Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Примечание.
Нулевое доверие — это стратегия безопасности, состоящая из трех принципов: "Проверка явным образом", "Использование минимального доступа к привилегиям" и "Предполагать нарушение". Защита данных, включая управление ключами, поддерживает принцип "использовать минимальный доступ к привилегиям". Дополнительные сведения см. в разделе "Что такое нулевое доверие"?
В Azure ключи шифрования могут управляться платформой или клиентом.
Управляемые платформой ключи (PMKs) — это ключи шифрования, созданные, сохраненные и управляемые полностью Azure. Клиенты не взаимодействуют с PMK. Ключи, используемые для шифрования неактивных данных Azure, например, являются PMK по умолчанию.
С другой стороны, управляемые клиентом ключи (CMK), являются ключами чтения, создания, удаления, обновления и /или администрирования одним или несколькими клиентами. Ключи, хранящиеся в принадлежащем пользователю хранилище ключей или аппаратном модуле безопасности (HSM), являются ключами CMK. Создание собственных ключей (BYOK) — это сценарий с CMK, когда клиент импортирует (переносит) ключи из внешнего хранилища в службу управления ключами Azure (см. статью Azure Key Vault: спецификация BYOK).
Определенный тип ключа, управляемого клиентом, — это ключ шифрования ключей (KEK). KEK — это первичный ключ, который управляет доступом к одному или нескольким ключам шифрования, которые сами шифруются.
Ключи, управляемые клиентом, могут храниться локально или, что происходит чаще, в облачной службе управления ключами.
Службы управления ключами Azure
Azure предлагает несколько вариантов хранения и управления ключами в облаке, включая Azure Key Vault, Azure Managed HSM, Azure Cloud HSM и Azure Payment HSM. Эти варианты различаются уровнем соответствия FIPS, затратами на управление и предполагаемыми приложениями.
Полное руководство по выбору подходящего решения для управления ключами для конкретных потребностей см. в статье "Выбор подходящего решения для управления ключами".
Azure Key Vault (уровень "Стандартный")
Служба управления мультитенантными облачными ключами с поддержкой FIPS 140-2 уровня 1, которая может использоваться для хранения асимметричных ключей, секретов и сертификатов. Ключи, хранящиеся в Azure Key Vault, защищены программным обеспечением и могут использоваться для шифрования неактивных и пользовательских приложений. Azure Key Vault в версии "Стандартный" предоставляет современный интерфейс API и обширный набор региональных развертываний и интеграций со службами Azure. Дополнительные сведения см. в статье Сведения об Azure Key Vault.
Azure Key Vault (уровень "Премиум")
Проверенное FIPS 140-3 уровня 3, соответствующее требованиям PCI, мультитенантное HSM-решение, которое можно использовать для хранения асимметричных ключей, секретов и сертификатов. Ключи хранятся в безопасной аппаратной границе с помощью HSMs Marvell LiquidSecurity*. Корпорация Майкрософт управляет базовым устройством HSM, а ключи, хранящиеся в Azure Key Vault Premium, можно использовать для шифрования неактивных и пользовательских приложений. Azure Key Vault Premium также предоставляет современный API и широкий набор региональных развертываний и интеграции со службами Azure. Если вы являетесь клиентом Azure Key Vault Premium, который ищет управление правами на ключи, единственный арендатор и/или более высокие операции шифрования в секунду, вам может потребоваться рассмотреть управляемую службу аппаратного управления безопасностью (HSM) в Azure Key Vault. Дополнительные сведения см. в статье Сведения об Azure Key Vault.
Управляемый модуль HSM в Azure Key Vault
Проверенное предложение FIPS 140-2 уровня 3 с одним клиентом HSM, которое предоставляет клиентам полный контроль над HSM для шифрования неактивных данных, разгрузки SSL/TLS без ключа и пользовательских приложений. Управляемый HSM в Azure Key Vault — это единственное решение для управления ключами, предлагающее конфиденциальные ключи. Клиенты получают пул из трех секций HSM, объединенные в одно логическое, высокодоступное устройство HSM, посредством службы, которая предоставляет криптографические функции через API Key Vault. Корпорация Майкрософт осуществляет подготовку, установку обновлений, обслуживание и переключение на резервное оборудование для аппаратных модулей безопасности (HSM), но не имеет доступа к ключам, так как служба функционирует в конфиденциальной вычислительной инфраструктуре Azure. Azure Key Vault Managed HSM интегрирован со службами PaaS Azure SQL, Azure Storage и Azure Information Protection и предлагает поддержку Keyless TLS с F5 и Nginx. Дополнительные сведения см. в статье "Что такое Управляемый HSM Azure Key Vault?".
Выделенный модуль HSM Azure
Одноклиентское предложение HSM, сертифицированное FIPS 140-2 уровня 3, которое предоставляет клиентам полное управление HSM для PKCS#11, разгрузки обработки SSL/TLS, защиты закрытых ключей центра сертификации, прозрачного шифрования данных, включая подписывание документов и кода, а также пользовательские приложения. Клиент имеет полный административный контроль над кластером HSM. Хотя клиенты отвечают за развертывание и инициализацию своего HSM, корпорация Майкрософт выполняет предоставление услуг и размещение HSM. Выделенный модуль HSM Azure поддерживает существующие варианты использования, включая миграцию без изменений, PKI, разгрузку SSL и TLS без ключей, приложения OpenSSL, Oracle TDE и Azure SQL TDE на IaaS. Выделенный HSM Azure не интегрирован с предложениями Azure PaaS. Дополнительные сведения см. в статье "Что такое выделенный HSM Azure?".
Аппаратный модуль безопасности (HSM) для платежей Azure
FiPS 140-2 уровня 3, PCI HSM версии 3, сертифицированное однотенантное устройство HSM на сервере без виртуализации, которое позволяет клиентам арендовать платежное устройство HSM в центрах обработки данных Microsoft для операций с оплатой, включая обработку ПИН-кода платежей, выдачу платежных учетных данных, защиту ключей и данных для аутентификации, и защиту конфиденциальных данных. Служба соответствует PCI DSS, PCI 3DS и ПИН-коду PCI. HSM для оплаты Azure предлагает виртуальные машины HSM с одним клиентом, чтобы клиенты имели полный административный контроль и монопольный доступ к HSM. После выделения HSM клиенту корпорация Майкрософт не имеет доступа к данным клиента. Аналогичным образом, если модуль HSM больше не требуется, данные клиента обнуляются и удаляются сразу после выпуска HSM, чтобы обеспечить полную конфиденциальность и безопасность. Дополнительные сведения см. в статье "Что такое HSM для оплаты Azure?".
Примечание.
* Azure Key Vault Premium позволяет создавать защищенные программным обеспечением ключи и ключи HSM. При использовании Azure Key Vault Premium убедитесь, что созданный ключ защищен HSM.
Цены
Уровни доступа Azure Key Vault "Стандартный" и "Премиум" выставляются на транзакционной основе с дополнительной ежемесячной оплатой за аппаратно поддерживаемыми ключами премиум класса. Управляемый HSM в Azure Key Vault, выделенный HSM Azure и HSM для платежей Azure не взимают плату за транзакции; вместо этого они всегда находятся в использовании и оплачиваются по фиксированной почасовой ставке. См. подробную информацию о ценах в разделе Цены на Key Vault и Цены на Payment HSM.
Ограничения службы
Управляемое HSM в Azure Key Vault, выделенное HSM Azure и HSM для платежей Azure предлагают выделенную емкость. Azure Key Vault уровня "Стандартный" и "Премиум" являются мультитенантными предложениями и имеют ограничения на частоту запросов. Дополнительные сведения см. в статье Ограничения службы Key Vault.
Шифрование данных в состоянии покоя
Azure Key Vault и Управляемый HSM Azure Key Vault интегрированы со службами Azure и Microsoft 365 для управляемых клиентом ключей, что означает, что клиенты могут использовать собственные ключи в Azure Key Vault и Управляемом HSM Azure Key Vault для шифрования данных в состоянии покоя, хранящихся в этих службах. Azure Dedicated HSM и Azure Payment HSM — это предложения Инфраструктуры как Услуга и не предлагают интеграцию со службами Azure. Общие сведения о шифровании данных в состоянии покоя с помощью Azure Key Vault и управляемого HSM ключевого хранилища Azure см. в статье Шифрование данных Azure в состоянии покоя.
Программные интерфейсы
Специализированный HSM Azure и HSM для оплаты Azure поддерживают API PKCS#11, JCE/JCA и KSP/CNG, но Хранилище ключей Azure и Управляемый HSM хранилища ключей Azure их не поддерживают. Azure Key Vault и Управляемый HSM Azure Key Vault используют REST API Azure Key Vault и предлагают поддержку пакета SDK. Дополнительные сведения об API Azure Key Vault см. в статье Справочник по Azure Key Vault REST API.