通过

Azure 中的密钥管理

注释

零信任是一种安全策略,由三个原则组成:“显式验证”、“使用最低特权访问”和“假定数据泄露”。 数据保护(包括密钥管理)支持“使用最低特权访问”原则。 有关详细信息,请参阅什么是零信任?

在 Azure 中,可以使用平台管理的加密密钥或客户管理的加密密钥。

Azure 完全自行生成、存储和管理平台管理的密钥(PMK)。 无需与 PMK 交互。 例如,用于 Azure 静态数据加密 的密钥默认为 PMK。

客户管理的密钥(CMK)是可以创建、删除、使用和管理的密钥。 可以将 CMK 存储在客户拥有的密钥保管库或硬件安全模块(HSM)中。 自带密钥(BYOK)是一种 CMK 方案,可将密钥从外部存储位置导入 Azure 密钥管理服务。 有关详细信息,请参阅 Azure Key Vault:自带密钥规范

密钥加密密钥(KEK)是一个主密钥,用于控制对它加密的一个或多个加密密钥的访问。

可以将客户管理的密钥存储在本地,或者更常见的是存储在云密钥管理服务中。

Azure 密钥管理服务

Azure 提供了多种用于在云中存储和管理密钥的选项,包括 Azure Key Vault、Azure Key Vault 托管 HSM、Azure 云 HSM 和 Azure 支付 HSM。 这些选项在 FIPS 合规性级别、管理开销和目标应用方面有所不同。

Azure Key Vault (标准层)

FIPS 140-2 级别 1 验证了多租户云密钥管理服务,可用于存储非对称密钥、机密和证书。 Azure Key Vault 中存储的密钥受软件保护,可用于静态加密和自定义应用程序。 Azure Key Vault Standard 提供新式 API 和广泛的区域部署,并与 Azure 服务集成。 有关详细信息,请参阅关于 Azure 密钥保管库

Azure Key Vault (高级层)

FIPS 140-3 级别 3 已验证、符合 PCI、多租户 HSM 的产品/服务,可用于存储非对称密钥、机密和证书。 使用 Marvell LiquidSecurity HSM*将密钥存储在安全硬件边界中。 Microsoft管理和运营底层HSM。 可以使用 Azure Key Vault Premium 中存储的密钥进行静态加密和自定义应用程序。 Azure Key Vault Premium 还提供新式 API 和广泛的区域部署和与 Azure 服务的集成。

重要

Azure 集成 HSM:从新的 Azure 服务器硬件(AMD D 和 E 系列 v7 预览版)开始,Microsoft设计的 HSM 芯片直接嵌入在服务器上,满足 FIPS 140-3 级别 3 标准。 这些防篡改芯片将加密密钥保留在安全硬件边界内,从而消除延迟和暴露风险。 默认情况下,集成的 HSM 对于受支持的服务(如 Azure Key Vault 和 Azure 存储加密)以透明方式运行,无需额外配置即可提供硬件强制信任。 此集成可确保加密作受益于硬件级安全隔离,同时保持云服务的性能和可伸缩性。

如果你是 Azure Key Vault 高级版客户,需要密钥主权性、单租户,或每秒更高加密操作次数,请考虑改用 Azure Key Vault 托管 HSM。 有关详细信息,请参阅关于 Azure 密钥保管库

Azure 密钥保管库托管 HSM

FIPS 140-3 级别 3 验证的单租户 HSM 产品/服务,使客户能够完全控制 HSM 的静态加密、无密钥 SSL/TLS 卸载和自定义应用程序。 Azure Key Vault 托管 HSM 是唯一提供机密密钥的密钥管理解决方案。 客户会收到由三个 HSM 分区组成的池,这些分区共同充当一个高度可用的逻辑 HSM 设备。池的前面有一个通过 Key Vault API 公开加密功能的服务。 Microsoft处理 HSM 的预配、修补、维护和硬件故障转移,但无权访问密钥本身,因为该服务在 Azure 的机密计算基础结构中执行。 Azure Key Vault 托管 HSM 与 Azure SQL、Azure 存储和 Azure 信息保护 PaaS 服务集成,并支持 F5 和 Nginx 的无密钥 TLS。 有关详细信息,请参阅 什么是 Azure Key Vault 托管 HSM?

Pricing

Azure Key Vault 标准层和高级层按交易计费,使用高级硬件支持密钥的每个密钥还需按月额外收费。 Azure Key Vault 托管 HSM 不按事务性收费。 它们是始终使用的设备,按固定的小时费率计费。 有关详细的定价信息,请参阅 Key Vault 定价云 HSM 定价付款 HSM 定价

服务限制

Azure Key Vault 托管 HSM 提供专属容量。 Azure Key Vault 标准版和高级版是多租户产品,具有限流限制。 有关服务限制,请参阅密钥保管库服务限制

静态加密

Azure Key Vault 和 Azure Key Vault 托管 HSM 可与 Azure 服务以及 Microsoft 365 客户托管密钥集成。 可以在 Azure Key Vault 和 Azure Key Vault 托管 HSM 中使用自己的密钥对存储在这些服务中的数据进行静态加密。 Azure 云 HSM 和 Azure 支付 HSM 是基础结构即服务产品/服务,不提供与 Azure 服务的集成。 有关使用 Azure Key Vault 和 Azure Key Vault 托管 HSM 进行静态加密的概述,请参阅 Azure 静态数据加密

应用程序接口

Azure Key Vault 和 Azure Key Vault 托管 HSM 不支持这些 API。 而是使用 Azure Key Vault REST API 并提供 SDK 支持。 有关 Azure 密钥保管库 API 的详细信息,请参阅 Azure 密钥保管库 REST API 参考

后续步骤

  • Last updated on