• 10 dakika

Azure'da şifreleme anahtarları platform tarafından veya müşteri tarafından yönetilebilir.

Platform tarafından yönetilen anahtarlar (PMK), tamamen Azure tarafından oluşturulan, depolanan ve yönetilen şifreleme anahtarlarıdır. Müşteriler PMK'lerle etkileşim kurmaz. Örneğin, Bekleyen Azure Veri Şifrelemesi için kullanılan anahtarlar varsayılan olarak PMK'lerdir.

Öte yandan müşteri tarafından yönetilen anahtarlar (CMK), bir veya daha fazla müşteri tarafından okunabilen, oluşturulabilen, silinebilen, güncelleştirilebilen ve/veya yönetilebilen anahtarlardır. Müşteriye ait anahtar kasasında veya donanım güvenlik modülünde (HSM) depolanan anahtarlar CMK'lerdir. Kendi Anahtarını Getir (BYOK), müşterinin anahtarları dış depolama konumundan Azure anahtar yönetimi hizmetine aktardığı (getirdiği) bir CMK senaryosudur (bkz . Azure Key Vault: Kendi anahtar belirtiminizi getirme).

Müşteri tarafından yönetilen anahtarın belirli bir türü "anahtar şifreleme anahtarı" (KEK) türüdür. KEK, kendileri şifrelenen bir veya daha fazla şifreleme anahtarına erişimi denetleen birincil anahtardır.

Müşteri tarafından yönetilen anahtarlar şirket içinde veya daha yaygın olarak bir bulut anahtarı yönetim hizmetinde depolanabilir.

Azure anahtar yönetimi hizmetleri

Azure anahtarlarınızı bulutta depolamak ve yönetmek için Azure Key Vault, Azure Yönetilen HSM, Ayrılmış HSM ve Ödemeler HSM gibi çeşitli seçenekler sunar. Bu seçenekler FIPS uyumluluk düzeyi, yönetim yükü ve hedeflenen uygulamalar açısından farklılık gösterir.

Azure Key Vault (Standart Katman):Gizli dizileri ve sertifikaları depolamak için de kullanılabilecek bir FIPS 140-2 Düzey 1 doğrulanmış çok kiracılı bulut anahtarı yönetim hizmeti. Azure Key Vault'ta depolanan anahtarlar yazılım korumalıdır ve bekleyen şifreleme ve özel uygulamalar için kullanılabilir. Key Vault modern bir API ve Azure Hizmetleri ile bölgesel dağıtımların ve tümleştirmelerin en geniş yelpazesini sağlar. Daha fazla bilgi için bkz . Azure Key Vault hakkında.

Azure Key Vault (Premium Katman):Anahtarları güvenli bir donanım sınırında depolamak için kullanılabilecek bir FIPS 140-2 Düzey 2 doğrulanmış çok kiracılı HSM teklifi. Microsoft, temel alınan HSM'yi yönetir ve çalıştırır ve Azure Key Vault Premium'da depolanan anahtarlar bekleyen şifreleme ve özel uygulamalar için kullanılabilir. Key Vault Premium ayrıca modern bir API ve Azure Hizmetleri ile bölgesel dağıtımların ve tümleştirmelerin en geniş yelpazesini sunar. Daha fazla bilgi için bkz . Azure Key Vault hakkında.

Azure Yönetilen HSM: Müşterilere bekleyen şifreleme, Anahtarsız SSL ve özel uygulamalar için bir HSM'nin tam denetimini sağlayan, FIPS 140-2 Düzey 3 doğrulanmış tek kiracılı HSM teklifi. Müşteriler üç HSM bölümünden oluşan bir havuz (birlikte tek bir mantıksal, yüksek oranda kullanılabilir HSM gereci gibi davranarak) Key Vault API'sini kullanarak şifreleme işlevselliğini kullanıma sunan bir hizmet tarafından önlerine alınır. Microsoft, HSM'lerin sağlama, düzeltme eki uygulama, bakım ve donanım yük devretme işlemlerini gerçekleştirir, ancak hizmet Azure'ın Gizli İşlem Altyapısı içinde yürütür çünkü anahtarlara kendi kendilerine erişimi yoktur. Yönetilen HSM, Azure SQL, Azure Depolama ve Azure Information Protection PaaS hizmetleriyle tümleşiktir ve F5 ve Nginx ile Anahtarsız TLS desteği sunar. Daha fazla bilgi için bkz. Azure Key Vault Yönetilen HSM nedir?

Azure Ayrılmış HSM: Müşterilerin Microsoft veri merkezlerinde bulunan genel amaçlı bir HSM aleti kiralamasına olanak tanıyan FIPS 140-2 Düzey 3 onaylı çıplak HSM teklifi. Müşteri, HSM cihazı üzerinde tam ve toplam sahiplik sahibidir ve gerektiğinde üretici yazılımına düzeltme eki uygulamaktan ve güncelleştirmekten sorumludur. Microsoft'un cihaz üzerinde veya anahtar malzemeye erişim izni yoktur ve Ayrılmış HSM hiçbir Azure PaaS teklifiyle tümleştirilmemiştir. Müşteriler PKCS#11, JCE/JCA ve KSP/CNG API'lerini kullanarak HSM ile etkileşimde bulunabilir. Bu teklif en çok eski lift-and-shift iş yükleri, PKI, SSL Boşaltma ve Anahtarsız TLS (desteklenen tümleştirmeler F5, Nginx, Apache, Palo Alto, IBM GW ve daha fazlası), OpenSSL uygulamaları, Oracle TDE ve Azure SQL TDE IaaS için kullanışlıdır. Daha fazla bilgi için bkz. Azure Key Vault Yönetilen HSM nedir?

Azure Ödemeler HSM: FiPS 140-2 Düzey 3, PCI HSM v3, müşterilerin ödeme işlemleri için Microsoft veri merkezlerinde ödeme işlemleri için bir ödeme HSM aleti kiralamasına olanak tanıyan doğrulanmış çıplak teklif( ödeme işleme, ödeme kimlik bilgileri verme, anahtarları ve kimlik doğrulama verilerinin güvenliğini sağlama ve hassas veri koruması). Hizmet, PCI DSS ve PCI 3DS ile uyumludur. Azure Ödeme HSM, müşterilerin HSM'ye tam yönetim denetimi ve özel erişime sahip olması için tek kiracılı HSM'ler sunar. HSM bir müşteriye atandıktan sonra Microsoft'un müşteri verilerine erişimi olmaz. Benzer şekilde, HSM artık gerekli olmadığında, tam gizlilik ve güvenliğin korunması için müşteri verileri sıfırlanır ve HSM yayımlanır yayımlanmaz silinir. Daha fazla bilgi için bkz . Azure Payment HSM hakkında.

Anahtar kasasında birlikte çalışabileceğiniz gizli dizi, anahtar ve sertifika türlerine genel bakış için bkz . Azure Key Vault Anahtarları, Gizli Diziler ve Sertifikalara Genel Bakış

Key Vault'un kullanımına yönelik en iyi yöntemler

Ayrı anahtar kasaları kullanma

Uygulama başına ortam başına (geliştirme, üretim öncesi ve üretim) bölge başına kasa kullanılması önerimizdir. Bu, ortamlar ve bölgeler arasında gizli dizileri paylaşmamanıza yardımcı olur. Ayrıca bir ihlal durumunda tehdidi azaltacaktır.

Neden ayrı anahtar kasaları öneririz?

Anahtar kasaları, depolanan gizli diziler için güvenlik sınırlarını tanımlar. Gizli dizilerin aynı kasada gruplanması, güvenlik olayının patlama yarıçapını artırır çünkü saldırılar sorunlarda gizli dizilere erişebilir. Endişeler arasında erişimi azaltmak için belirli bir uygulamanın hangi gizli dizilere erişmesi gerektiğini göz önünde bulundurun ve ardından anahtar kasalarınızı bu ayrıma göre ayırın. Anahtar kasalarını uygulamaya göre ayırmak en yaygın sınırdır. Ancak güvenlik sınırları, örneğin ilgili hizmetler grubu başına büyük uygulamalar için daha ayrıntılı olabilir.

Kasanıza erişimi denetleme

Şifreleme anahtarları ve sertifikalar, bağlantı dizesi ve parolalar gibi gizli diziler hassas ve iş açısından kritiktir. Yalnızca yetkili uygulamalara ve kullanıcılara izin vererek anahtar kasalarınıza erişimin güvenliğini sağlamanız gerekir. Azure Key Vault güvenlik özellikleri , Key Vault erişim modeline genel bir bakış sağlar. Kimlik doğrulaması ve yetkilendirme açıklanmaktadır. Ayrıca anahtar kasalarınıza erişimin güvenliğini sağlamayı da açıklar.

Kasanıza erişimi denetlemeye yönelik öneriler şunlardır:

• Aboneliğinize, kaynak grubunuza ve anahtar kasalarınıza erişimi kilitleyin (rol tabanlı erişim denetimi (RBAC)).
• Her kasa için erişim ilkeleri oluşturun.
• Erişim vermek için en az ayrıcalık erişim ilkesini kullanın.
• Güvenlik duvarını ve sanal ağ hizmet uç noktalarını açın.

Kasanız için veri korumayı açma

Geçici silme açıldıktan sonra bile gizli dizilerin ve anahtar kasasının kötü amaçlı veya yanlışlıkla silinmesine karşı koruma sağlamak için temizleme korumasını açın.

Daha fazla bilgi için bkz. Azure Key Vault geçici silmeye genel bakış

Günlüğe kaydetmeyi etkinleştirin

Kasanız için günlüğe kaydetmeyi açın. Ayrıca, uyarıları ayarlayın.

Yedekleme

Temizleme koruması, kasa nesnelerinin 90 güne kadar kötü amaçlı ve yanlışlıkla silinmesini önler. Temizleme korumasının olası bir seçenek olmadığı senaryolarda, kasa içinde oluşturulan şifreleme anahtarları gibi diğer kaynaklardan yeniden oluşturulamaz yedekleme kasası nesnelerini öneririz.

Yedekleme hakkında daha fazla bilgi için bkz. Azure Key Vault yedekleme ve geri yükleme

Çok kiracılı çözümler ve Key Vault

Çok kiracılı bir çözüm, bileşenlerin birden çok müşteriye veya kiracıya hizmet vermek için kullanıldığı bir mimari üzerine kurulmuştur. Çok kiracılı çözümler genellikle hizmet olarak yazılım (SaaS) çözümlerini desteklemek için kullanılır. Key Vault içeren çok kiracılı bir çözüm oluşturuyorsanız Çok Kiracılılık ve Azure Key Vault'u gözden geçirin.