Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Nota
Zero Trust è una strategia di sicurezza che comprende tre principi: "verifica esplicita", "accesso con privilegi minimi" e "presunzione di violazione". La protezione dei dati, inclusa la gestione delle chiavi, supporta il principio di "accesso con privilegi minimi". Per altre informazioni, vedere Che cos'è Zero Trust?
In Azure le chiavi di crittografia possono essere gestite dalla piattaforma o dal cliente.
Le chiavi gestite dalla piattaforma sono chiavi di crittografia generate, archiviate e gestite interamente da Azure. I clienti non interagiscono con i PMK. Le chiavi usate per la Crittografia dati di Azure in inattività, ad esempio, sono PMK per impostazione predefinita.
Le chiavi gestite dal cliente (CMK), d'altra parte, sono chiavi lette, create, eliminate, aggiornate e/o gestite da uno o più clienti. Le chiavi archiviate in un insieme di credenziali delle chiavi di proprietà del cliente o in un modulo di protezione hardware (HSM) sono chiavi CMK. Bring Your Own Key (BYOK) è uno scenario CMK (chiave gestita dal cliente) in cui un cliente importa (porta) chiavi da un percorso di archiviazione esterno in un servizio di gestione delle chiavi di Azure (vedere le specifiche di Bring Your Own Key dell'Azure Key Vault).
Un tipo specifico di chiave gestita dal cliente è la "chiave di crittografia della chiave" (KEK). Una KEK è una chiave primaria che controlla l'accesso a una o più chiavi di crittografia crittografate.
Le chiavi gestite dal cliente possono essere archiviate in locale o, più comunemente, in un servizio di gestione delle chiavi cloud.
Servizi di gestione delle chiavi di Azure
Azure offre diverse opzioni per l'archiviazione e la gestione delle chiavi nel cloud, tra cui Azure Key Vault, modulo di protezione hardware gestito di Azure Key Vault, modulo di protezione hardware cloud di Azure e modulo di protezione hardware di pagamento di Azure. Queste opzioni differiscono in termini di livello di conformità FIPS, sovraccarico di gestione e applicazioni di destinazione.
Per una guida completa alla scelta della soluzione di gestione delle chiavi appropriata per esigenze specifiche, vedere Come scegliere la soluzione di gestione delle chiavi appropriata.
Azure Key Vault (livello Standard)
Un servizio di gestione delle chiavi cloud “multi-tenant” convalidato FIPS 140-2 di Livello 1 che può essere usato per archiviare chiavi asimmetriche, segreti e certificati. Le chiavi archiviate in Azure Key Vault sono protette da software e possono essere usate per la crittografia dei dati a riposo e le applicazioni personalizzate. Azure Key Vault Standard offre un'API moderna e un'ampiezza di distribuzioni e integrazioni a livello di area con i servizi di Azure. Per altre informazioni, vedere Informazioni su Azure Key Vault.
Azure Key Vault (livello Premium)
Offerta FIPS 140-3 livello 3 convalidata, conforme a PCI e HSM multi-tenant che può essere usata per archiviare chiavi asimmetriche, segreti e certificati. Le chiavi vengono archiviate in un limite hardware sicuro usando i moduli di protezione hardware Marvell LiquidSecurity*. Microsoft gestisce e opera il modulo di protezione hardware sottostante, e le chiavi archiviate in Azure Key Vault Premium possono essere usate per la crittografia dei dati a riposo e le applicazioni personalizzate. Azure Key Vault Premium offre anche un'API moderna e un'ampiezza di distribuzioni e integrazioni a livello di area con i servizi di Azure. Se si è un cliente Azure Key Vault Premium alla ricerca di sovranità delle chiavi, tenancy singolo e/o un numero più elevato di operazioni di crittografia al secondo, si può invece prendere in considerazione l'HSM gestito di Azure Key Vault. Per altre informazioni, vedere Informazioni su Azure Key Vault.
Modulo di protezione hardware gestito di Azure Key Vault
Un'offerta HSM convalidata FIPS 140-2 di livello 3, a tenant singolo, che fornisce ai clienti il controllo completo di un HSM per la cifratura dei dati a riposo, lo scaricamento SSL/TLS senza chiave e per applicazioni personalizzate. Il modulo di protezione hardware gestito di Azure Key Vault è l'unica soluzione di gestione delle chiavi che offre chiavi riservate. I clienti ricevono un pool di tre partizioni HSM, che operano come un'unica appliance HSM logica e ad alta disponibilità, supportato da un servizio che espone la funzionalità di crittografia tramite la Key Vault API. Microsoft gestisce il provisioning, l'applicazione di patch, la manutenzione e il failover hardware dei moduli di protezione hardware, ma non ha accesso alle chiavi stesse, perché il servizio viene eseguito all'interno dell'infrastruttura di confidential compute di Azure. Il modulo di protezione hardware gestito di Azure Key Vault è integrato con i servizi PaaS Azure SQL, Archiviazione di Azure e Azure Information Protection e offre il supporto per TLS senza chiave con F5 e Nginx. Per altre informazioni, vedere Che cos'è il modulo di protezione hardware gestito di Azure Key Vault?.
HSM dedicato di Azure
Offerta HSM convalidata di livello 3 FIPS 140-2 a tenant singolo che offre ai clienti il controllo completo di un HSM per PKCS#11, l'offload dell'elaborazione SSL/TLS, la protezione della chiave privata dell'autorità di certificazione, la crittografia trasparente dei dati, tra cui la firma di documenti e codice, e applicazioni personalizzate. Il cliente ha il controllo amministrativo completo del cluster HSM. Mentre i clienti sono responsabili della distribuzione e dell'inizializzazione dell'HSM (modulo di protezione hardware), Microsoft si occupa del provisioning del servizio e dell'hosting dell'HSM. HSM dedicato di Azure supporta casi d'uso esistenti, tra cui l'uso di carichi di lavoro lift-and-shift, PKI, offload SSL e TLS senza chiave, applicazioni OpenSSL, Oracle TDE e TDE di Azure SQL IaaS. HSM dedicato di Azure non è integrato con alcuna offerta PaaS di Azure. Per altre informazioni, vedere Informazioni su HSM dedicato di Azure.
Modulo di sicurezza hardware per pagamenti di Azure
Offerta HSM convalidata bare metal di livello 3 FIPS 140-2 livello 3, PCI HSM v3, a tenant singolo che consente ai clienti di noleggiare un'appliance HSM di pagamento nei data center Microsoft per le operazioni di pagamento, tra cui l'elaborazione del PIN di pagamento, il rilascio delle credenziali di pagamento, la protezione delle chiavi e i dati di autenticazione, e la protezione dei dati sensibili. Il servizio è conforme a PCI DSS, PCI 3DS e PCI PIN. Il modulo di protezione hardware di pagamento di Azure offre ai clienti moduli di protezione hardware a tenant singolo per consentire ai clienti di avere un controllo amministrativo completo e l'accesso esclusivo al modulo di protezione hardware. Una volta allocato il modulo di protezione hardware a un cliente, Microsoft non ha accesso ai dati dei clienti. Analogamente, quando il modulo di protezione hardware non è più necessario, i dati dei clienti vengono zeroizzati e cancellati non appena viene rilasciato il modulo di protezione hardware, per garantire la privacy completa e la sicurezza vengono mantenuti. Per altre informazioni, vedere Che cos'è il modulo di protezione hardware di pagamento di Azure?.
Nota
* Azure Key Vault Premium consente la creazione di chiavi protette sia da software che da HSM. Se si usa Azure Key Vault Premium, verificare che la chiave creata sia protetta da HSM.
Prezzi
I livelli Standard e Premium di Azure Key Vault vengono fatturati su base transazionale, con un addebito mensile aggiuntivo per chiave per le chiavi con supporto hardware Premium. Il modulo di protezione hardware gestito di Azure Key Vault, il modulo di protezione hardware dedicato di Azure e il modulo di protezione hardware di pagamento di Azure non vengono addebitati su base transazionale; sono invece dispositivi sempre in uso fatturati a una tariffa oraria fissa. Per informazioni dettagliate sui prezzi, vedere Prezzi di Key Vault e Prezzi di Payment HSM.
Limiti del servizio
Il modulo di protezione hardware gestito di Azure Key Vault, il modulo di protezione hardware dedicato di Azure e il modulo di protezione hardware di pagamento di Azure offrono capacità dedicata. Azure Key Vault Standard e Premium sono offerte multi-tenant e hanno limiti di soglia. Per i limiti del servizio, vedere Limiti del servizio Key Vault.
Crittografia dei dati inattivi
Azure Key Vault e il modulo di protezione hardware gestito di Azure Key Vault hanno integrazioni con i servizi di Azure e Microsoft 365 per le chiavi gestite dal cliente, ovvero i clienti possono usare le proprie chiavi in Azure Key Vault e il modulo di protezione hardware gestito di Azure Key Vault per la crittografia dei dati inattivi archiviati in questi servizi. HSM dedicato di Azure e HSM di pagamento di Azure sono offerte di infrastruttura distribuita come servizio e non offrono integrazioni con i servizi di Azure. Per una panoramica della crittografia dei dati a riposo con Azure Key Vault e Azure Key Vault Managed HSM, vedere Crittografia dei dati a riposo di Azure.
API
HSM dedicato di Azure e HSM di pagamento di Azure supportano le API PKCS#11, JCE/JCA e KSP/CNG, ma Azure Key Vault e il modulo di protezione hardware gestito di Azure Key Vault non lo fanno. Azure Key Vault e il modulo di protezione hardware gestito di Azure Key Vault usano l'API REST di Azure Key Vault e offrono supporto SDK. Per altre informazioni sull'API di Azure Key Vault, vedere Azure Key Vault REST API Reference (Informazioni di riferimento sull'API REST di Azure Key Vault).