Sleutelbeheer in Azure
Notitie
Zero Trust is een beveiligingsstrategie die bestaat uit drie principes: 'Expliciet verifiëren', 'Minimale toegang tot bevoegdheden gebruiken' en 'Inbreuk aannemen'. Gegevensbeveiliging, inclusief sleutelbeheer, ondersteunt het principe 'toegang tot minimale bevoegdheden gebruiken'. Zie Wat is Zero Trust?
In Azure kunnen versleutelingssleutels worden beheerd door het platform of door de klant.
Door platform beheerde sleutels (PMK's) zijn versleutelingssleutels die volledig door Azure worden gegenereerd, opgeslagen en beheerd. Klanten communiceren niet met PMK's. De sleutels die worden gebruikt voor Azure Data Encryption-at-Rest zijn bijvoorbeeld standaard PMK's.
Door de klant beheerde sleutels (CMK) zijn daarentegen sleutels die worden gelezen, gemaakt, verwijderd, bijgewerkt en/of beheerd door een of meer klanten. Sleutels die zijn opgeslagen in een sleutelkluis van de klant of hardwarebeveiligingsmodule (HSM) zijn CMK's. Bring Your Own Key (BYOK) is een CMK-scenario waarin een klant sleutels importeert (brengt) van een externe opslaglocatie naar een Azure-sleutelbeheerservice (zie de Azure Key Vault: Bring your own key specification).
Een specifiek type door de klant beheerde sleutel is de 'sleutelversleutelingssleutel' (KEK). Een KEK is een primaire sleutel die de toegang tot een of meer versleutelingssleutels beheert die zelf zijn versleuteld.
Door de klant beheerde sleutels kunnen on-premises of vaker worden opgeslagen in een cloudsleutelbeheerservice.
Azure Key Management-services
Azure biedt verschillende opties voor het opslaan en beheren van uw sleutels in de cloud, waaronder Azure Key Vault, Azure Managed HSM, Azure Dedicated HSM en Azure Payment HSM. Deze opties verschillen in termen van hun FIPS-nalevingsniveau, beheeroverhead en beoogde toepassingen.
Zie De juiste sleutelbeheeroplossing kiezen voor een overzicht van elke service voor sleutelbeheer en een uitgebreide handleiding voor het kiezen van de juiste oplossing voor sleutelbeheer.
Prijzen
De Azure Key Vault Standard- en Premium-lagen worden op transactionele basis gefactureerd, met extra maandelijkse kosten per sleutel voor premium-hardware-ondersteunde sleutels. Voor beheerde HSM, toegewezen HSM en betalingen worden geen kosten in rekening gebracht op transactionele basis; In plaats daarvan worden apparaten die altijd in gebruik zijn, gefactureerd tegen een vast uurtarief. Zie De prijzen van Key Vault, prijzen voor toegewezen HSM's en prijzen voor betaling van HSM voor gedetailleerde prijzen.
Servicelimieten
Managed HSM, Dedicated HSM en Payments HSM bieden toegewezen capaciteit. Key Vault Standard en Premium zijn aanbiedingen voor meerdere tenants en hebben beperkingen. Zie Key Vault-servicelimieten voor servicelimieten.
Versleuteling-at-rest
Azure Key Vault en Azure Key Vault Managed HSM hebben integraties met Azure Services en Microsoft 365 for Customer Managed Keys, wat betekent dat klanten hun eigen sleutels kunnen gebruiken in Azure Key Vault en Azure Key Managed HSM voor versleuteling-at-rest van gegevens die in deze services zijn opgeslagen. Toegewezen HSM en Payments HSM zijn infrastructure-as-service-aanbiedingen en bieden geen integraties met Azure-services. Zie Azure Data Encryption-at-Rest voor een overzicht van versleuteling-at-rest met Azure Key Vault en beheerde HSM.
API's
Toegewezen HSM en Betalingen HSM ondersteunen de PKCS#11, JCE/JCA en KSP/CNG-API's, maar Azure Key Vault en beheerde HSM niet. Azure Key Vault en beheerde HSM maken gebruik van de REST API van Azure Key Vault en bieden SDK-ondersteuning. Zie azure Key Vault REST API-naslaginformatie voor meer informatie over de Azure Key Vault-API.