Informazioni sulle chiavi
Azure Key Vault fornisce due tipi di risorse per archiviare e gestire le chiavi crittografiche. Gli insiemi di credenziali supportano le chiavi con protezione software e con protezione HSM. Le risorse di tipo HSM gestito supportano solo le chiavi con protezione HSM.
Tipo di risorsa | Metodi di protezione delle chiavi | URL di base dell'endpoint del piano dati |
---|---|---|
Vaults (Insiemi di credenziali) | Con protezione software e con protezione HSM (tipi di chiavi HSM nello SKU Premium) | https://{vault-name}.vault.azure.net |
Moduli di protezione hardware (HSM) gestiti | Con protezione HSM | https://{hsm-name}.managedhsm.azure.net |
- Insiemi di credenziali - Gli insiemi di credenziali offrono una soluzione di gestione delle chiavi a basso costo, facile da distribuire, multi-tenant, con resilienza della zona (dove disponibile) e a disponibilità elevata, adatta per gli scenari di applicazioni cloud più comuni.
- HSM gestiti: l'HSM gestito è un modulo a singolo tenant e a disponibilità elevata per l'archiviazione e la gestione delle chiavi crittografiche. Questa soluzione è ideale per applicazioni e scenari di utilizzo in cui vengono gestite chiavi con valore elevato. Consente inoltre di soddisfare i requisiti normativi, di conformità e sicurezza più rigorosi.
Nota
Gli insiemi di credenziali consentono anche di archiviare e gestire diversi tipi di oggetti, come segreti, certificati e chiavi dell'account di archiviazione, oltre alle chiavi crittografiche.
Le chiavi crittografiche in Key Vault sono rappresentate come oggetti JSON Web Key [JWK]. Le specifiche JSON (JavaScript Object Notation) e JOSE (JavaScript Object Signing and Encryption) sono:
Le specifiche JWK/JWA di base vengono estese anche per abilitare tipi di chiave univoci per le implementazioni di Azure Key Vault e HSM gestiti.
Le chiavi HSM negli insiemi di credenziali sono protette da moduli di protezione hardware; le chiavi software non sono protette dai moduli di protezione hardware.
- Le chiavi conservate negli insieme di credenziali beneficiano di una solida protezione tramite moduli di protezione hardware conformi allo standard FIPS 140. Sono disponibili due piattaforme HSM distinte: 1, che protegge le versioni delle chiavi con FIPS 140-2 Livello 2 e 2, che protegge le chiavi con moduli di protezione hardware FIPS 140-2 Livello 3 a seconda di quando è stata creata la chiave. Tutte le nuove chiavi e le nuove versioni chiave vengono ora create usando la piattaforma 2 (ad eccezione dell'area geografica del Regno Unito). Per determinare quale piattaforma HSM protegge una versione della chiave, ottenere la relativa hsmPlatform.
- Il modulo di protezione hardware gestito utilizza moduli HSM FIPS 140-2 di livello 3 convalidati per proteggere le chiavi. Ogni pool di moduli di protezione hardware è un'istanza a tenant singolo isolata con il proprio dominio di sicurezza che fornisce l'isolamento crittografico completo da tutti gli altri moduli di protezione hardware che condividono la stessa infrastruttura hardware. Le chiavi dell'HSM gestito sono protette in pool di moduli di protezione hardware a tenant singolo. È possibile importare una chiave RSA, EC e simmetrica in formato software o esportandola da un dispositivo HSM supportato. È anche possibile generare chiavi nei pool di moduli di protezione hardware. Quando si importano chiavi con protezione HSM usando il metodo descritto nella specifica BYOK (Bring Your Own Key), viene abilitato il materiale della chiave di trasporto sicuro nei pool di moduli di protezione hardware gestiti.
Per ulteriori informazioni sui limiti geografici, vedere Centro di protezione Microsoft Azure
Tipi di chiavi e metodi di protezione
Key Vault supporta chiavi RSA ed EC. Una risorsa di tipo HSM gestito supporta chiavi RSA, EC e simmetriche.
Chiavi con protezione HSM
Tipo di chiave | Insiemi di credenziali (solo SKU Premium) | HSM gestiti |
---|---|---|
EC-HSM: chiave a curva ellittica | Supportato (P-256, P-384, P-521, secp256k1/P-256K) | Supportato (P-256, secp256k1/P-256K, P-384, P-521) |
RSA-HSM: chiave RSA | Supportato (2048 bit, 3072 bit, 4096 bit) | Supportato (2048 bit, 3072 bit, 4096 bit) |
oct-HSM: chiave simmetrica | Non supportato | Supportato (128 bit, 192 bit, 256 bit) |
Chiavi con protezione software
Tipo di chiave | Insiemi di credenziali | HSM gestiti |
---|---|---|
RSA: chiave RSA protetta tramite software | Supportato (2048 bit, 3072 bit, 4096 bit) | Non supportato |
EC: chiave a curva ellittica protetta tramite software | Supportato (P-256, P-384, P-521, secp256k1/P-256K) | Non supportato |
Conformità
Tipo di chiave e destinazione | Conformità |
---|---|
Chiavi protette da software (hsmPlatform 0) negli insiemi di credenziali | FIPS 140-2 livello 1 |
Chiavi protette hsmPlatform 1 negli insiemi di credenziali (SKU Premium) | FIPS 140-2 livello 2 |
Chiavi protette hsmPlatform 2 negli insiemi di credenziali (SKU Premium) | FIPS 140-2 livello 3 |
Le chiavi nel modulo di protezione hardware gestito sono sempre protette dal modulo di protezione hardware | FIPS 140-2 livello 3 |
Per informazioni dettagliate su ogni tipo di chiave, oltre che su algoritmi, operazioni, attributi e tag, vedere Tipi di chiave, algoritmi e operazioni.
Scenari di utilizzo
Quando utilizzare | Esempi |
---|---|
Crittografia dei dati lato server di Azure per provider di risorse integrati con chiavi gestite dal cliente | - Crittografia lato server con chiavi gestite dal cliente in Azure Key Vault |
Crittografia dei dati lato client | - Crittografia lato client con Azure Key Vault |
TLS senza chiave | - Usare librerie client delle chiavi |
Passaggi successivi
- Gestione delle chiavi in Azure
- Informazioni su Key Vault
- Informazioni sul modulo di protezione hardware gestito
- Informazioni sui segreti
- Informazioni sui certificati
- Panoramica dell'API REST di Key Vault
- Autenticazione, richieste e risposte
- Guida per gli sviluppatori all'insieme di credenziali delle chiavi