не имеет доступа к ключам, так как служба функционирует в конфиденциальной вычислительной инфраструктуре Azure. Azure Key Vault Managed HSM интегрирован со службами PaaS Azure SQL, Azure Storage и Azure Information Protection и предлагает поддержку Keyless TLS с F5 и Nginx. Дополнительные сведения см. в статье "Что такое Управляемый HSM Azure Key Vault?".
Azure Cloud HSM
Высокодоступная, сертифицированная на соответствие FIPS 140-3 уровня 3, одноарендаторная служба, которая предоставляет клиентам полный административный контроль над их HSM. Azure Cloud HSM является преемником выделенного HSM Azure и предоставляет безопасный, принадлежащий клиенту кластер HSM для хранения криптографических ключей и выполнения криптографических операций. Корпорация Майкрософт управляет высокой доступностью, обновлениями и обслуживанием инфраструктуры HSM. Служба поддерживает различные приложения, включая PKCS#11, разгрузку SSL/TLS, защиту закрытого ключа центра сертификации (ЦС), прозрачное шифрование данных (TDE) и подписывание документов и кода. Azure Cloud HSM поддерживает стандартные отраслевые API, включая PKCS#11, OpenSSL, JCA/JCE и Microsoft CNG/KSP, что делает его идеальным для переноса приложений из локальной среды, выделенного HSM Azure или AWS CloudHSM. Дополнительные сведения см. в статье "Что такое Azure Cloud HSM?".
Аппаратный модуль безопасности (HSM) для платежей Azure
FiPS 140-2 уровня 3, PCI HSM версии 3, сертифицированное однотенантное устройство HSM на сервере без виртуализации, которое позволяет клиентам арендовать платежное устройство HSM в центрах обработки данных Microsoft для операций с оплатой, включая обработку ПИН-кода платежей, выдачу платежных учетных данных, защиту ключей и данных для аутентификации, и защиту конфиденциальных данных. Служба соответствует PCI DSS, PCI 3DS и ПИН-коду PCI. HSM для оплаты Azure предлагает виртуальные машины HSM с одним клиентом, чтобы клиенты имели полный административный контроль и монопольный доступ к HSM. После выделения HSM клиенту корпорация Майкрософт не имеет доступа к данным клиента. Аналогичным образом, если модуль HSM больше не требуется, данные клиента обнуляются и удаляются сразу после выпуска HSM, чтобы обеспечить полную конфиденциальность и безопасность. Дополнительные сведения см. в статье "Что такое HSM для оплаты Azure?".
Примечание.
* Azure Key Vault Premium позволяет создавать защищенные программным обеспечением ключи и ключи HSM. Если вы используете Azure Key Vault Premium, убедитесь, что создаваемый ключ защищен HSM.
Azure Dedicated HSM (выводится из эксплуатации)
Поддержка выделенного HSM Azure будет прекращена. Корпорация Майкрософт полностью поддерживает существующие клиенты выделенного устройства HSM до 31 июля 2028 г. Новые подключения клиентов не принимаются. Полные сведения и необходимые действия см. в официальном обновлении Azure.
Если вы являетесь пользователем выделенного HSM Azure, см. статью "Миграция из выделенного HSM Azure в управляемый HSM Azure" или Azure Cloud HSM. Azure Cloud HSM теперь общедоступен и является преемником выделенного HSM Azure.
Цены
Уровни "Стандартный" и "Премиум" в Azure Key Vault выставляются транзакционно с дополнительной ежемесячной платой за ключи с аппаратной поддержкой уровня "Премиум". Управляемый HSM в Azure Key Vault, Azure Cloud HSM и Azure Payment HSM не взимают плату на основе транзакций. Вместо этого это устройства, которые всегда находятся в использовании и выставляют счета по фиксированной почасовой ставке. Подробные сведения о ценах см. в разделе о ценах Key Vault, ценах на облачные устройства HSM и ценах HSM для оплаты.
Ограничения сервисов
Управляемое HSM в Azure Key Vault, Облачное HSM и HSM для оплаты Azure предлагают выделенную мощность. Azure Key Vault уровня "Стандартный" и "Премиум" являются мультитенантными предложениями и имеют ограничения на частоту запросов. Сведения об ограничениях служб см. в разделе "Ограничения службы Key Vault " и ограничения службы HSM в облаке.
Шифрование данных в состоянии покоя
Azure Key Vault и Azure Managed HSM интегрируются со службами Azure и Microsoft 365 для клиентских управляемых ключей. Вы можете использовать свои ключи в Azure Key Vault и Azure Key Vault Managed HSM для шифрования на месте данных, хранящихся в этих службах. Azure Cloud HSM и Azure Payment HSM — это Инфраструктура как услуга и не поддерживают интеграцию со службами Azure. Общие сведения о шифровании данных в покое с помощью Azure Key Vault и Управляемого HSM Azure Key Vault см. в статье Шифрование данных Azure в покое.
Программные интерфейсы
Azure Cloud HSM поддерживает API PKCS#11, OpenSSL, JCA/JCE и KSP/CNG. Azure Payment HSM использует интерфейсы Thales payShield для управления HSM и криптографических операций. Azure Key Vault и Azure Key Vault Managed HSM не поддерживают эти API. Вместо этого они используют REST API Azure Key Vault и предлагают поддержку пакета SDK. Дополнительные сведения об API Azure Key Vault см. в статье Справочник по Azure Key Vault REST API.