Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Zero Trust ist eine Sicherheitsstrategie, die drei Prinzipien umfasst: „Explizit überprüfen“, „Zugriff mit geringsten Berechtigungen verwenden“ und „Von einer Verletzung ausgehen“. Der Datenschutz, einschließlich der Schlüsselverwaltung, unterstützt das Prinzip „Zugriff mit den geringsten Rechten verwenden“. Weitere Informationen finden Sie unter Was ist Zero Trust?
In Azure können Verschlüsselungsschlüssel entweder plattformseitig oder kundenseitig verwaltet werden.
Plattformseitig verwaltete Schlüssel (Platform-Managed Keys, PMKs) sind Verschlüsselungsschlüssel, die vollständig von Azure generiert, gespeichert und verwaltet werden. Es erfolgt keine Interaktion der Kunden mit PMKs. Bei den Schlüsseln, die beispielsweise für die Azure-Datenverschlüsselung ruhender Daten verwendet werden, handelt es sich standardmäßig um PMKs.
Kundenseitig verwaltete Schlüssel (Customer-Managed Keys, CMKs) hingegen sind Schlüssel, die von einem oder mehreren Kunden gelesen, erstellt, gelöscht, aktualisiert und/oder verwaltet werden. Bei Schlüsseln, die in einem kundeneigenen Schlüsseltresor oder Hardwaresicherheitsmodul (HSM) gespeichert sind, handelt es sich um CMKs. Bring Your Own Key (BYOK) ist ein CMK-Szenario, in dem ein Kunde Schlüssel von einem externen Speicherort in einen Azure-Schlüsselverwaltungsdienst importiert (siehe Azure Key Vault: Bring Your Own Key-Spezifikation).
Ein besonderer Typ von kundenseitig verwaltetem Schlüssel ist der „Schlüsselverschlüsselungsschlüssel“ (Key Encryption Key, KEK). Ein KEK ist ein Primärschlüssel, der den Zugriff auf einen oder mehrere Verschlüsselungsschlüssel steuert, die selbst verschlüsselt sind.
Kundenseitig verwaltete Schlüssel können lokal oder – was häufiger der Fall ist – in einem Schlüsselverwaltungsdienst in der Cloud gespeichert werden.
Azure-Schlüsselverwaltungsdienste
Azure bietet mehrere Optionen zum Speichern und Verwalten Ihrer Schlüssel in der Cloud, einschließlich Azure Key Vault, Azure Key Vault Managed HSM, Azure Cloud HSM und Azure Payment HSM. Diese Optionen unterscheiden sich in Bezug auf die FIPS-Konformitätsstufe, den Verwaltungsaufwand und die vorgesehenen Anwendungen.
Eine umfassende Anleitung zur Auswahl der richtigen Schlüsselverwaltungslösung für Ihre spezifischen Anforderungen finden Sie unter "Auswählen der richtigen Schlüsselverwaltungslösung".
Azure Key Vault (Standardebene)
Ein FIPS 140-2 Level 1 validierter mehrinstanzenfähiger Cloudschlüsselverwaltungsdienst, der zum Speichern asymmetrischer Schlüssel, geheimer Schlüssel und Zertifikate verwendet werden kann. In Azure Key Vault gespeicherte Schlüssel sind softwaregeschützt und können für ruhende und benutzerdefinierte Anwendungen verwendet werden. Azure Key Vault Standard bietet eine moderne API und eine Breite regionaler Bereitstellungen und Integrationen mit Azure Services. Weitere Informationen finden Sie unter "Informationen zu Azure Key Vault".
Azure Key Vault (Premium-Stufe)
Ein FIPS 140-3 Level 3-validiertes, PCI-kompatibles, multitenant HSM-Angebot, das zum Speichern asymmetrischer Schlüssel, geheimer Schlüssel und Zertifikate verwendet werden kann. Schlüssel werden mithilfe von Marvell LiquidSecurity HSMs* in einer sicheren Hardwaregrenze gespeichert. Microsoft verwaltet und betreibt das zugrunde liegende HSM, und Schlüssel, die in Azure Key Vault Premium gespeichert sind, können für ruhende und benutzerdefinierte Anwendungen verwendet werden. Azure Key Vault Premium bietet auch eine moderne API und eine Breite regionaler Bereitstellungen und Integrationen mit Azure Services. Wenn Sie als Azure Key Vault Premium-Kunde auf der Suche nach Schlüsselhoheit, Einzelmandantenfähigkeit und/oder höheren Werten für Kryptovorgänge pro Sekunde sind, sollten Sie stattdessen verwaltetes Azure Key Vault-HSM in Betracht ziehen. Weitere Informationen finden Sie unter "Informationen zu Azure Key Vault".
Über Azure Key Vault verwaltetes HSM
Ein FIPS 140-2 Level 3-validiertes, single-tenant HSM-Angebot, das Kunden die volle Kontrolle über ein HSM für Verschlüsselung im Ruhezustand, schlüssellose SSL/TLS-Auslagerung und benutzerdefinierte Anwendungen bietet. Azure Key Vault Managed HSM ist die einzige Schlüsselverwaltungslösung, die vertrauliche Schlüssel anbietet. Kunden erhalten einen Pool von drei HSM-Partitionen, die als eine logische, hochverfügbare HSM-Appliance fungieren. Diese wird von einem Dienst bereitgestellt, der Kryptofunktionalität über die Key Vault-API verfügbar macht. Microsoft behandelt die Bereitstellung, Patching, Wartung und Hardwarefailover der HSMs, hat jedoch keinen Zugriff auf die Schlüssel selbst, da der Dienst innerhalb der vertraulichen Computeinfrastruktur von Azure ausgeführt wird. Azure Key Vault Managed HSM ist in die Azure SQL-, Azure Storage- und Azure Information Protection PaaS-Dienste integriert und bietet Unterstützung für keyless TLS mit F5 und Nginx. Weitere Informationen finden Sie unter Was ist azure Key Vault Managed HSM?.
Dediziertes HSM von Azure
Ein gemäß FIPS 140-2 Level 3 überprüftes HSM-Angebot mit nur einem Mandanten, das Kunden die vollständige Kontrolle über ein HSM für PKCS#11, die Auslagerung der SSL/TLS-Verarbeitung, den Schutz privater Schlüssel von Zertifizierungsstellen, transparente Datenverschlüsselung, einschließlich Dokument- und Codesignierung, sowie benutzerdefinierte Anwendungen ermöglicht. Der Kunde hat die volle administrative Kontrolle über seinen HSM-Cluster. Kunden sind verantwortlich für die Bereitstellung und Initialisierung ihrer HSM, während Microsoft die Dienstbereitstellung und das Hosting des HSM übernimmt. Azure Dedicated HSM unterstützt vorhandene Anwendungsfälle, einschließlich der Verwendung von Lift-and-Shift-Workloads, PKI, SSL Offloading und Keyless TLS, OpenSSL-Anwendungen, Oracle TDE und Azure SQL TDE IaaS. Azure Dedicated HSM ist nicht in alle Azure PaaS-Angebote integriert. Weitere Informationen finden Sie unter Was ist Azure Dedicated HSM?.
Azure Payment HSM
Ein FIPS 140-2 Level 3, PCI HSM v3, validiertes Single-Tenant Bare Metal HSM-Angebot, mit dem Kunden eine HSM-Zahlungseinheit in Microsoft-Rechenzentren für Zahlungsvorgänge leasen können, einschließlich Zahlungs-PIN-Verarbeitung, Ausgabe von Zahlungsanmeldeinformationen, Sichern von Schlüsseln und Authentifizierungsdaten und vertraulicher Daten. Der Dienst ist PCI DSS, PCI 3DS und PCI-PIN kompatibel. Azure Payment HSM bietet HSMs mit einem Mandanten für die Kundschaft, die vollständige Administrative Kontrolle und exklusiven Zugriff auf das HSM hat. Sobald der HSM einer Kundschaft zugewiesen wurde, hat Microsoft keinen Zugriff auf Kundendaten. Ebenso werden Kundendaten, wenn das HSM nicht mehr benötigt wird, sofort nach Freigabe des HSM gelöscht und auf Null gesetzt, um vollständige Privatsphäre und Sicherheit zu gewährleisten. Weitere Informationen finden Sie unter Was ist Azure Payment HSM?.
Hinweis
* Azure Key Vault Premium ermöglicht die Erstellung von softwaregeschützten und HSM-geschützten Schlüsseln. Wenn Sie Azure Key Vault Premium verwenden, stellen Sie sicher, dass der erstellte Schlüssel HSM geschützt ist.
Preiskalkulation
Die Ebenen "Azure Key Vault Standard" und "Premium" werden auf Transaktionsbasis abgerechnet, mit einer zusätzlichen monatlichen Gebühr pro Schlüssel für Premium-hardwaregestützte Schlüssel. Azure Key Vault Managed HSM, Azure Dedicated HSM und Azure Payment HSM werden nicht pro Transaktion berechnet; Stattdessen sind es immer in Betrieb befindliche Geräte, die zu einem festen Stundensatz in Rechnung gestellt werden. Ausführliche Preisinformationen finden Sie unter Key Vault – Preise und Payment HSM – Preise.
Diensteinschränkungen
Azure Key Vault Managed HSM, Azure Dedicated HSM und Azure Payment HSM bieten dedizierte Kapazität. Azure Key Vault Standard und Premium sind mehrinstanzenfähige Dienste und haben Drosselungsgrenzen. Informationen zu Diensteinschränkungen finden Sie unter Grenzwerte des Key Vault-Diensts.
Verschlüsselung ruhender Daten
Azure Key Vault und Azure Key Vault Managed HSM sind mit Integrationen für Azure-Dienste und Microsoft 365 ausgestattet, die von Kunden verwaltete Schlüssel betreffen. Dies bedeutet, dass Kunden ihre eigenen Schlüssel im Azure Key Vault und Azure Key Vault Managed HSM für die Verschlüsselung im Ruhezustand von Daten verwenden können, die in diesen Diensten gespeichert sind. Azure Dedicated HSM und Azure Payment HSM sind Infrastructure-as-Service-Angebote und bieten keine Integrationen mit Azure Services. Eine Übersicht über ruhende Verschlüsselung mit azure Key Vault und azure Key Vault Managed HSM finden Sie unter Azure Data Encryption-at-Rest.
APIs
Azure Dedicated HSM und Azure Payment HSM unterstützen pkCS#11, JCE/JCA und KSP/CNG APIs, aber Azure Key Vault und Azure Key Vault Managed HSM nicht. Azure Key Vault und Azure Key Vault Managed HSM verwenden die Azure Key Vault REST-API und bieten SDK-Unterstützung an. Weitere Informationen zur Azure Key Vault-API finden Sie in der Referenz für die Azure Key Vault-REST-API.