注释
Zero Trust是一种安全策略,包括三个原则:“显式验证”、“使用最小特权访问”和“假定违规”。 数据保护(包括密钥管理)支持“使用最低特权访问”原则。 有关详细信息,请参阅 什么是 Zero Trust?
在Azure中,可以使用平台管理的加密密钥或客户管理的加密密钥。
Azure完全自行生成、存储和管理平台管理的密钥(PMK)。 无需与 PMK 交互。 例如,用于Azure静态数据加密的密钥默认为 PMK。
客户管理的密钥(CMK)是可以创建、删除、使用和管理的密钥。 可以将 CMK 存储在客户拥有的密钥保管库或硬件安全模块(HSM)中。 自带密钥(BYOK)是一种 CMK 方案,可在其中将密钥从外部存储位置导入Azure密钥管理服务。 有关详细信息,请参阅 Azure Key Vault:自带密钥规范。
密钥加密密钥(KEK)是一个主密钥,控制访问其所加密的一个或多个加密密钥。
可以将客户管理的密钥存储在本地,或者更常见的是存储在云密钥管理服务中。
Azure密钥管理服务
Azure提供了多种用于在云中存储和管理密钥的选项,包括Azure Key Vault、Azure Key Vault托管 HSM、Azure云 HSM 和Azure付款 HSM。 这些选项在 FIPS 合规性级别、管理开销和目标应用方面有所不同。
Azure Key Vault(标准层)
FIPS 140-2 级别 1 验证了多租户云密钥管理服务,可用于存储非对称密钥、机密和证书。 存储在Azure Key Vault中的密钥受软件保护,可用于静态加密和自定义应用程序。 Azure Key Vault Standard 提供新式 API 和广泛的区域部署和与 Azure 服务的集成。 有关详细信息,请参阅 About Azure Key Vault。
Azure Key Vault (高级层)
FIPS 140-3 级别 3 已验证、符合 PCI、多租户 HSM 的产品/服务,可用于存储非对称密钥、机密和证书。 使用 Marvell LiquidSecurity HSM*将密钥存储在安全硬件边界中。 Microsoft管理和操作基础 HSM。 可以使用存储在 Azure Key Vault Premium 中的密钥进行静态加密和自定义应用程序。 Azure Key Vault Premium 还提供新式 API 和广泛的区域部署,并与 Azure 服务集成。
重要
Azure集成 HSM:微软设计的 HSM 芯片直接嵌入到新的 Azure 服务器硬件(AMD D 和 E 系列 v7 预览版)中,符合 FIPS 140-3 三级标准。 这些防篡改芯片将加密密钥保留在安全硬件边界内,从而消除延迟和暴露风险。 默认情况下,集成 HSM 对于受支持的服务(如Azure Key Vault和Azure Storage加密)以透明方式运行,提供硬件强制信任,而无需进行其他配置。 此集成确保加密操作受益于硬件级安全隔离,同时保持云服务的性能和可伸缩性。
如果你是Azure Key Vault高级客户,需要确保关键主权、单租户或更高的每秒加密操作,可以考虑使用Azure Key Vault 托管 HSM。 Key Vault Premium 使用 Azure 运营的共享 HSM;对于需要客户拥有的信任根的工作负载,需要使用托管 HSM。 有关详细信息,请参阅 About Azure Key Vault。
Azure Key Vault 托管的 HSM
FIPS 140-3 级别 3 验证的单租户 HSM 产品/服务,使客户能够完全控制 HSM 的静态加密、无密钥 SSL/TLS 卸载和自定义应用程序。 Azure Key Vault Managed HSM 是唯一提供机密密钥的密钥管理解决方案。 客户会收到一个由三个 HSM 分区组成(一起充当一个逻辑高可用性 HSM 设备)的池,该服务通过 Key Vault API 公开加密功能。 Microsoft处理 HSM 的预配、修补、维护和硬件故障转移,但无权访问密钥本身,因为该服务在Azure的机密计算基础结构中执行。 客户拥有和控制安全域,这是 HSM 的信任根 - 安全域丢失会导致所有密钥永久无法恢复的丢失。 Azure Key Vault托管 HSM 与 Azure SQL、Azure Storage 和 Azure Information Protection PaaS 服务集成,并支持 F5 和 Nginx 的无密钥 TLS。 有关详细信息,请参阅 什么是 Azure Key Vault 托管 HSM?
Pricing
Azure Key Vault 标准层和高级层按事务计费,其中高级层的硬件支持密钥将按每个密钥每月额外收费。 Azure Key Vault Managed HSM 不按事务性收费。 它们是始终使用的设备,按固定的小时费率计费。 有关详细的定价信息,请参阅 Key Vault 定价、Cloud HSM 定价和 Payment HSM 定价。
服务限制
Azure Key Vault 托管 HSM 提供专用容量。 Azure Key Vault 标准版和高级版是多租户产品/服务,并且具有速率限制。 有关服务限制,请参阅 Key Vault 服务限制。
静态加密
Azure Key Vault和Azure Key Vault托管 HSM 与客户托管密钥的 Azure 服务和Microsoft 365集成。 可以在Azure Key Vault和Azure Key Vault托管 HSM 中使用自己的密钥来加密存储在这些服务中的数据的其余部分。 有关使用 Azure Key Vault 和 Azure Key Vault 托管 HSM 进行静态加密的概述,请参阅 Azure 静态数据加密。
应用程序接口
Azure Key Vault和Azure Key Vault托管 HSM 不支持这些 API。 而是使用 Azure Key Vault REST API 并提供 SDK 支持。 有关Azure Key Vault API 的详细信息,请参阅 Azure Key Vault REST API 参考。