Zarządzanie kluczami na platformie Azure
Uwaga
Zero Trust to strategia zabezpieczeń obejmująca trzy zasady: "Weryfikuj jawnie", "Użyj dostępu z najmniejszymi uprawnieniami" i "Przyjmij naruszenie". Ochrona danych, w tym zarządzanie kluczami, obsługuje zasadę "najmniej uprzywilejowanego dostępu". Aby uzyskać więcej informacji, zobacz Co to jest zero trust?
Na platformie Azure klucze szyfrowania mogą być zarządzane przez platformę lub zarządzane przez klienta.
Klucze zarządzane przez platformę (PMK) to klucze szyfrowania generowane, przechowywane i zarządzane w całości przez platformę Azure. Klienci nie wchodzą w interakcje z zestawami PMK. Klucze używane na potrzeby usługi Azure Data Encryption-at-Rest, na przykład, są domyślnie kluczami PMKs.
Klucze zarządzane przez klienta (CMK) to klucze odczytywane, tworzone, usuwane, aktualizowane i/lub administrowane przez co najmniej jednego klienta. Klucze przechowywane w magazynie kluczy należących do klienta lub sprzętowym module zabezpieczeń (HSM) są kluczami CMK. Bring Your Own Key (BYOK) to scenariusz klucza zarządzanego przez klienta, w którym klient importuje (przenosi) klucze z lokalizacji zewnętrznej magazynu do usługi zarządzania kluczami platformy Azure (zobacz Azure Key Vault: Bring your own key specification).
Określony typ klucza zarządzanego przez klienta to "klucz szyfrowania klucza" (KEK). Klucz KEK to klucz podstawowy, który kontroluje dostęp do co najmniej jednego klucza szyfrowania, które są szyfrowane.
Klucze zarządzane przez klienta można przechowywać lokalnie lub częściej w usłudze zarządzania kluczami w chmurze.
Usługi zarządzania kluczami platformy Azure
Platforma Azure oferuje kilka opcji przechowywania kluczy i zarządzania nimi w chmurze, w tym usługi Azure Key Vault, zarządzanego modułu HSM platformy Azure, dedykowanego modułu HSM platformy Azure i modułu HSM usługi Azure Payment. Te opcje różnią się pod względem poziomu zgodności ze standardem FIPS, obciążeniami zarządzania i zamierzonymi aplikacjami.
Aby zapoznać się z omówieniem każdej usługi zarządzania kluczami i kompleksowym przewodnikiem po wyborze odpowiedniego rozwiązania do zarządzania kluczami, zobacz How to Choose the Right Key Management Solution (Jak wybrać odpowiednie rozwiązanie do zarządzania kluczami).
Cennik
Warstwy Azure Key Vault w warstwie Standardowa i Premium są rozliczane transakcyjnie z dodatkowymi miesięcznymi opłatami za klucz dla kluczy opartych na sprzęcie w warstwie Premium. Zarządzane moduły HSM, dedykowany moduł HSM i moduł HSM płatności nie są naliczane na zasadzie transakcyjnej; zamiast tego są to urządzenia zawsze używane, które są rozliczane według stałej stawki godzinowej. Aby uzyskać szczegółowe informacje o cenach, zobacz Cennik usługi Key Vault, Cennik dedykowanego modułu HSM i Cennik modułu HSM płatności.
Limity usługi
Zarządzany moduł HSM, dedykowany moduł HSM i moduł HSM płatności oferują dedykowaną pojemność. Usługa Key Vault w warstwie Standardowa i Premium to oferty z wieloma dzierżawami i mają limity ograniczania przepustowości. Aby uzyskać informacje o limitach usług, zobacz Limity usługi Key Vault.
Szyfrowanie magazynowane
Usługa Azure Key Vault i zarządzany moduł HSM usługi Azure Key Vault mają integrację z usługami platformy Azure i usługą Microsoft 365 dla kluczy zarządzanych przez klienta, co oznacza, że klienci mogą używać własnych kluczy w usłudze Azure Key Vault i zarządzanym module HSM usługi Azure Key Na potrzeby szyfrowania danych przechowywanych w tych usługach. Dedykowany moduł HSM i moduł HSM płatności to oferty infrastruktury jako usługi i nie oferują integracji z usługami platformy Azure. Aby zapoznać się z omówieniem szyfrowania magazynowanych za pomocą usługi Azure Key Vault i zarządzanego modułu HSM, zobacz Azure Data Encryption-at-Rest.
Interfejsy API
Dedykowany moduł HSM i moduł HSM płatności obsługują interfejsy API PKCS#11, JCE/JCA i KSP/CNG, ale usługa Azure Key Vault i zarządzany moduł HSM nie. Usługa Azure Key Vault i zarządzany moduł HSM korzystają z interfejsu API REST usługi Azure Key Vault i oferują obsługę zestawu SDK. Aby uzyskać więcej informacji na temat interfejsu API usługi Azure Key Vault, zobacz Dokumentacja interfejsu API REST usługi Azure Key Vault.