مشاركة عبر

إدارة المفاتيح في Azure

  • مقالة

إشعار

ثقة معدومة هي استراتيجية أمنية تتكون من ثلاثة مبادئ: "التحقق بشكل صريح" و"استخدام الوصول الأقل امتيازا" و"افتراض الخرق". تدعم حماية البيانات، بما في ذلك إدارة المفاتيح، مبدأ "استخدام الوصول الأقل امتيازا". لمزيد من المعلومات، راجع ما هي ثقة معدومة؟

في Azure، يمكن أن تكون مفاتيح التشفير إما مُدارة بواسطة النظام الأساسي أو مُدارة بواسطة العميل.

المفاتيح المدارة بواسطة النظام الأساسي (PMKs) هي مفاتيح تشفير يتم إنشاؤها وتخزينها وإدارتها بالكامل بواسطة Azure. لا يتفاعل العملاء مع PMKs. المفاتيح المستخدمة لـ Azure Data Encryption-at-Rest، على سبيل المثال، هي PMKs بشكل افتراضي.

المفاتيح التي يديرها العميل (CMK)، من ناحية أخرى، هي مفاتيح للقراءة، أو الإنشاء، أو الحذف، أو التحديث، و/أو التي يديرها عميل واحد أو أكثر. المفاتيح المخزنة في خزينة مفاتيح مملوكة للعميل أو وحدة أمان للأجهزة (HSM) هي CMKs. إحضار المفتاح الخاص بك (BYOK) هو سيناريو CMK يقوم فيه العميل باستيراد (جلب) مفاتيح من موقع تخزين خارجي إلى خدمة إدارة مفاتيح Azure (راجع Azure Key Vault: إحضار مواصفات المفتاح الخاص بك).

نوع معين من المفاتيح التي يديرها العميل هو "مفتاح تشفير المفتاح" (KEK). KEK هو مفتاح أساسي يتحكم في الوصول إلى واحد أو أكثر من مفاتيح التشفير المشفرة نفسها.

يمكن تخزين المفاتيح التي يديرها العميل في محبيًا أو، بشكل أكثر شيوعًا، في خدمة إدارة المفاتيح السحابية.

خدمات إدارة مفاتيح Azure

يقدم Azure العديد من الخيارات لتخزين المفاتيح وإدارتها في السحابة، بما في ذلك Azure Key Vault وAzure Managed HSM وAzure Dedicated HSM وAzure Payment HSM. تختلف هذه الخيارات من حيث مستوى توافقها مع FIPS ونفقات الإدارة والتطبيقات المقصودة.

للحصول على نظرة عامة حول كل خدمة إدارة مفاتيح ودليل شامل لاختيار حل إدارة المفاتيح المناسب لك، راجع كيفية اختيار حل إدارة المفتاح الصحيح.

التسعير

تتم محاسبة مستويي Azure Key Vault القياسي والمتميز على أساس العمليات، مع رسوم شهرية إضافية لكل مفتاح للمفاتيح المتميزة المدعومة بالأجهزة. لا تفرض HSM المدارة وHSM المخصص وHSM الدفعات رسوما على أساس المعاملات؛ بدلا من ذلك، فهي أجهزة قيد الاستخدام دائما تتم فوترتها بمعدل ثابت كل ساعة. للحصول على معلومات مفصلة عن الأسعار، راجع أسعار Key Vault، وأسعار HSM المخصص، وأسعار الدفع HSM.

حدود الخدمة

توفر HSM المُدار وHSM المخصص وHSM للمدفوعات سعة مخصصة. Key Vault Standard وPremium عبارة عن عروض متعددة المستأجرين ولها حدود خانقة. لمعرفة حدود الخدمة، راجع حدود خدمة Key Vault.

Encryption-At-Rest

يحتوي Azure Key Vault وAzure Key Vault المُدار من HSM على تكامل مع Azure Services وMicrosoft 365 للمفاتيح المُدارة من قِبل العميل، ما يعني أنه يمكن للعملاء استخدام مفاتيحهم الخاصة في Azure Key Vault وAzure Key Managed HSM للتشفير في باقي البيانات المخزنة في هذه الخدمات. HSM المخصص والمدفوعات يعد HSM عروض البنية الأساسية كخدمة ولا يقدم تكاملاً مع خدمات Azure. للحصول على نظرة عامة بشأن التشفير أثناء الثبات (عدم تنقلها) باستخدام Azure Key Vault وHSM المُدار، راجع Azure Data Encryption-at-Rest.

واجهات برمجة التطبيقات

يدعم HSM المخصص والمدفوعات واجهات برمجة التطبيقات PKCS # 11 وJCE/JCA وKSP/CNG، لكن Azure Key Vault وHSM المُدار لا يدعمان ذلك. يستخدم Azure Key Vault وHSM المُدار واجهة Azure Key Vault REST API ويقدمان دعم SDK. لمزيد من المعلومات بشأن Azure Key Vault API، راجع مرجع واجهة برمجة تطبيقات Azure Key Vault REST.

وماذا بعد؟