Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Key Vault bietet zwei Arten von Ressourcen für die Speicherung und Verwaltung kryptografischer Schlüssel. Vault-Instanzen unterstützen sowohl durch Software als auch durch HSM (Hardware Security Module, Hardwaresicherheitsmodul) geschützte Schlüssel. Verwaltete HSMs unterstützen nur durch HSM geschützte Schlüssel.
| Ressourcentyp | Schlüsselschutzmethoden | Basis-URL des Datenebenenendpunkts |
|---|---|---|
| Tresore | Softwaregeschützt und HSM-geschützt (HSM-Schlüsseltypen in Premium-SKU) | https://{Tresorname}.vault.azure.net |
| Verwaltete HSMs | Durch HSM geschützt | https://{HSM-Name}.managedhsm.azure.net |
- Tresore: Tresore bieten eine kostengünstige, leicht bereitzustellende, mehrinstanzenfähige, zonenresiliente (sofern verfügbar) und hochverfügbare Schlüsselverwaltungslösung, die für die meisten gängigen Cloudanwendungsszenarien geeignet ist.
- Verwaltete HSMs: Verwaltetes HSM bietet einzelinstanzfähige, hochverfügbare HSMs zum Speichern und Verwalten Ihrer kryptografischen Schlüssel. Diese Lösung eignet sich am besten für Anwendungen und Verwendungsszenarien, in denen Schlüsseln mit hohem Wert verwendet werden. Darüber hinaus ermöglicht sie die Erfüllung besonders strenger Sicherheits- und Complianceanforderungen sowie entsprechender gesetzlicher Anforderungen.
Hinweis
Mit Tresoren können neben kryptografischen Schlüsseln auch verschiedene Arten von Objekten wie etwa Geheimnisse, Zertifikate und Speicherkontoschlüssel gespeichert und verwaltet werden.
Kryptografische Schlüssel in Key Vault werden als JSON Web Key-Objekte (JWK) dargestellt. Die Spezifikationen von JavaScript Object Notation (JSON) und JavaScript Object Signing and Encryption (JOSE) lauten wie folgt:
- JSON-Webschlüssel (JWK)
- JSON-Webverschlüsselung (JWE)
- JSON-Webalgorithmen (JWA)
- JSON-Websignatur (JWS)
Die grundlegenden JWK/JWA-Spezifikationen wurden erweitert, um Schlüsseltypen zu ermöglichen, die speziell für die Implementierung von Azure Key Vault und verwalteten HSMs verwendet werden.
HSM-Schlüssel in Tresoren werden durch HSMs geschützt. Softwareschlüssel hingegen sind nicht durch HSMs geschützt.
- In Tresoren gespeicherte Schlüssel profitieren von einem robusten Schutz mit HSMs nach FIPS 140. Es gibt zwei unterschiedliche HSM-Plattformen: HSM Platform 1, die schlüsselversionen mit FIPS 140-2 Level 2 und HSM Platform 2 schützt, die Schlüssel mit FIPS 140-3 Level 3 HSMs schützt, je nachdem, wann der Schlüssel erstellt wurde. Alle neuen Schlüssel und Schlüsselversionen werden jetzt mit HSM Platform 2 (mit Ausnahme von UK Geo) erstellt. Um zu ermitteln, welche HSM-Plattform eine Schlüsselversion schützt, rufen Sie das hsmPlatform-Attribut ab.
- Verwaltetes HSM verwendet FIPS 140-3 Level 3 validierte HSM-Module, um Ihre Schlüssel zu schützen. Jeder HSM-Pool ist eine isolierte Einzelmandanteninstanz mit eigener Sicherheitsdomäne, die vollständige kryptografische Isolation von allen anderen HSMs bietet, die die gleiche Hardwareinfrastruktur nutzen. Verwaltete HSM-Schlüssel werden in HSM-Pools mit einem einzelnen Mandanten geschützt. Sie können einen RSA-Schlüssel, einen EC-Schlüssel und einen symmetrischen Schlüssel importieren – in Soft-Form oder durch Exportieren von einem kompatiblen HSM-Gerät. Außerdem können Sie Schlüssel in HSM-Pools generieren. Wenn Sie HSM-Schlüssel unter Verwendung der in der BYOK-Spezifikation (Bring Your Own Key) beschriebenen Methode importieren, ermöglicht dies den sicheren Transport von Schlüsselmaterial in Pools verwalteter HSMs.
Weitere Informationen zu geografischen Grenzen finden Sie unter Datenschutz.
Schlüsseltypen und Schutzmethoden
Key Vault Premium und Standard unterstützen RSA- und EC-Schlüssel. Verwaltete HSMs unterstützen RSA-Schlüssel, EC-Schlüssel und symmetrische Schlüssel.
HSM-geschützte Schlüssel
| Schlüsseltyp | Tresore (nur Premium-SKU) | Verwaltete HSMs |
|---|---|---|
| EC-HSM: Elliptic Curve-Schlüssel | Unterstützt (P-256, P-384, P-521, secp256k1/P-256K) | Unterstützt (P-256, secp256k1/P-256K, P-384, P-521) |
| RSA-HSM: RSA-Schlüssel | Unterstützt (2048 Bit, 3072 Bit, 4096 Bit) | Unterstützt (2048 Bit, 3072 Bit, 4096 Bit) |
| oct-HSM: symmetrischer Schlüssel | Nicht unterstützt | Unterstützt (128 Bit, 192 Bit, 256 Bit) |
Softwaregeschützte Schlüssel
| Schlüsseltyp | Tresore | Verwaltete HSMs |
|---|---|---|
| RSA: Softwaregeschützter RSA-Schlüssel | Unterstützt (2048 Bit, 3072 Bit, 4096 Bit) | Nicht unterstützt |
| EC: Softwaregeschützter Elliptic Curve-Schlüssel. | Unterstützt (P-256, P-384, P-521, secp256k1/P-256K) | Nicht unterstützt |
Kompatibilität
| Schlüsseltyp und -ziel | Kompatibilität |
|---|---|
| Softwaregeschützte Schlüssel (HSM Platform 0) in Tresoren | FIPS 140-2 Level 1 |
| HSM Platform 1 geschützte Schlüssel in Tresoren (Premium SKU) | FIPS 140-2 Ebene 2 |
| HSM Platform 2: Geschützte Schlüssel in Tresoren (Premium SKU) | FIPS 140-3 Ebene 3 |
| Schlüssel in verwalteten HSMs sind immer durch HSMs geschützt. | FIPS 140-3 Ebene 3 |
Quantenfest, Quantensicher oder Post-Quantum-Kryptografie
„Quantum-resistant“, „quantum-safe“ und „post-quantum“ Kryptografie sind Begriffe, die verwendet werden, um kryptografische Algorithmen zu beschreiben, die als widerstandsfähig gegen kryptoanalytische Angriffe von klassischen und Quantencomputern angesehen werden. OCT-HSM 256-Bit-Tasten, die mit den von Managed HSM angebotenen AES-Algorithmen verwendet werden, sind quantenfest. Weitere Informationen finden Sie unter Die Commercial National Security Algorithm Suite 2.0 und die FAQ zu Quantencomputing.
Ausführliche Informationen zu den einzelnen Schlüsseltypen, Algorithmen, Vorgängen, Attributen und Tags finden Sie unter Schlüsseltypen, Algorithmen und Vorgänge.
Verwendungsszenarien
| Verwendung | Beispiele |
|---|---|
| Serverseitige Azure-Datenverschlüsselung für integrierte Ressourcenanbieter mit kundenseitig verwalteten Schlüsseln | - Serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln in Azure Key Vault |
| Clientseitige Datenverschlüsselung | - Clientseitige Verschlüsselung und Azure Key Vault für Microsoft Azure Storage |
| Schlüsselloses TLS | - Verwenden Sie Clientbibliotheken für Schlüssel. |