Les clés de chiffrement dans Azure peuvent être contrôlées par la plateforme ou le client.
Les clés de chiffrement, appelées clés gérées par la plateforme (PMK), sont créées, conservées et contrôlées exclusivement par Azure. Les PMK ne sont pas utilisés dans les interactions avec les clients. Par exemple, les PMK sont le type de clés par défaut utilisé pour Azure Data Encryption-at-Rest.
D’autre part, les clés gérées par le client (CMK) sont celles qu’un ou plusieurs clients peuvent lire, créer, supprimer, mettre à jour et/ou administrer. Les clés CMK sont des clés conservées dans un module de sécurité matériel (HSM) ou un coffre de clés appartenant au client. Un client importe (apporte) des clés d’un emplacement de stockage externe dans un service de gestion de clés Azure dans un scénario appelé « Bring Your Own Key » (BYOK) (voir la spécification Azure Key Vault : Bring Your Own Key).
La « clé de chiffrement de clé » est un type spécifique de clé gérée par le client (KEK). Une ou plusieurs clés de chiffrement qui sont elles-mêmes chiffrées sont contrôlées par une KEK ou une clé de chiffrement principale.
Les clés conservées par le client peuvent être conservées sur site ou, plus fréquemment, dans le cloud.
Services de gestion des clés dans Azure
Azure propose plusieurs choix, notamment Azure Key Vault, Azure Managed HSM, Dedicated HSM et Payments HSM, pour stocker et gérer vos clés dans le cloud. Le degré de conformité FIPS, la charge administrative et les applications prévues de ces options varient.
Azure Key Vault (niveau standard)
Un service de gestion de clés cloud multi-locataires avec validation FIPS 140-2 niveau 1 qui peut également être utilisé pour stocker des secrets et des certificats. Les clés conservées dans Azure Key Vault sont protégées par un logiciel et peuvent être utilisées à la fois pour les applications personnalisées et le chiffrement au repos. Key Vault propose le plus grand nombre de déploiements régionaux, de connexions au service Azure et d’une API contemporaine.
Azure Key Vault (niveau Premium) :
Un HSM mutualisé avec validation FIPS 140-2 niveau 2 qui peut être utilisé pour stocker des clés dans une limite matérielle sécurisée. Le HSM sous-jacent est géré et exécuté par Microsoft, et les clés sont conservées dans Azure Key Vault Premium et peuvent être utilisées pour les applications personnalisées et le chiffrement au repos. De plus, Key Vault Premium offre le plus de déploiements régionaux, des connecteurs de service Azure et une API contemporaine.
HSM géré par Azure
Une option HSM à locataire unique approuvée FIPS 140-2 niveau 3 et qui permet aux utilisateurs de contrôler totalement un HSM pour le chiffrement au repos, le SSL sans clé et les applications personnalisées. Les clients ont accès à un pool de trois partitions HSM, qui servent ensemble comme une seule appliance HSM logique et hautement disponible. Ce pool est dirigé par un service qui rend la capacité de chiffrement disponible via l’API Key Vault. Étant donné que le service s’exécute dans l’infrastructure de calcul confidentielle d’Azure, Microsoft gère l’approvisionnement, les correctifs, la maintenance et le basculement matériel des HSM, mais n’a pas accès aux clés elles-mêmes. Keyless TLS avec F5 et Nginx est pris en charge par Managed HSM, qui concerne les services Azure SQL, Azure Storage et Azure Information Protection PaaS.
HSM dédié Azure
Un produit HSM bare metal approuvé FIPS 140-2 niveau 3 permet aux utilisateurs de louer un appareil HSM à usage général hébergé dans les centres de données Microsoft. L’appareil HSM appartient entièrement au client, qui est également chargé de corriger et de mettre à jour le micrologiciel selon les besoins. Un HSM dédié n’est connecté à aucun service Azure PaaS, et Microsoft n’a pas accès à l’appareil ou au matériel de clé. Avec l’utilisation des API PKCS#11, JCE/JCA et KSP/CNG, les utilisateurs peuvent communiquer avec le HSM. Ce produit est le mieux adapté aux charges de travail lift-and-shift traditionnelles, PKI, SSL Offloading, Keyless TLS, applications OpenSSL, Oracle TDE et Azure SQL TDE IaaS. Les intégrations prises en charge incluent F5, Nginx, Apache, Palo Alto, etc.
Azure Payments HSM
Les clients peuvent louer une appliance HSM de paiement dans les centres de données Microsoft pour les activités de paiement, telles que le traitement des paiements, l’émission d’informations d’identification de paiement, la sécurisation des clés et des données d’authentification et la protection des données sensibles à l’aide d’une solution bare metal vérifiée FIPS 140-2 niveau 3, PCI HSM v3. . Le service est conforme aux normes PCI DSS et PCI 3DS. Pour que les clients aient un contrôle administratif total et un accès exclusif au HSM, le HSM de paiement Azure propose des HSM à locataire unique. Microsoft n’a pas accès aux informations client une fois que le HSM a été attribué à un client. comme la façon dont les données client sont mises à zéro et supprimées lorsque le HSM n’est plus nécessaire pour conserver une confidentialité et une sécurité complètes.
Tarification
Avec des frais mensuels par clé pour les clés basées sur le matériel premium, les niveaux Azure Key Vault Standard et Premium sont facturés sur une base transactionnelle. Le HSM géré, le HSM dédié et le HSM de paiement ne sont pas facturés sur une base transactionnelle ; il s’agit plutôt d’appareils toujours utilisés qui sont facturés à un taux horaire fixe. Consultez la tarification Key Vault, la tarification HSM dédiée et la tarification HSM de paiement pour tous les détails de tarification.
Tarification du coffre à clés
Les clés et autres secrets doivent être conservés en lieu sûr et sous votre contrôle.
Les clients Azure peuvent protéger et gérer les clés cryptographiques et autres secrets utilisés par les applications et services cloud à l’aide d’Azure Key Vault. Azure Key Vault propose deux types de conteneurs différents :
- Coffres-forts pour la gestion et le stockage des certificats, des secrets, des clés cryptographiques et des clés de compte pour le stockage.
- Les clés cryptographiques basées sur HSM peuvent être stockées et gérées dans un pool HSM géré.
Tarification du HSM dédié Azure
Contrôlez les composants de sécurité matériels que vous utilisez dans le cloud.
La gestion des clés sur un module de sécurité matériel que vous gérez dans le cloud est possible avec Azure Dedicated HSM. En utilisant un HSM hébergé dans le cloud, vous pouvez vous conformer à des réglementations telles que FIPS 140-2 niveau 3 et contribuer à la sécurité de vos clés. En exécutant des applications dans votre propre module de sécurité matériel sur Azure, vous pouvez réduire considérablement la latence des applications et améliorer les performances.
Tarification Azure Payment HSM
À l’aide d’un service de paiement Hardware Security Module (HSM), vous pouvez effectuer des paiements numériques sécurisés dans le cloud.
Payer avec Azure Les clients peuvent gérer les opérations de clé cryptographique pour les transactions de paiement urgentes en temps réel sur Azure à l’aide du HSM. Les clients qui achètent le service Payment HSM sont facturés en fonction de variables, notamment la quantité de ressources HSM, la vitesse de performance et le délai. Le client recevra une facture mensuelle du système de facturation horaire. Les clients peuvent modifier leur niveau de performance selon leurs besoins pour répondre aux besoins de l’entreprise.
Limites de service
La capacité dédiée est disponible à partir de Managed HSM, Dedicated HSM et Payments HSM. Des restrictions de limitation s’appliquent à Key Vault Standard et Premium, qui sont des services mutualisés. Voir Limites de service Key Vault pour plus d’informations sur les plafonds de service.
Chiffrement au repos
Les clients peuvent utiliser leurs propres clés dans Azure Key Vault et Azure Key Managed HSM pour le chiffrement au repos des données stockées dans ces services, car ces services incluent des connecteurs avec les services Azure et Microsoft 365 pour les clés gérées par le client. Le HSM dédié et le HSM de paiement n’offrent pas d’interfaces avec les services Azure car ce sont des solutions d’infrastructure en tant que service. Consultez Azure Data Encryption-at-Rest pour un résumé du chiffrement au repos avec Azure Key Vault et Managed HSM.
Apis
Paiements et HSM dédié Les API PKCS#11, JCE/JCA et KSP/CNG sont prises en charge par HSM mais pas par Azure Key Vault ou Managed HSM. géré HSM et Azure Key Vault en exploitant l’API REST Azure Key Vault et en fournissant la prise en charge du SDK.
Conclusion
Les clés gérées par la plateforme (PMK), un type de clé de chiffrement, sont uniquement générées, stockées et gérées par Azure. Les PMK ne sont pas utilisés dans les interactions avec les clients. Pour Azure Data Encryption-at-Rest, les PMK sont le type standard de clés utilisées.