Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Key Vault offre due tipi di risorse per l'archiviazione e la gestione delle chiavi crittografiche. Gli insiemi di credenziali supportano le chiavi con protezione software e con protezione HSM. Le risorse di tipo HSM gestito supportano solo le chiavi con protezione HSM.
| Tipo di risorsa | Metodi di protezione della chiave | URL di base dell'endpoint del piano dati |
|---|---|---|
| Vaults (Insiemi di credenziali) | Con protezione software e con protezione HSM (tipi di chiavi HSM nello SKU Premium) | https://<vault-name>.vault.azure.net |
| Moduli di protezione hardware (HSM) gestiti | Con protezione HSM | https://<hsm-name>.managedhsm.azure.net |
- Insiemi di credenziali: gli insiemi di credenziali offrono una soluzione di gestione delle chiavi a basso costo, facile da distribuire, multi-tenant, con resilienza della zona (dove disponibile) e a disponibilità elevata adatta per gli scenari di applicazioni cloud più comuni.
- HSM gestiti: l'HSM gestito offre HSM gestiti a singolo tenant e a disponibilità elevata per l'archiviazione e la gestione delle chiavi crittografiche. Sono particolarmente adatti per le applicazioni e gli scenari di utilizzo che gestiscono chiavi con valore elevato. Soddisfano inoltre i requisiti di sicurezza, conformità e normativi più rigorosi.
Note
Questo articolo descrive le chiavi in Key Vault (insiemi di credenziali). Per informazioni specifiche su Managed HSM, vedere Informazioni sulle chiavi in Managed HSM e Tipi di chiavi, algoritmi e operazioni (Managed HSM).
Note
Gli insiemi di credenziali consentono anche di archiviare e gestire diversi tipi di oggetti, come segreti, certificati e chiavi dell'account di archiviazione, oltre alle chiavi crittografiche.
Le chiavi crittografiche in Key Vault sono rappresentate come oggetti JSON Web Key [JWK]. Le specifiche per JSON (JavaScript Object Notation) e JOSE (JavaScript Object Signing and Encryption) sono:
Le specifiche JWK/JWA di base vengono estese anche per abilitare i tipi di chiave univoci per l'implementazione Azure Key Vault.
Le chiavi HSM negli insiemi di credenziali sono protette da moduli di protezione hardware; le chiavi software non sono protette dai moduli di protezione hardware.
Le chiavi conservate negli insiemi di credenziali beneficiano di una solida protezione tramite i moduli di protezione hardware convalidati per lo standard FIPS 140. Sono disponibili due piattaforme HSM distinte: HSM Platform 1, che protegge le versioni delle chiavi con FIPS 140-2 Livello 2, e HSM Platform 2, che protegge le chiavi con HSM FIPS 140-3 livello 3 a seconda di quando è stata creata la chiave. Tutte le nuove chiavi e le nuove versioni delle chiavi vengono ora create usando la piattaforma HSM 2. Per determinare quale piattaforma HSM protegge una versione chiave, ottenere il relativo attributo hsmPlatform .
Per altre informazioni sui limiti geografici, vedere Microsoft Azure Centro protezione.
Tipi di chiave e metodi di protezione
Key Vault Premium e Standard supportano le chiavi RSA e EC. Per le chiavi simmetriche (oct-HSM/AES), usare HSM gestito.
Chiavi protette da HSM (Key Vault Premium)
| Tipo di chiave | Dimensioni/curve |
|---|---|
| EC-HSM: chiave a curva ellittica | P-256, P-384, P-521, secp256k1/P-256K |
| RSA-HSM: chiave RSA | 2048 bit, 3072 bit, 4096 bit |
Chiavi protette da software (Key Vault Standard e Premium)
| Tipo di chiave | Dimensioni/curve |
|---|---|
| RSA: chiave RSA protetta da software | 2048 bit, 3072 bit, 4096 bit |
| EC: Chiave curva ellittica protetta da software | P-256, P-384, P-521, secp256k1/P-256K |
Per il supporto del modulo di protezione hardware gestito, vedere Informazioni sulle chiavi nel modulo di protezione hardware gestito.
Conformità
| Tipo di chiave e destinazione | Conformità |
|---|---|
| Chiavi protette da software (Piattaforma HSM 0) negli insiemi di credenziali | FIPS 140-2 livello 1 |
| Chiavi protette su HSM Platform 1 negli insiemi di credenziali (SKU Premium) | FIPS 140-2 livello 2 |
| Chiavi protette della piattaforma HSM 2 negli insiemi di credenziali (Premium SKU) | FIPS 140-3 Livello 3 |
Crittografia resistente quantum, sicura ai quantum o post-quantum
La crittografia "quantum-resistant", "quantum-safe" e "post-quantum" sono termini usati per descrivere algoritmi crittografici che si ritiene siano resistenti agli attacchi crittanalitici sia da computer classici che quantistici. Le chiavi oct-HSM a 256 bit usate con gli algoritmi AES offerti da Managed HSM sono resistenti agli attacchi quantistici. Per altre informazioni, vedere Domande frequenti su The Commercial National Security Algorithm Suite 2.0 e Quantum Computing.
Per informazioni dettagliate su ogni tipo di chiave, oltre che su algoritmi, operazioni, attributi e tag, vedere Tipi di chiave, algoritmi e operazioni.
Scenari di utilizzo
| Utilizzo | Esempi |
|---|---|
| Crittografia dei dati lato server di Azure per provider di risorse integrati con chiavi gestite dal cliente | - Crittografia lato server con chiavi gestite dal cliente in Azure Key Vault |
| Crittografia dei dati lato client | - Crittografia lato client con Azure Key Vault |
| TLS senza chiave | - Usare librerie client delle chiavi |