Gerenciamento de chaves no Azure
Nota
O Zero Trust é uma estratégia de segurança composta por três princípios: "Verificar explicitamente", "Usar acesso com privilégios mínimos" e "Assumir violação". A proteção de dados, incluindo o gerenciamento de chaves, apoia o princípio de "usar acesso com privilégios mínimos". Para obter mais informações, consulte O que é Zero Trust?
No Azure, as chaves de criptografia podem ser gerenciadas pela plataforma ou pelo cliente.
As chaves gerenciadas pela plataforma (PMKs) são chaves de criptografia geradas, armazenadas e gerenciadas inteiramente pelo Azure. Os clientes não interagem com PMKs. As chaves usadas para a Criptografia de Dados do Azure em repouso, por exemplo, são PMKs por padrão.
As chaves gerenciadas pelo cliente (CMK), por outro lado, são chaves lidas, criadas, excluídas, atualizadas e/ou administradas por um ou mais clientes. As chaves armazenadas em um cofre de chaves de propriedade do cliente ou módulo de segurança de hardware (HSM) são CMKs. Bring Your Own Key (BYOK) é um cenário de CMK no qual um cliente importa (traz) chaves de um local de armazenamento externo para um serviço de gerenciamento de chaves do Azure (consulte o Azure Key Vault: Bring your own key specification).
Um tipo específico de chave gerenciada pelo cliente é a "chave de criptografia de chave" (KEK). Um KEK é uma chave primária que controla o acesso a uma ou mais chaves de criptografia que são criptografadas.
As chaves gerenciadas pelo cliente podem ser armazenadas no local ou, mais comumente, em um serviço de gerenciamento de chaves na nuvem.
Serviços de gerenciamento de chaves do Azure
O Azure oferece várias opções para armazenar e gerenciar suas chaves na nuvem, incluindo o Azure Key Vault, o Azure Managed HSM, o Azure Dedicated HSM e o Azure Payment HSM. Essas opções diferem em termos de nível de conformidade FIPS, sobrecarga de gerenciamento e aplicativos pretendidos.
Para obter uma visão geral de cada serviço de gerenciamento de chaves e um guia abrangente para escolher a solução de gerenciamento de chaves certa para você, consulte Como escolher a solução certa de gerenciamento de chaves.
Preços
As camadas Standard e Premium do Azure Key Vault são cobradas numa base transacional, com uma cobrança mensal adicional por chave para chaves premium suportadas por hardware. HSM gerenciado, HSM dedicado e HSM de pagamentos não cobram em uma base transacional; em vez disso, são dispositivos sempre em uso que são cobrados a uma taxa horária fixa. Para obter informações detalhadas sobre preços, consulte Preços do Key Vault, Preços de HSM dedicados e Preços de HSM de pagamento.
Limites do Serviço
HSM gerenciado, HSM dedicado e HSM de pagamentos oferecem capacidade dedicada. Key Vault Standard e Premium são ofertas multilocatárias e têm limites de limitação. Para obter limites de serviço, consulte Limites de serviço do Cofre da Chave.
Encriptação em repouso
O Azure Key Vault e o Azure Key Vault Managed HSM têm integrações com os Serviços do Azure e o Microsoft 365 para Chaves Geridas pelo Cliente, o que significa que os clientes podem utilizar as suas próprias chaves no Azure Key Vault e no Azure Key Managed HSM para encriptação em repouso dos dados armazenados nestes serviços. HSM dedicado e HSM de pagamentos são ofertas de infraestrutura como serviço e não oferecem integrações com os Serviços do Azure. Para obter uma visão geral da criptografia em repouso com o Azure Key Vault e o HSM gerenciado, consulte Azure Data Encryption-at-Rest.
APIs
HSM dedicado e HSM de pagamentos suportam as APIs PKCS#11, JCE/JCA e KSP/CNG, mas o Azure Key Vault e o Managed HSM não. O Azure Key Vault e o Managed HSM usam a API REST do Azure Key Vault e oferecem suporte ao SDK. Para obter mais informações sobre a API do Azure Key Vault, consulte Referência da API REST do Azure Key Vault.