Kulcskezelés az Azure-ban
Feljegyzés
Teljes felügyelet egy biztonsági stratégia, amely három alapelvből áll: "Ellenőrzés explicit módon", "A legkevésbé jogosultsági hozzáférés használata" és a "Behatolás feltételezése". Az adatvédelem, beleértve a kulcskezelést is, támogatja a "legkevésbé jogosultsági hozzáférés használata" elvet. További információ: Mi Teljes felügyelet?
Az Azure-ban a titkosítási kulcsok platform vagy ügyfél által felügyeltek lehetnek.
A platform által felügyelt kulcsok (PMK-k) az Azure által generált, tárolt és felügyelt titkosítási kulcsok. Az ügyfelek nem használják a PMK-ket. Az Azure Data Encryption-at-Rest kulcsai például alapértelmezés szerint PMK-k.
Az ügyfél által felügyelt kulcsok (CMK) viszont egy vagy több ügyfél által beolvasott, létrehozott, törölt, frissített és/vagy felügyelt kulcsok. Az ügyfél tulajdonában lévő kulcstartóban vagy hardveres biztonsági modulban (HSM) tárolt kulcsok CMK-k. A Saját kulcs (BYOK) használata olyan CMK-forgatókönyv, amelyben az ügyfél külső tárolóból importálja (hozza) a kulcsokat egy Azure-kulcskezelési szolgáltatásba (lásd az Azure Key Vaultot: Saját kulcsspecifikáció használata).
Az ügyfél által kezelt kulcs egy adott típusa a "kulcstitkosítási kulcs" (KEK). A KEK egy elsődleges kulcs, amely egy vagy több, önmagukban titkosított titkosítási kulcshoz való hozzáférést szabályozza.
Az ügyfél által felügyelt kulcsok tárolhatók a helyszínen vagy gyakrabban egy felhőkulcs-kezelési szolgáltatásban.
Azure-kulcskezelési szolgáltatások
Az Azure számos lehetőséget kínál a kulcsok felhőben való tárolására és kezelésére, beleértve az Azure Key Vaultot, az Azure Managed HSM-et, az Azure Dedikált HSM-et és az Azure Payment HSM-et. Ezek a lehetőségek a FIPS megfelelőségi szintje, a felügyeleti terhelés és a tervezett alkalmazások tekintetében különböznek.
Az egyes kulcskezelési szolgáltatások áttekintéséért és a megfelelő kulcskezelési megoldás kiválasztásához szükséges átfogó útmutatóért tekintse meg a Megfelelő kulcskezelési megoldás kiválasztása című témakört.
Díjszabás
Az Azure Key Vault standard és prémium szintű tarifacsomagjai tranzakciós alapon kerülnek számlázásra, a prémium szintű hardveralapú kulcsok kulcsonkénti havi díjával. A felügyelt HSM, a dedikált HSM és a fizetési HSM nem tranzakciós alapon számít fel díjat; ehelyett mindig használatban lévő eszközök, amelyek fix óradíjon vannak számlázva. Részletes díjszabási információkért tekintse meg a Key Vault díjszabását, a dedikált HSM-díjszabást és a fizetési HSM díjszabását.
Szolgáltatási korlátozások
A felügyelt HSM, a dedikált HSM és a payments HSM dedikált kapacitást kínál. A Key Vault Standard és a Premium több-bérlős ajánlatok, és szabályozási korlátokkal rendelkeznek. A szolgáltatáskorlátokért tekintse meg a Key Vault szolgáltatáskorlátait.
Titkosítás inaktív állapotban
Az Azure Key Vault és az Azure Key Vault által felügyelt HSM integrációval rendelkezik az Azure Services és a Microsoft 365 for Customer Managed Keys szolgáltatással, ami azt jelenti, hogy az ügyfelek saját kulcsaikat használhatják az Azure Key Vaultban és az Azure Key Managed HSM-ben az ezekben a szolgáltatásokban tárolt adatok titkosításához. A dedikált HSM és a payments HSM szolgáltatásként nyújtott infrastruktúra-ajánlatok, és nem kínálnak integrációt az Azure Services szolgáltatással. Az Azure Key Vault és a felügyelt HSM inaktív titkosításának áttekintését az Azure Data Encryption-at-Rest című témakörben tekintheti meg.
API-k
A dedikált HSM és a payments HSM támogatja a PKCS#11, a JCE/JCA és a KSP/CNG API-kat, de az Azure Key Vault és a felügyelt HSM nem. Az Azure Key Vault és a felügyelt HSM az Azure Key Vault REST API-t használja, és SDK-támogatást nyújt. További információ az Azure Key Vault API-ról: Azure Key Vault REST API-referencia.