Výběr správného řešení pro správu klíčů
Azure nabízí několik řešení pro kryptografické úložiště a správu klíčů v cloudu: Azure Key Vault (standardní a prémiové nabídky), Azure Managed HSM, Azure Dedicated HSM a Azure Payment HSM. Zákazníci můžou zahlcení rozhodnout, které řešení správy klíčů je pro ně správné. Cílem tohoto dokumentu je pomoct zákazníkům v tomto rozhodovacím procesu tím, že představí celou řadu řešení na základě tří různých aspektů: scénářů, požadavků a odvětví.
Pokud chcete začít zúžit řešení správy klíčů, postupujte podle vývojového diagramu na základě běžných požadavků na vysokou úroveň a scénářů správy klíčů. Případně můžete tabulku použít na základě konkrétních požadavků zákazníků, které ji přímo následuje. Pokud některý z těchto produktů poskytuje jako řešení více produktů, použijte kombinaci vývojového diagramu a tabulky, která vám pomůže s konečným rozhodnutím. Pokud vás zajímá, jaké další zákazníky ve stejném odvětví používají, přečtěte si tabulku běžných řešení správy klíčů podle odvětví. Pokud chcete získat další informace o konkrétním řešení, použijte odkazy na konci dokumentu.
Volba řešení správy klíčů podle scénáře
Následující graf popisuje běžné požadavky a scénáře použití a doporučené řešení správy klíčů Azure.
Graf odkazuje na tyto běžné požadavky:
- FIPS-140 je standard státní správy USA s různými úrovněmi požadavků na zabezpečení. Další informace naleznete v tématu Federal Information Processing Standard (FIPS) 140.
- Klíčovou suverenitou je, když má organizace zákazníka plnou a výhradní kontrolu nad klíči , včetně kontroly nad tím, k jakým uživatelům a službám mají přístup ke klíčům a zásadám správy klíčů.
- Jedna tenantská architektura označuje jednu vyhrazenou instanci aplikace nasazené pro každého zákazníka, nikoli sdílenou instanci mezi více zákazníky. Potřeba jednotlivých produktů tenantů se často vyskytuje jako interní požadavek na dodržování předpisů v odvětvích finančních služeb.
Týká se také těchto různých případů použití správy klíčů:
- Šifrování neaktivních uložených dat je obvykle povolené pro modely Azure IaaS, PaaS a SaaS. Aplikace, jako je Microsoft 365; Microsoft Purview Information Protection; služby platformy, ve kterých se cloud používá pro funkce úložiště, analýzy a služby Service Bus; a služby infrastruktury, ve kterých jsou operační systémy a aplikace hostované a nasazené v cloudu, používají šifrování neaktivních uložených dat. Klíče spravované zákazníkem pro šifrování neaktivních uložených dat se používají se službou Azure Storage a ID Microsoft Entra. Pro nejvyšší zabezpečení by klíče měly být založené na HSM, 3k nebo 4k RSA klíče. Další informace o šifrování neaktivních uložených dat najdete v tématu Azure Data Encryption v klidovém stavu.
- Přesměrování zpracování SSL/TLS se podporuje ve službě Azure Managed HSM a Azure Dedicated HSM. Zákazníci vylepšili vysokou dostupnost, zabezpečení a nejlepší cenový bod ve službě Azure Managed HSM pro F5 a Nginx.
- Metodou "lift and shift" se rozumí scénáře, ve kterých se místní aplikace PKCS11 migruje do služby Azure Virtual Machines a běží software, jako je TDE Oracle ve službě Azure Virtual Machines. HSM pro platby Azure podporuje metodu "lift and shift" vyžadující zpracování platebního kódu PIN. Všechny ostatní scénáře podporuje Azure Dedicated HSM. Starší rozhraní API a knihovny, jako jsou PKCS11, JCA/JCE a CNG/KSP, podporují pouze Azure Dedicated HSM.
- Zpracování platebního KÓDU PIN zahrnuje povolení autorizace karet a mobilních plateb a ověřování 3D-Secure; generování, správa a ověřování KÓDU PIN; platební přihlašovací údaje vydávající karty, wearable a připojená zařízení; zabezpečení klíčů a ověřovacích dat; a citlivá ochrana dat pro šifrování typu point-to-point, tokenizace zabezpečení a tokenizace plateb EMV. To zahrnuje také certifikace, jako jsou PCI DSS, PCI 3DS a PIN kód PCI. Tyto moduly podporují HSM pro platby v Azure.
Výsledek vývojového diagramu je výchozím bodem pro identifikaci řešení, které nejlépe odpovídá vašim potřebám.
Porovnání dalších požadavků zákazníků
Azure poskytuje několik řešení pro správu klíčů, která zákazníkům umožní zvolit produkt na základě požadavků vysoké úrovně i zodpovědností za správu. Existuje spektrum odpovědností za správu od Azure Key Vaultu a spravovaného HSM Azure, které mají menší odpovědnost zákazníků, následované moduly HSM Azure Dedicated HSM a HSM pro platby Azure s největší odpovědností zákazníků.
Tato kompromis mezi odpovědností za správu mezi zákazníkem a Microsoftem a dalšími požadavky je podrobně popsána v následující tabulce.
Zřizování a hostování spravuje Microsoft napříč všemi řešeními. Za generování a správu klíčů, udělování rolí a oprávnění a monitorování a auditování zodpovídá zákazník napříč všemi řešeními.
Pomocí tabulky můžete porovnat všechna řešení vedle sebe. Začněte shora dolů a odpovězte na každou otázku, kterou najdete v levém sloupci, abyste si mohli vybrat řešení, které vyhovuje všem vašim potřebám, včetně režie na správu a nákladů.
| AKV Standard | AKV Premium | Azure Managed HSM | Azure Dedicated HSM | HSM pro platby Azure | |
|---|---|---|---|---|---|
| Jakou úroveň dodržování předpisů potřebujete? | FIPS 140-2 úroveň 1 | FIPS 140-2 úroveň 3, PCI DSS, PCI 3DS** | FIPS 140-2 úroveň 3, PCI DSS, PCI 3DS | FIPS 140-2 úroveň 3, HIPPA, PCI DSS, PCI 3DS, eIDAS CC EAL4+, GSMA | FIPS 140-2 level 3, PCI PTS HSM v3, PCI DSS, PCI 3DS, PCI PIN |
| Potřebujete klíčovou suverenitu? | No | No | Ano | Ano | Yes |
| Jaký druh tenantů hledáte? | Více tenantů | Více tenantů | Jeden tenant | Jeden tenant | Jeden tenant |
| Jaké jsou vaše případy použití? | Šifrování neaktivních uložených dat, CMK, vlastní | Šifrování neaktivních uložených dat, CMK, vlastní | Šifrování neaktivních uložených dat, přesměrování zpracování TLS, CMK, vlastní | PKCS11, TLS Offload, code/document signing, custom | Zpracování platebního KÓDU PIN, vlastní |
| Chcete ochranu hardwaru HSM? | No | Ano | Ano | Ano | Yes |
| Jaký je váš rozpočet? | $ | $$ | $$$ | $$$$ | $$$$ |
| Kdo zodpovídá za opravy a údržbu? | Microsoft | Microsoft | Microsoft | Zákazník | Zákazník |
| Kdo přebírá odpovědnost za stav služeb a převzetí služeb při selhání hardwaru? | Microsoft | Microsoft | Shared | Zákazník | Zákazník |
| Jaký druh objektů používáte? | Asymetrické klíče, tajné kódy, certifikáty | Asymetrické klíče, tajné kódy, certifikáty | Asymetrické/symetrické klíče | Asymetrické/symetrické klíče, certifikáty | Místní primární klíč |
| Kořen ovládacího prvku důvěryhodnosti | Microsoft | Microsoft | Zákazník | Zákazník | Zákazník |
Běžné řešení správy klíčů používané segmenty odvětví
Tady je seznam řešení pro správu klíčů, která se běžně používají v závislosti na odvětví.
| Odvětví | Navrhované řešení Azure | Důležité informace o navrhovaných řešeních |
|---|---|---|
| Jsem podnik nebo organizace s přísnými požadavky na zabezpečení a dodržování předpisů (např. bankovnictví, státní správa, vysoce regulovaný průmysl). Jsem prodejce elektronického obchodování s přímým přístupem na spotřebitele, který potřebuje ukládat, zpracovávat a přenášet platební karty svých zákazníků do externího zpracovatele plateb nebo brány a hledám řešení kompatibilní s PCI. |
Azure Managed HSM | Azure Managed HSM poskytuje dodržování předpisů fiPS 140–2 level 3 a jedná se o řešení kompatibilní s PCI pro elektronické obchodování. Podporuje šifrování pro PCI DSS 4.0. Poskytuje klíče s podporou HSM a poskytuje zákazníkům klíčovou suverenitu a jednu tenantskou architekturu. |
| Jsem poskytovatelem služeb pro finanční služby, vystavitele, poskytovatele karet, síť karet, platební bránu/PSP nebo poskytovatele řešení 3DS, který hledá jednu službu tenanta, která může splňovat pcI a několik hlavních architektur dodržování předpisů. | HSM pro platby Azure | Modul HSM pro platby Azure poskytuje FIPS 140–2 level 3, PCI HSM v3, PCI DSS, PCI 3DS a PCI PIN. Poskytuje klíčovou suverenitu a jednu tenantskou architekturu, běžné požadavky na dodržování předpisů v oblasti zpracování plateb. Hsm plateb Azure poskytuje podporu úplné platební transakce a zpracování PIN kódu. |
| Jsem začínající zákazník, který hledá prototyp aplikace nativní pro cloud. | Azure Key Vault Standard | Azure Key Vault Standard poskytuje softwarové klíče s ekonomickou cenou. |
| Jsem začínající zákazník, který chce vytvořit aplikaci nativní pro cloud. | Azure Key Vault Premium, Azure Managed HSM | Azure Key Vault Premium i Azure Managed HSM poskytují klíče založené na HSM* a představují nejlepší řešení pro vytváření aplikací nativních pro cloud. |
| Jsem zákazník IaaS, který chce přesunout aplikaci tak, aby používala virtuální počítače Azure nebo HSM. | Rezervované HSM Azure | Azure Dedicated HSM podporuje zákazníky SQL IaaS. Jedná se o jediné řešení, které podporuje PKCS11 a vlastní aplikace nativní pro jiné než cloud. |
Další informace o řešeních pro správu klíčů Azure
Azure Key Vault (úroveň Standard): Služba pro správu víceklientských cloudových klíčů ověřená ve fiPS 140–2 úrovně 1, která se dá použít k ukládání asymetrických i symetrických klíčů, tajných klíčů a certifikátů. Klíče uložené ve službě Azure Key Vault jsou chráněné softwarem a dají se použít pro neaktivní uložené šifrování a vlastní aplikace. Azure Key Vault Standard poskytuje moderní rozhraní API a šířku regionálních nasazení a integrací se službami Azure. Další informace najdete v tématu o službě Azure Key Vault.
Azure Key Vault (úroveň Premium):< A FIPS 140-2 Level 3** Ověřená nabídka víceklientských HSM, která se dá použít k ukládání asymetrických i symetrických klíčů, tajných klíčů a certifikátů. Klíče jsou uloženy v zabezpečené hardwarové hranici*. Microsoft spravuje a provozuje základní HSM a klíče uložené ve službě Azure Key Vault Premium je možné použít pro šifrování neaktivních uložených a vlastních aplikací. Azure Key Vault Premium také poskytuje moderní rozhraní API a řadu regionálních nasazení a integrace se službami Azure. Pokud jste zákazník AKV Premium, který hledá klíčovou suverenitu, jednu tenantskou architekturu a/nebo vyšší kryptografické operace za sekundu, možná budete chtít zvážit spravované HSM. Další informace najdete v tématu o službě Azure Key Vault.
Spravovaný HSM Azure: Ověřená úroveň 140–2 ÚROVNĚ 3, kompatibilní s PCI, nabídka HSM s jedním tenantem, která zákazníkům poskytuje plnou kontrolu nad modulem HSM pro šifrování neaktivních uložených dat, přesměrováním zpracování SSL/TLS bez klíčů a vlastními aplikacemi. Azure Managed HSM je jediné řešení pro správu klíčů nabízející důvěrné klíče. Zákazníci obdrží fond tří oddílů HSM – společně fungujících jako jedno logické a vysoce dostupné zařízení HSM – před sebou služba, která zveřejňuje kryptografické funkce prostřednictvím rozhraní API služby Key Vault. Microsoft zpracovává zřizování, opravy, údržbu a převzetí služeb při selhání hardwaru modulů hardwarového zabezpečení, ale nemá přístup k samotným klíčům, protože služba se provádí v rámci důvěrné výpočetní infrastruktury Azure. Spravovaný HSM Azure je integrovaný se službami Azure SQL, Azure Storage a PaaS služby Azure Information Protection a nabízí podporu pro protokol TLS bez klíčů s F5 a Nginx. Další informace najdete v tématu Co je spravovaný HSM služby Azure Key Vault?
Azure Dedicated HSM: FiPS 140-2 Level 3 ověřil nabídku HSM s jedním tenantem, která zákazníkům umožňuje zapůjčení zařízení HSM pro obecné účely, které se nachází v datacentrech Microsoftu. Zákazník má úplné vlastnictví zařízení HSM a v případě potřeby zodpovídá za opravy a aktualizaci firmwaru. Microsoft nemá žádná oprávnění k zařízení ani k přístupu ke klíčovým materiálům a Azure Dedicated HSM není integrovaný s žádnými nabídkami Azure PaaS. Zákazníci můžou s modulem hardwarového zabezpečení komunikovat pomocí rozhraní PKCS#11, JCE/JCA a KSP/CNG API. Tato nabídka je nejužitečnější pro starší úlohy typu lift and shift, PKI, přesměrování zpracování SSL a bez klíčů (mezi podporované integrace patří F5, Nginx, Apache, Palo Alto, IBM GW a další), aplikace OpenSSL, TDE Oracle a Azure SQL TDE IaaS. Další informace najdete v tématu Co je Azure Dedicated HSM?
HSM pro platby Azure: FIPS 140–2 Level 3, PCI HSM v3, ověřená nabídka hsm s jedním tenantem, která zákazníkům umožňuje zapůjčení zařízení HSM plateb v datacentrech Microsoftu pro operace plateb, včetně zpracování platebních PIN kódů, vydávání platebních přihlašovacích údajů, zabezpečení klíčů a ověřovacích dat a ochrany citlivých dat. Služba je kompatibilní s PCI DSS, PCI 3DS a PIN kódem PCI. Modul hardwarového zabezpečení (HSM) Pro zákazníky nabízí moduly HSM s jedním tenantem, aby měli úplnou kontrolu správy a výhradní přístup k HSM. Jakmile je HSM přidělen zákazníkovi, Microsoft nemá přístup k zákaznickým datům. Podobně platí, že pokud už modul hardwarového zabezpečení není potřeba, zákaznická data se vynuluje a vymažou, jakmile se hsM uvolní, aby se zajistila úplná ochrana osobních údajů a zabezpečení. Další informace najdete v tématu o hsm platby Azure.
Poznámka:
* Azure Key Vault Premium umožňuje vytvářet softwarově chráněné klíče i klíče chráněné HSM. Pokud používáte Azure Key Vault Premium, ujistěte se, že je vytvořený klíč chráněný modulem HSM.
** Kromě oblastí UK, které jsou FIPS 140-2 úroveň 2, PCI DSS.