Sobre chaves

O Azure Key Vault fornece dois tipos de recursos para armazenar e gerenciar chaves de criptografia. Os cofres dão suporte a chaves protegidas por software e por HSM (Módulo de segurança de hardware). HSMs gerenciados dão suporte apenas a chaves protegidas por HSM.

Tipo de recurso	Métodos de proteção da chave	URL base do ponto de extremidade do plano de dados
Cofres	Protegido por software e por HSM (tipos de chave HSM no SKU Premium)	https://{vault-name}.vault.azure.net
HSMs gerenciados	Protegida por HSM	https://{hsm-name}.managedhsm.azure.net

• Cofres – os cofres oferecem uma solução de gerenciamento de chaves altamente disponível, de baixo custo, fácil de implantar, multilocatário (quando disponível) adequada para os cenários de aplicativos de nuvem mais comuns.
• HSMs gerenciados - o HSM gerenciado fornece HSMs de locatário único e altamente disponíveis para armazenar e gerenciar suas chaves criptográficas. É mais adequado para aplicativos e cenários de uso que lidam com chaves de alto valor. Também ajuda a alcançar os requisitos mais rigorosos de segurança, conformidade e regulamentação.

Observação

Os cofres também permitem que você armazene e gerencie vários tipos de objetos, como segredos, certificados e chaves de conta de armazenamento, além das chaves criptográficas.

As chaves de criptografia no Key Vault são representadas como objetos de chave da Web JSON [JWK]. As especificações do JSON (JavaScript Object Notation) e do JOSE (JavaScript Object Signing and Encryption) são:

• Chave da Web JSON (JWK)
• Criptografia de Web JSON (JWE)
• Algoritmos da Web JSON (JWA)
• Assinatura da Web JSON (JWS)

As especificações de base JWK/JWA também são estendidas para habilitar tipos de chave exclusivos para as implementações do Azure Key Vault e de HSM Gerenciado.

As chaves HSM em cofres são protegidas por HSMs; as chaves de software não são protegidas por HSMs.

• As chaves armazenadas em cofres se beneficiam de proteção robusta usando HSM validado por FIPS 140. Existem duas plataformas HSM distintas disponíveis: 1, que protege versões de chave com FIPS 140-2 Nível 2 e 2, que protege chaves com HSMs FIPS 140-2 Nível 3, dependendo de quando a chave foi criada. Todas as novas chaves e versões de chave agora são criadas usando a plataforma 2 (exceto a área geográfica do Reino Unido). Para determinar qual plataforma HSM está protegendo uma versão de chave, obtenha seu hsmPlatform.
• O HSM gerenciado usa módulos HSM validados FIPS 140-2 Nível 3 para proteger suas chaves. Cada pool de HSM é uma instância de locatário única isolada com seu próprio domínio de segurança que fornece isolamento de criptografia completo em relação a todos os outros HSMs que compartilham a mesma infraestrutura de hardware. As chaves HSM gerenciadas são protegidas em pools de HSM de locatário único. Você pode importar uma RSA, EC e uma chave simétrica em forma flexível ou exportar de um dispositivo HSM com suporte. Você também pode gerar chaves em pools de HSM. Quando você importa chaves HSM usando o método descrito na especificação de BYOK (Bring Your Own Key), isso habilita o material de chave de transporte seguro em pools do HSM Gerenciado.

Para obter mais informações sobre fronteiras geográficas, consulte Microsoft Azure Trust Center

Tipos de chave e métodos de proteção

O Key Vault dá suporte a chaves de RSA e EC. O HSM Gerenciado dá suporte a chaves de RSA, EC e simétricas.

Chaves protegidas por HSM

Tipo de chave	Cofres (somente SKU Premium)	HSMs gerenciados
EC-HSM: Chave de curva elíptica	Com suporte (P-256, P-384, P-521, secp256k1/P-256K)	Com suporte (P-256, secp256k1/P-256K, P-384, P-521)
RSA-HSM: Chave RSA	Com suporte (2.048 bits, 3.072 bits, 4.096 bits)	Com suporte (2.048 bits, 3.072 bits, 4.096 bits)
oct-HSM: chave simétrica	Sem suporte	Com suporte (128 bits, 192 bits, 256 bits)

Chaves protegidas por software

Tipo de chave	Cofres	HSMs gerenciados
RSA: chave RSA "protegida por software"	Com suporte (2.048 bits, 3.072 bits, 4.096 bits)	Sem suporte
EC: chave de Curva Elíptica "protegida por software"	Com suporte (P-256, P-384, P-521, secp256k1/P-256K)	Sem suporte

Conformidade

Tipo de chave e destino	Conformidade
Chaves protegidas por software (hsmPlatform 0) em cofres	FIPS 140-2 Nível 1
Chaves protegidas hsmPlatform 1 em cofres (SKU Premium)	FIPS 140-2 Nível 2
Chaves protegidas hsmPlatform 2 em cofres (SKU Premium)	FIPS 140-2 Nível 3
As chaves no HSM Gerenciado são sempre protegidas por HSM	FIPS 140-2 Nível 3

Confira Tipos de chave, algoritmos e operações para obter detalhes sobre cada tipo de chave, algoritmo, operação, atributo e marcação.

Cenários de uso

Quando usar	Exemplos
Criptografia de dados do lado do servidor do Azure para provedores de recursos integrados com chaves gerenciadas pelo cliente	- Criptografia do lado do servidor utilizando chaves gerenciadas pelo cliente no Azure Key Vault
Criptografia de dados do lado do cliente	- Criptografia do lado do cliente com o Azure Key Vault
TLS sem chave	– Usar a chave Bibliotecas de Clientes

Próximas etapas

• Gerenciamento de chaves no Azure
• Sobre o Key Vault
• Sobre o HSM Gerenciado
• Sobre segredos
• Sobre certificados
• Visão geral da API REST do Key Vault
• Autenticação, solicitações e respostas
• Guia do Desenvolvedor do Cofre de Chaves