Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Key Vault Beheerde HSM is een volledig beheerde, maximaal beschikbare cloudservice met één tenant die gebruikmaakt van FIPS 140-3 Niveau 3 gevalideerde hardwarebeveiligingsmodules om uw cryptografische sleutels te beveiligen. Alle sleutels in een beheerd HSM-exemplaar zijn met HSM beveiligd; Beheerde HSM slaat geen met software beveiligde sleutels op.
Elk beheerd HSM-exemplaar is een geïsoleerde pool met één tenant met een eigen beveiligingsdomein, dat volledige cryptografische isolatie biedt van alle andere beheerde HSM-exemplaren die dezelfde onderliggende hardware delen. De basis-URL van het gegevensvlakeindpunt voor een beheerd HSM-exemplaar is https://<hsm-name>.managedhsm.azure.net.
Cryptografische sleutels in beheerde HSM worden weergegeven als JSON-websleutelobjecten (JWK), zoals gedefinieerd door de volgende specificaties:
De basis-JWK/JWA-specificaties worden uitgebreid om sleuteltypen mogelijk te maken die uniek zijn voor de beheerde HSM-implementatie.
Ondersteunde sleuteltypen en -grootten
| Sleuteltype | Grootten/curven |
|---|---|
| RSA-HSM — RSA-sleutel | 2.048-bits, 3.072-bits, 4.096-bits |
| EC-HSM — sleutel met elliptische krommen | P-256, P-256K (secp256k1), P-384, P-521 |
| oct-HSM - AES-sleutel (Symmetrisch) | 128-bits, 192-bits, 256-bits |
U kunt sleutels rechtstreeks in een beheerd HSM-exemplaar genereren, RSA- of EC-sleutels importeren uit een PEM-bestand of veilig transportsleutels (RSA, EC of oct-HSM) vanuit een ondersteunde on-premises HSM met behulp van de BYOK-specificatie (Bring Your Own Key). Zie Sleutels beheren in beheerde HSM en met HSM beveiligde sleutels importeren in Beheerde HSM (BYOK) voor meer informatie.
Zie Sleuteltypen, algoritmen en bewerkingen voor meer informatie over ondersteunde algoritmen, bewerkingen, kenmerken en tags.
Compliance
Alle sleutels in Managed HSM worden beschermd door HSM-gevalideerde hardware van FIPS 140-3-niveau 3. Er is één beveiligingslaag; Beheerde HSM biedt niet meerdere HSM-platforms of een optie die met software is beveiligd. Zie voor meer informatie over de hardwareomgeving gevalideerde standaarden (FedRAMP-High, PCI, SOC 1/2/3, ISO 270x) en het bredere Azure complianceprogramma Managed HSM technical details.
Kwantumbestendige cryptografie
"Kwantumbestendig", "kwantumveilig" en "post-quantum" cryptografie zijn termen die worden gebruikt om cryptografische algoritmen te beschrijven die zijn verondersteld bestand te zijn tegen cryptanalytische aanvallen van zowel klassieke als kwantumcomputers. oct-HSM 256-bit-sleutels die worden gebruikt met de AES-algoritmen die door Managed HSM worden aangeboden, zijn kwantumbestendig. Zie de veelgestelde vragen over Commercial National Security Algorithm Suite 2.0 en Quantum Computing voor meer informatie.
Sleutelverklaring
Managed HSM kan bevestigen dat een sleutel is gegenereerd en zich bevindt in een HSM die door Microsoft wordt beheerd. Asymmetrische sleutels ontvangen zowel attestation van openbare als persoonlijke sleutels; symmetrische sleutels (oct-HSM) ontvangen alleen attestation voor persoonlijke sleutels. Zie Validate Azure Beheerde HSM-sleutels met sleutelverklaring voor meer informatie.
Gebruiksscenario's
| Wanneer gebruiken | Examples |
|---|---|
| Azure gegevensversleuteling aan de serverzijde met door de klant beheerde sleutels | Versleuteling aan de serverzijde met behulp van door de klant beheerde sleutels in Azure Key Vault |
| Gegevensversleuteling aan de clientzijde | Client-Side-versleuteling met Azure Key Vault |
| Sleutelloze TLS | Azure Managed HSM-bibliotheek voor TLS-offloading |