Azure 密钥保管库 托管 HSM 是一项完全托管、高可用的单租户云服务,它使用经 FIPS 140-3 3 级 验证的硬件安全模块来保护你的加密密钥。 托管 HSM 实例中的所有密钥均受 HSM 保护;托管 HSM 不存储受软件保护的密钥。
每个托管 HSM 实例都是一个独立单租户池,其自己的 安全域提供与共享相同基础硬件的所有其他托管 HSM 实例的完整加密隔离。 托管 HSM 实例的数据平面终结点基本 URL 为 https://<hsm-name>.managedhsm.chinacloudapi.cn。
托管 HSM 中的加密密钥表示为 JSON Web 密钥 (JWK) 对象,由以下规范定义:
扩展了基本 JWK/JWA 规范,以启用托管 HSM 实现特有的密钥类型。
支持的密钥类型和大小
| 密钥类型 | 大小/曲线 |
|---|---|
| RSA-HSM — RSA 密钥 | 2,048 位、3,072 位、4,096 位 |
| EC-HSM — 椭圆曲线键 | P-256、P-256K (secp256k1)、P-384、P-521 |
| oct-HSM — 对称 (AES) 密钥 | 128 位、192 位、256 位 |
可以直接在托管 HSM 实例中生成密钥、从 PEM 文件导入 RSA 或 EC 密钥,或者通过使用 BYOK(自带密钥)规范从受支持的本地 HSM 安全地传输密钥(RSA、EC 或 oct-HSM)。 有关详细信息,请参阅管理托管 HSM 中的密钥,并将受 HSM 保护的密钥导入托管 HSM (BYOK)。
有关支持的算法、操作、属性和标记的详细信息,请参阅 密钥类型、算法和操作。
Compliance
托管 HSM 中的所有密钥均受 FIPS 140-3 级别 3 验证硬件的 HSM 保护。 有一个保护层;托管 HSM 不会公开多个 HSM 平台或受软件保护的选项。 有关硬件环境、验证标准(FedRAMP-High、PCI、SOC 1/2/3、ISO 270x)和更广泛的Azure合规性计划的详细信息,请参阅 Managed HSM 技术详细信息。
抗量子加密
“抗量子”“量子安全”和“后量子”密码术语,是用于描述被认为能够抵御来自传统计算机和量子计算机的密码分析攻击的密码算法的术语。 用于托管 HSM 提供的 AES 算法的 oct-HSM 256 位密钥具有抗量子性。 有关详细信息,请参阅 商业国家安全算法套件 2.0 和量子计算常见问题解答。
密钥鉴证
托管 HSM 可以证明密钥已生成并驻留在Microsoft运行的 HSM 中。 非对称密钥同时接收公钥和私钥证明;对称(oct-HSM)密钥仅接收私钥证明。 有关详细信息,请参阅 使用密钥证明验证 Azure 托管 HSM 密钥。
使用场景
| 何时使用 | 示例 |
|---|---|
| 使用客户管理的密钥Azure服务器端数据加密 | 在 Azure 密钥保管库 中使用客户管理的密钥进行服务器端加密 |
| 客户端数据加密 | 使用 Azure 密钥保管库 进行客户端加密 |
| 无键 TLS | Azure 托管 HSM TLS 卸载库 |