Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Managed HSM de Azure Key Vault es un servicio en la nube totalmente administrado, de alta disponibilidad y para un solo inquilino que usa módulos de seguridad de hardware validados de nivel 3 de FIPS 140-3 para proteger sus claves de cifrado. Todas las claves de una instancia de HSM administrada están protegidas por HSM; HSM administrado no almacena claves protegidas por software.
Cada instancia de HSM administrada es un grupo de inquilinos único aislado con su propio dominio de seguridad, que proporciona aislamiento criptográfico completo de todas las demás instancias de HSM administradas que comparten el mismo hardware subyacente. La dirección URL base del punto de conexión del plano de datos para una instancia de HSM administrada es https://<hsm-name>.managedhsm.azure.net.
Las claves criptográficas de HSM administrado se representan como objetos JSON Web Key (JWK), como se define en las especificaciones siguientes:
Las especificaciones base de JWK/JWA se extienden para habilitar tipos de clave únicos para la implementación de HSM administrado.
Tamaños y tipos de clave admitidos
| Tipo de clave | Tamaños y curvas |
|---|---|
| RSA-HSM : clave RSA | 2048 bits, 3072 bits, 4096 bits |
| EC-HSM : clave de curva elíptica | P-256, P-256K (secp256k1), P-384, P-521 |
| oct-HSM : clave simétrica (AES) | 128 bits, 192 bits, 256 bits |
Puede generar claves directamente en una instancia de HSM administrada, importar claves RSA o EC desde un archivo PEM o claves de transporte seguras (RSA, EC o oct-HSM) desde un HSM local compatible mediante la especificación BYOK (traiga su propia clave). Para obtener más información, consulte Administrar claves en un HSM administrado e Importar claves protegidas por HSM a un HSM administrado (BYOK).
Para más información sobre los algoritmos, operaciones, atributos y etiquetas admitidos, consulte Tipos de clave, algoritmos y operaciones.
Compliance
Todas las claves de HSM administrado están protegidas por hardware validado de FIPS 140-3 Nivel 3. Hay un único nivel de protección; HSM administrado no expone varias plataformas HSM ni una opción protegida por software. Para obtener más información sobre el entorno de hardware, los estándares validados (FedRAMP-High, PCI, SOC 1/2/3, ISO 270x) y el programa de cumplimiento de Azure más amplio, consulte Managed HSM technical details.
Criptografía resistente a la computación cuántica
La criptografía "resistente a la computación cuántica", "segura frente a la computación cuántica" y "poscuántica" son términos utilizados para describir algoritmos criptográficos que se consideran resistentes a ataques criptoanalíticos de ordenadores tanto clásicos como cuánticos. Las claves oct-HSM de 256 bits utilizadas con los algoritmos AES ofrecidos por Managed HSM son resistentes a los ataques cuánticos. Para obtener más información, consulte Preguntas más frecuentes sobre el conjunto de algoritmos de seguridad nacional comercial 2.0 y computación cuántica.
Atestación de clave
El HSM administrado puede dar fe de que una clave se generó y reside en el interior de un HSM que opera Microsoft. Las claves asimétricas reciben atestación de clave pública y privada; Las claves simétricas (oct-HSM) solo reciben atestación de clave privada. Para más información, consulte Validación de claves HSM administradas con atestación de claves.
Escenarios de uso
| Cuándo se deben usar | Examples |
|---|---|
| Azure cifrado de datos del lado servidor con claves administradas por el cliente | Cifrado del lado servidor mediante claves administradas por el cliente en Azure Key Vault |
| Cifrado de datos del cliente | Cifrado del lado cliente con Azure Key Vault |
| TLS sin clave | Biblioteca de descarga de TLS de HSM administrado |