Informationen zu Schlüsseln

Azure Key Vault bietet zwei Arten von Ressourcen für die Speicherung und Verwaltung kryptografischer Schlüssel. Vault-Instanzen unterstützen sowohl durch Software als auch durch HSM (Hardware Security Module, Hardwaresicherheitsmodul) geschützte Schlüssel. Verwaltete HSMs unterstützen nur durch HSM geschützte Schlüssel.

Ressourcentyp Schlüsselschutzmethoden Basis-URL des Datenebenenendpunkts
Tresore Softwaregeschützt und HSM-geschützt (HSM-Schlüsseltypen in Premium-SKU) https://{Tresorname}.vault.azure.net
Verwaltete HSMs Durch HSM geschützt https://{HSM-Name}.managedhsm.azure.net
  • Tresore: Tresore bieten eine kostengünstige, leicht bereitzustellende, mehrinstanzenfähige, zonenresiliente (sofern verfügbar) und hochverfügbare Schlüsselverwaltungslösung, die für die meisten gängigen Cloudanwendungsszenarien geeignet ist.
  • Verwaltete HSMs: Verwaltetes HSM bietet einzelinstanzfähige, hochverfügbare HSMs zum Speichern und Verwalten Ihrer kryptografischen Schlüssel. Diese Lösung eignet sich am besten für Anwendungen und Verwendungsszenarien, in denen Schlüsseln mit hohem Wert verwendet werden. Darüber hinaus ermöglicht sie die Erfüllung besonders strenger Sicherheits- und Complianceanforderungen sowie entsprechender gesetzlicher Anforderungen.

Hinweis

Mit Tresoren können neben kryptografischen Schlüsseln auch verschiedene Arten von Objekten wie etwa Geheimnisse, Zertifikate und Speicherkontoschlüssel gespeichert und verwaltet werden.

Kryptografische Schlüssel in Key Vault werden als JSON Web Key-Objekte (JWK) dargestellt. Die Spezifikationen von JavaScript Object Notation (JSON) und JavaScript Object Signing and Encryption (JOSE) lauten wie folgt:

Die grundlegenden JWK/JWA-Spezifikationen wurden erweitert, um Schlüsseltypen zu ermöglichen, die speziell für die Implementierung von Azure Key Vault und verwalteten HSMs verwendet werden.

HSM-Schlüssel in Tresoren werden durch HSMs geschützt. Softwareschlüssel hingegen sind nicht durch HSMs geschützt.

  • In Tresoren gespeicherte Schlüssel profitieren von einem robusten Schutz mit HSMs nach FIPS 140. Es gibt zwei unterschiedliche HSM-Plattformen: 1, bei der Schlüsselversionen mit FIPS 140-2 Level 2 geschützt werden, und 2, bei der Schlüssel mit HSMs nach FIPS 140-2 Level 3 schützt, je nachdem, wann der Schlüssel erstellt wurde. Alle neuen Schlüssel und Schlüsselversionen werden jetzt mit Plattform 2 erstellt (mit Ausnahme des geografischen Bereichs „Vereinigtes Königreich“). Um zu ermitteln, durch welche HSM-Plattform eine Schlüsselversion geschützt ist, rufen Sie den zugehörigen Wert hsmPlatform ab.
  • Verwaltete HSMs verwenden durch FIPS 140-2 Level 3 überprüfte HSMs zum Schützen Ihrer Schlüssel. Jeder HSM-Pool ist eine isolierte Einzelmandanteninstanz mit eigener Sicherheitsdomäne, die vollständige kryptografische Isolation von allen anderen HSMs bietet, die die gleiche Hardwareinfrastruktur nutzen. Verwaltete HSM-Schlüssel werden in HSM-Pools mit einem einzelnen Mandanten geschützt. Sie können einen RSA-Schlüssel, einen EC-Schlüssel und einen symmetrischen Schlüssel importieren – in Soft-Form oder durch Exportieren von einem kompatiblen HSM-Gerät. Außerdem können Sie Schlüssel in HSM-Pools generieren. Wenn Sie HSM-Schlüssel unter Verwendung der in der BYOK-Spezifikation (Bring Your Own Key) beschriebenen Methode importieren, ermöglicht dies den sicheren Transport von Schlüsselmaterial in Pools verwalteter HSMs.

Weitere Informationen zu geografischen Grenzen finden Sie unter Datenschutz.

Schlüsseltypen und Schutzmethoden

Key Vault unterstützt RSA- und EC-Schlüssel. Verwaltete HSMs unterstützen RSA-Schlüssel, EC-Schlüssel und symmetrische Schlüssel.

HSM-geschützte Schlüssel

Schlüsseltyp Tresore (nur Premium-SKU) Verwaltete HSMs
EC-HSM: Elliptic Curve-Schlüssel Unterstützt (P-256, P-384, P-521, secp256k1/P-256K) Unterstützt (P-256, secp256k1/P-256K, P-384, P-521)
RSA-HSM: RSA-Schlüssel Unterstützt (2048 Bit, 3072 Bit, 4096 Bit) Unterstützt (2048 Bit, 3072 Bit, 4096 Bit)
oct-HSM: symmetrischer Schlüssel Nicht unterstützt Unterstützt (128 Bit, 192 Bit, 256 Bit)

Softwaregeschützte Schlüssel

Schlüsseltyp Tresore Verwaltete HSMs
RSA: Softwaregeschützter RSA-Schlüssel Unterstützt (2048 Bit, 3072 Bit, 4096 Bit) Nicht unterstützt
EC: Softwaregeschützter Elliptic Curve-Schlüssel. Unterstützt (P-256, P-384, P-521, secp256k1/P-256K) Nicht unterstützt

Kompatibilität

Schlüsseltyp und -ziel Kompatibilität
Durch Software geschützte (hsmPlatform 0) Schlüssel in Tresoren FIPS 140-2 Level 1
Durch hsmPlatform 1 geschützte Schlüssel in Tresoren (Premium-SKU) FIPS 140-2 Level 2
Durch hsmPlatform 2 geschützte Schlüssel in Tresoren (Premium-SKU) FIPS 140-2 Level 3
Schlüssel in verwalteten HSMs sind immer durch HSMs geschützt. FIPS 140-2 Level 3

Ausführliche Informationen zu den einzelnen Schlüsseltypen, Algorithmen, Vorgängen, Attributen und Tags finden Sie unter Schlüsseltypen, Algorithmen und Vorgänge.

Verwendungsszenarien

Verwendung Beispiele
Serverseitige Azure-Datenverschlüsselung für integrierte Ressourcenanbieter mit kundenseitig verwalteten Schlüsseln - Serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln in Azure Key Vault
Clientseitige Datenverschlüsselung - Clientseitige Verschlüsselung und Azure Key Vault für Microsoft Azure Storage
Schlüsselloses TLS - Verwenden Sie Clientbibliotheken für Schlüssel.

Nächste Schritte