Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
注释
Zero Trust是一种安全策略,包括三个原则:“显式验证”、“使用最小特权access”和“假定违规”。 数据保护(包括密钥管理)支持“使用最低特权访问”原则。 有关详细信息,请参阅 什么是 Zero Trust?
在Azure中,可以使用平台管理的加密密钥或客户管理的加密密钥。
Azure完全自行生成、存储和管理平台管理的密钥(PMK)。 无需与 PMK 交互。 例如,用于Azure静态数据加密的密钥默认为 PMK。
客户管理的密钥(CMK)是可以创建、删除、使用和管理的密钥。 可以将 CMK 存储在客户拥有的密钥保管库或硬件安全模块(HSM)中。 自带密钥(BYOK)是一种 CMK 方案,您可以在其中将密钥从外部密钥存储位置导入 Azure 密钥管理服务。 有关详细信息,请参阅 Azure Key Vault:自带密钥规范。
密钥加密密钥(KEK)是一个主密钥,控制访问其所加密的一个或多个加密密钥。
可以将客户管理的密钥存储在本地,或者更常见的是存储在云密钥管理服务中。
Azure密钥管理服务
Azure提供了多种用于在云中存储和管理密钥的选项,包括Azure Key Vault、Azure Key Vault托管 HSM、Azure云 HSM 和Azure付款 HSM。 这些选项在 FIPS 合规性级别、管理开销和目标应用方面有所不同。
Azure Key Vault(标准层)
FIPS 140-2 级别 1 验证了多租户云密钥管理服务,可用于存储非对称密钥、机密和证书。 存储在Azure Key Vault中的密钥受软件保护,可用于静态加密和自定义应用程序。 Azure Key Vault Standard 提供新式 API 和广泛的区域部署和与 Azure 服务的集成。 有关详细信息,请参阅 About Azure Key Vault。
Azure Key Vault (高级层)
FIPS 140-3 级别 3 已验证、符合 PCI、多租户 HSM 的产品/服务,可用于存储非对称密钥、机密和证书。 使用 Marvell LiquidSecurity HSM*将密钥存储在安全硬件边界中。 Microsoft管理和运营底层HSM。 可以使用存储在 Azure Key Vault Premium 中的密钥进行静态加密和自定义应用程序。 Azure Key Vault Premium 还提供新式 API 和广泛的区域部署,并与 Azure 服务集成。
重要
Azure 集成 HSM:从新的 Azure 服务器硬件(AMD D 和 E 系列 v7 预览版)开始,由 Microsoft 设计的 HSM 芯片直接嵌入服务器,符合 FIPS 140-3 三级标准。 这些防篡改芯片将加密密钥保留在安全硬件边界内,从而消除延迟和暴露风险。 默认情况下,集成 HSM 对于受支持的服务(如Azure Key Vault和Azure Storage加密)以透明方式运行,提供硬件强制信任,而无需进行其他配置。 此集成确保加密操作受益于硬件级安全隔离,同时保持云服务的性能和可伸缩性。
如果你是 Azure Key Vault Premium 客户,并正在寻找密钥主权、单一租户或更高的每秒加密操作,请考虑使用 Azure Key Vault 托管 HSM。 有关详细信息,请参阅 About Azure Key Vault。
Azure Key Vault托管 HSM
FIPS 140-3 级别 3 验证的单租户 HSM 产品/服务,使客户能够完全控制 HSM 的静态加密、无密钥 SSL/TLS 卸载和自定义应用程序。 Azure Key Vault 托管式 HSM 是唯一可以提供保密密钥的密钥管理解决方案。 客户会收到一个由三个 HSM 分区组成(一起充当一个逻辑高可用性 HSM 设备)的池,该服务通过 Key Vault API 公开加密功能。 Microsoft处理HSM的预配、修补、维护和硬件故障切换,但本身没有访问密钥,因为该服务是在Azure的机密计算基础结构中执行的。 Azure Key Vault 管理的 HSM 与 Azure SQL、Azure Storage 和 Azure Information Protection PaaS 服务集成,并支持 F5 和 Nginx 的无密钥 TLS 支持。 有关详细信息,请参阅 什么是 Azure 密钥保管库托管 HSM?
Pricing
Azure Key Vault标准层和高级层按事务性计费,高级硬件支持的密钥按月额外收费。 Azure Key Vault 托管 HSM 不按交易收取费用。 它们是始终使用的设备,按固定的小时费率计费。 有关详细的定价信息,请参阅 Key Vault 定价、Cloud HSM 定价和 Payment HSM 定价。
服务限制
Azure Key Vault托管 HSM 提供专用容量。 Azure Key Vault 标准版和高级版是多租户解决方案,并且有速率限制。 有关服务限制,请参阅 Key Vault 服务限制。
静态加密
Azure Key Vault 和 Azure Key Vault 托管 HSM 与用于客户托管密钥的 Azure 服务和 Microsoft 365 集成。 可以在Azure Key Vault和Azure Key Vault托管 HSM 中使用自己的密钥来加密存储在这些服务中的数据的其余部分。 Azure云 HSM 和Azure支付 HSM 是基础结构即服务产品/服务,不提供与 Azure 服务的集成。 有关使用 Azure Key Vault 和 Azure Key Vault 托管 HSM 进行静态加密的概述,请参阅 Azure 静态数据加密。
应用程序接口
Azure Key Vault和Azure Key Vault托管 HSM 不支持这些 API。 而是使用 Azure Key Vault REST API 并提供 SDK 支持。 有关Azure Key Vault API 的详细信息,请参阅 Azure Key Vault REST API 参考。