Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure ofrece varias soluciones para el almacenamiento y la administración de claves criptográficas en la nube: Azure Key Vault (ofertas estándar y premium), HSM administrado de Azure, Azure Cloud HSM, Azure Dedicated HSM y Azure Payment HSM. Puede ser abrumador que los clientes decidan qué solución de administración de claves es adecuada para ellos. Este artículo ayuda a los clientes a navegar por este proceso de toma de decisiones mediante la presentación de la gama de soluciones en función de tres consideraciones: escenarios, requisitos y sector.
Para restringir una solución de administración de claves, siga el diagrama de flujo en función de los requisitos generales comunes y los escenarios de administración de claves. Como alternativa, use la tabla en función de los requisitos específicos del cliente que le siguen. Si proporciona varios productos como soluciones, o si desea asegurarse de elegir el producto adecuado, use una combinación del diagrama de flujo y la tabla para tomar una decisión final. Si tiene curiosidad por lo que usan otros clientes del mismo sector, lea la tabla de soluciones comunes de administración de claves por segmento del sector. Para obtener más información sobre una solución específica, siga los vínculos al final del documento.
Elección de una solución de administración de claves por escenario
En el gráfico siguiente se describen los requisitos comunes, los escenarios de casos de uso y la solución de administración de claves de Azure recomendada.
En el gráfico se hace referencia a estos requisitos comunes:
- FIPS-140 es un estándar del gobierno de EE. UU. con diferentes niveles de requisitos de seguridad. Para obtener más información, consulte Estándar federal de procesamiento de información (FIPS) 140.
- La soberanía de claves se da cuando la organización del cliente tiene el control total y exclusivo de sus claves, incluido el control sobre qué usuarios y servicios pueden acceder a las claves y las directivas de administración de claves.
- El inquilino único hace referencia a una sola instancia dedicada de una aplicación implementada para cada cliente, en lugar de a una instancia compartida entre varios clientes. La necesidad de productos de inquilino único suele ser un requisito de cumplimiento interno en los sectores de servicios financieros.
También hace referencia a los siguientes casos de uso de administración de claves:
- Cifrado en reposo, que se habilita normalmente para los modelos IaaS, PaaS y SaaS de Azure. El cifrado en reposo lo usan aplicaciones como Microsoft 365, Microsoft Purview Information Protection, servicios de plataforma en los que se usa la nube para el almacenamiento, el análisis y la funcionalidad de Service Bus, y servicios de infraestructura donde los sistemas operativos y las aplicaciones se hospedan e implementan en la nube. Las claves administradas por el cliente para el cifrado en reposo se usan con Azure Storage y Microsoft Entra. Para mayor seguridad, las claves deben ser claves RSA de 3k o 4k respaldadas por HSM. Para obtener más información sobre el cifrado en reposo, consulte Cifrado en reposo de datos de Azure.
- La descarga SSL/TLS se admite en HSM administrado de Azure, Azure Cloud HSM y Azure Dedicated HSM. Los clientes han mejorado la alta disponibilidad, la seguridad y el mejor punto de precio en Azure Managed HSM para F5 y Nginx.
- Lift and shift hacen referencia a escenarios en los que una aplicación PKCS11 local se migra a Azure Virtual Machines y ejecuta software como Oracle TDE en Azure Virtual Machines. Azure Payment HSM admite la migración mediante lift and shift que requiere el procesamiento del PIN de pago. Todos los demás escenarios son compatibles con Azure Cloud HSM y Azure Dedicated HSM. Las API y bibliotecas heredadas, como PKCS11, JCA/JCE, y CNG/KSP solo son compatibles con Azure Cloud HSM y Azure Dedicated HSM.
- El procesamiento de los PIN de pago comprenden la autorización de pagos con tarjeta y móviles y la autenticación 3D-Secure; la generación, administración y validación de PIN; la emisión de credenciales de pago para tarjetas, dispositivos ponibles y dispositivos conectados; la protección de claves y datos de autenticación; y la protección de datos confidenciales para el cifrado de punto a punto, la tokenización de seguridad y la tokenización de pago de EMV. También se incluyen las certificaciones, como PCI DSS, PCI 3DS y PCI PIN. Solo son compatibles con HSM de pago de Azure.
El resultado del diagrama de flujo le sirve de punto de inicial para determinar qué solución se adapta mejor a sus necesidades.
Comparación de otros requisitos del cliente
Azure proporciona varias soluciones de administración de claves que permiten a los clientes elegir un producto en función tanto de los requisitos de alto nivel como de las responsabilidades de administración. Existe un espectro de responsabilidades de administración que van desde Azure Key Vault y Azure Managed HSM, con menor responsabilidad por parte del cliente, hasta Azure Dedicated HSM y Azure Payment HSM, con mayor responsabilidad por parte del cliente.
En la tabla siguiente se detalla esta concesión de responsabilidades de administración entre el cliente y Microsoft así como otros requisitos.
Microsoft administra el aprovisionamiento y el hospedaje en todas las soluciones. La generación y administración de claves, la concesión de roles y permisos, y la supervisión y auditoría son responsabilidad del cliente en todas las soluciones.
Use la tabla para comparar todas las soluciones en paralelo. Comience de arriba abajo, respondiendo a cada una de las preguntas que se encuentran en la columna de la izquierda para poder elegir la solución que satisfaga todas sus necesidades, incluidas las de administración y costes.
| AKV Estándar | AKV Premium | HSM de Azure administrado. | Azure Dedicated HSM | Azure Cloud HSM | Azure Payment HSM | |
|---|---|---|---|---|---|---|
| ¿Qué nivel de cumplimiento necesita? | FIPS 140-2 Nivel 1 | FIPS 140-2 nivel 3, PCI DSS, PCI 3DS | FIPS 140-2 nivel 3, PCI DSS, PCI 3DS | FIPS 140-2 nivel 3, HIPAA, PCI DSS, PCI 3DS, eIDAS CC EAL4+, GSMA | FIPS 140-3 nivel 3, HIPAA, PCI DSS, PCI 3DS, eIDAS | FIPS 140-2 nivel 3, PCI HSM v3, PCI PTS HSM v3, PCI DSS, PCI 3DS, PCI PIN |
| ¿Necesita la soberanía de claves? | No | No | Sí | Sí | Sí | Sí |
| ¿Qué tipo de inquilino quiere? | Multiinquilino | Multiinquilino | Un solo inquilino | Un solo inquilino | Un solo inquilino | Un solo inquilino |
| ¿Cuáles son los casos de uso? | Cifrado en reposo, CMK, personalizado | Cifrado en reposo, CMK, personalizado | Cifrado en reposo, descarga TLS, CMK, personalizado | PKCS11, descarga TLS, firma de documentos o códigos, personalizado | PKCS11, descarga TLS, firma de documentos o códigos, personalizado | Procesos de PIN de pago, personalizados |
| ¿Quiere la protección de hardware de HSM? | No | Sí | Sí | Sí | Sí | Sí |
| ¿Qué presupuesto tiene? | $ | $$ | $$$ | $$$$ | $$$ | $$$$ |
| ¿Quién asumirá la responsabilidad de la aplicación de revisiones y el mantenimiento? | Microsoft | Microsoft | Microsoft | Cliente | Microsoft | Cliente |
| ¿Quién asumirá la responsabilidad del estado del servicio y la conmutación por error de hardware? | Microsoft | Microsoft | Compartido | Cliente | Compartido | Cliente |
| ¿Qué tipo de objetos va a usar? | Claves asimétricas, secretos, certificados | Claves asimétricas, secretos, certificados | Claves Asimétricas/Simétricas | Claves asimétricas/simétricas, Certificados | Claves asimétricas/simétricas, Certificados | Clave maestra local |
| Control de la raíz de confianza | Microsoft | Microsoft | Cliente | Cliente | Cliente | Cliente |
Usos comunes de soluciones de administración de claves por segmentos del sector
Esta es una lista de las soluciones de administración de claves que se usan habitualmente en función del sector.
| Sector | Solución de Azure recomendada | Consideraciones sobre los servicios recomendados |
|---|---|---|
| Soy una empresa o una organización con estrictos requisitos de seguridad y cumplimiento (por ejemplo: banca, gobierno, sectores altamente regulados). | Azure Managed HSM, Azure Cloud HSM | Azure Managed HSM proporciona el cumplimiento de FIPS 140-2 nivel 3 y es una solución compatible con PCI para comercio electrónico. Admite el cifrado para PCI DSS 4.0. Ofrece claves respaldadas por HSM y proporciona a los clientes la soberanía de claves y el inquilino único. Azure Cloud HSM proporciona compatibilidad con FIPS 140-3 nivel 3, propiedad del cliente de clústeres de HSM y compatibilidad con PKCS#11 y otras API estándar para operaciones criptográficas. |
| Soy un comerciante de comercio electrónico directo al consumidor que necesita almacenar, procesar y transmitir las tarjetas de crédito de mis clientes a mi procesador o puerta de enlace de pagos externos y buscar una solución compatible con PCI. | HSM de Azure administrado. | Azure Managed HSM proporciona el cumplimiento de FIPS 140-2 nivel 3 y es una solución compatible con PCI para comercio electrónico. Admite el cifrado para PCI DSS 4.0. Ofrece claves respaldadas por HSM y proporciona a los clientes la soberanía de claves y el inquilino único. |
| Soy un proveedor de servicios para servicios financieros, un emisor, un adquiriente de tarjetas, una red de tarjetas, una puerta de enlace de pago/PSP o un proveedor de soluciones 3DS que busca un único servicio de inquilino que pueda cumplir con PCI y varios marcos de cumplimiento importantes. | Azure Payment HSM | Azure Payment HSM proporciona el cumplimiento de FIPS 140-2 nivel 3, PCI HSM v3, PCI DSS, PCI 3DS y PCI PIN. Proporciona soberanía de claves e inquilino único, requisitos comunes de cumplimiento interno en torno al procesamiento de pagos. Azure Payment HSM proporciona plena compatibilidad con las transacciones y el procesamiento PIN de pagos. |
| Cliente de empresa emergente en fase inicial que quiere crear un prototipo de una aplicación nativa en la nube. | Azure Key Vault Estándar | Azure Key Vault Estándar proporciona claves respaldadas por software a un precio económico. |
| Cliente de empresa emergente que quiere producir una aplicación nativa en la nube. | Azure Key Vault Premium y Azure Managed HSM | Tanto Azure Key Vault Premium como Azure Managed HSM proporcionan claves con respaldo de HSM* y son las mejores soluciones para crear aplicaciones nativas en la nube. |
| Cliente de IaaS que quiere mover su aplicación para usar Azure VM/HSM. | Azure Dedicated HSM, Azure Cloud HSM | Azure Dedicated HSM y Azure Cloud HSM admiten clientes de IaaS de SQL. Son las únicas soluciones que admiten aplicaciones nativas de PKCS11 y personalizadas que no son de nube. |
Más información sobre las soluciones de administración de claves de Azure
Azure Key Vault (Nivel Estándar): un servicio de gestión de claves en la nube multitenant validado FIPS 140-2 Nivel 1 que se puede usar para almacenar claves asimétricas, secretos y certificados. Las claves almacenadas Azure Key Vault están protegidas por software y se pueden usar para el cifrado en reposo y las aplicaciones personalizadas. Azure Key Vault Estándar proporciona una API moderna y una gama de implementaciones e integraciones regionales con los servicios de Azure. Para obtener más información, consulte Acerca de Azure Key Vault.
Azure Key Vault (nivel Premium): una oferta fiPS 140-2 de nivel 3 validada, compatible con PCI y HSM multiinquilino que se puede usar para almacenar claves asimétricas, secretos y certificados. Las claves se almacenan en un límite de hardware seguro*. Microsoft administra y opera el HSM subyacente, y las claves almacenadas en Azure Key Vault Premium se pueden usar para el cifrado en reposo y las aplicaciones personalizadas. Azure Key Vault Premium también proporciona una API moderna y una gama de implementaciones e integraciones regionales con los servicios de Azure. Si es un cliente de AKV Premium que busca un mayor cumplimiento de seguridad, soberanía de claves, tenencia exclusiva, o un mayor número de operaciones criptográficas por segundo, puede considerar en su lugar el HSM gestionado. Para obtener más información, consulte Acerca de Azure Key Vault.
Azure Managed HSM: una oferta de HSM compatible con PCI de un solo inquilino validada por FIPS 140-2 nivel 3 que proporciona a los clientes el control total de un HSM para cifrado en reposo, descarga SSL/TLS sin claves y aplicaciones personalizadas. Azure Managed HSM es la única solución de administración de claves que ofrece claves confidenciales. Los clientes reciben un grupo de tres particiones de HSM, que actúan conjuntamente como un dispositivo HSM lógico y de alta disponibilidad, delante de un servicio que expone la funcionalidad de cifrado a través de la API de Key Vault. Microsoft controla el aprovisionamiento, la aplicación de revisiones, el mantenimiento y la conmutación por error de hardware de los HSM, pero no tiene acceso a las propias claves, porque el servicio se ejecuta dentro de la infraestructura de proceso confidencial de Azure. Azure Managed HSM se integra con los servicios de Azure SQL, Azure Storage y los servicios de PaaS de Azure Information Protection y ofrece compatibilidad con TLS sin claves con F5 y Nginx. Para más información, consulte ¿Qué es HSM administrado de Azure Key Vault?.
Azure Dedicated HSM: una oferta de HSM sin sistema operativo de inquilino único compatible con PCI validada por FIPS 140-2 nivel 3 que permite a los clientes alquilar un dispositivo HSM de uso general que reside en los centros de datos de Microsoft. El cliente tiene la propiedad completa sobre el dispositivo HSM y es responsable de aplicar revisiones y actualizar el firmware cuando sea necesario. Microsoft no tiene permisos en el dispositivo ni acceso al material clave, y Azure Dedicated HSM no está integrado con ninguna oferta de PaaS de Azure. Los clientes pueden interactuar con el HSM mediante las API PKCS#11, JCE/JCA y KSP/CNG. Esta oferta es más útil para cargas de trabajo heredadas de migración mediante lift-and-shift, PKI, descarga SSL y TLS sin clave (las integraciones admitidas incluyen F5, Nginx, Apache, Palo Alto, IBM GW, etc.), aplicaciones OpenSSL, TDE de Oracle e IaaS de TDE de Azure SQL. Para más información, consulte ¿Qué es Azure Dedicated HSM?.
Azure Cloud HSM: una oferta de HSM validada por FIPS 140-3 de nivel 3 que proporciona a los clientes control total sobre un HSM para PKCS#11, descarga de procesamiento SSL/TLS, protección de claves privadas de autoridad de certificación, cifrado de datos transparente, incluida la firma de documentos y códigos, así como aplicaciones personalizadas. El cliente tiene control administrativo total de su clúster de HSM. Aunque los clientes poseen la implementación y la inicialización de su HSM, Microsoft controla el aprovisionamiento de servicios y el hospedaje del HSM. Azure Cloud HSM admite todos los casos de uso de Azure Dedicated HSM existentes, como el uso de cargas de trabajo de migración mediante lift-and-shift, PKI, descarga de SSL y TLS sin claves, aplicaciones OpenSSL, Oracle TDE e IaaS de TDE de Azure SQL. Azure Cloud HSM no está integrado con ninguna oferta de PaaS de Azure.
Azure Payment HSM: una oferta de HSM sin sistema operativo de inquilino único validado por FIPS 140-2 de nivel 3 y PCI HSM v3 que permite a los clientes dar concesión a un dispositivo HSM de pago en centros de datos de Microsoft para operaciones de pago, como el procesamiento PIN de pagos, la emisión de credenciales de pago, la protección de claves y datos de autenticación y la protección de datos confidenciales. El servicio es compatible con PCI DSS, PCI 3DS y PCI PIN. Azure Payment HSM ofrece HSM de un solo inquilino para que los clientes tengan un control administrativo completo y acceso exclusivo al HSM. Una vez que el HSM se asigna a un cliente, Microsoft no tiene acceso a los datos del cliente. Asimismo, cuando el HSM deja de ser necesario, los datos del cliente se posicionan a cero y se borran en cuanto se libera el HSM para garantizar el mantenimiento de la privacidad y la seguridad. Para más información, consulte ¿Qué es Azure Payment HSM?.
Nota
* Azure Key Vault Premium permite la creación tanto de claves protegidas por software como de claves protegidas por HSM. Si usa Azure Key Vault Premium, compruebe que la clave creada está protegida por HSM.