Cómo elegir la solución de administración de claves adecuada
Azure ofrece varias soluciones para el almacenamiento y la administración de claves criptográficas en la nube: Azure Key Vault (ofertas estándar y premium), Azure Managed HSM, Azure Dedicated HSM y Azure Payment HSM. Puede resultar abrumador para los clientes decidir qué solución de administración de claves es la adecuada para ellos. Este documento tiene como objetivo ayudar a los clientes a recorrer este proceso de toma de decisiones mediante la presentación de la gama de soluciones en función de tres consideraciones distintas: escenarios, requisitos y sector.
Para empezar a determinar una solución de administración de claves, siga el diagrama de flujo basado en los requisitos comunes de alto nivel y los escenarios de administración de claves. También puede usar la tabla basada en los requisitos específicos del cliente que figura directamente a continuación. Si cualquiera de los dos proporciona varios productos como solución, use una combinación del diagrama de flujo y la tabla como ayuda para tomar una decisión final. Si siente curiosidad por saber qué usan otros clientes del mismo sector, lea la tabla de soluciones comunes de administración de claves por segmentos del sector. Para obtener más información sobre una solución específica, use los vínculos que se encuentran al final del documento.
Elección de una solución de administración de claves por escenario
En el gráfico siguiente se describen los requisitos comunes, los escenarios de casos de uso y la solución de administración de claves de Azure recomendada.
En el gráfico se hace referencia a estos requisitos comunes:
- FIPS-140 es un estándar del gobierno de EE. UU. con diferentes niveles de requisitos de seguridad. Para obtener más información, consulte Estándar federal de procesamiento de información (FIPS) 140.
- La soberanía de claves se da cuando la organización del cliente tiene el control total y exclusivo de sus claves, incluido el control sobre qué usuarios y servicios pueden acceder a las claves y las directivas de administración de claves.
- Inquilino único es una única instancia dedicada de una aplicación implementada para cada cliente, en lugar de una instancia compartida entre varios clientes. La necesidad de productos de inquilino único suele ser un requisito de cumplimiento interno en los sectores de servicios financieros.
También hace referencia a los siguientes casos de uso de administración de claves:
- Cifrado en reposo, que se habilita normalmente para los modelos IaaS, PaaS y SaaS de Azure. El cifrado en reposo lo usan aplicaciones como Microsoft 365, Microsoft Purview Information Protection, servicios de plataforma en los que se usa la nube para el almacenamiento, el análisis y la funcionalidad de Service Bus, y servicios de infraestructura donde los sistemas operativos y las aplicaciones se hospedan e implementan en la nube. Las claves administradas por el cliente para el cifrado en reposo se usan con Azure Storage y Microsoft Entra ID. Para mayor seguridad, las claves deben ser claves RSA de 3k o 4k respaldadas por HSM. Para obtener más información sobre el cifrado en reposo, consulte Cifrado en reposo de datos de Azure.
- La descarga de SSL/TLS se admite en Azure Managed HSM y Azure Dedicated HSM. Los clientes han mejorado la alta disponibilidad, la seguridad y el mejor punto de precio en Azure Managed HSM para F5 y Nginx.
- Lift and shift hacen referencia a escenarios en los que una aplicación PKCS11 local se migra a Azure Virtual Machines y ejecuta software como Oracle TDE en Azure Virtual Machines. Azure Payment HSM admite la migración mediante lift and shift que requiere el procesamiento del PIN de pago. Todos los demás escenarios son compatibles con Azure Dedicated HSM. Las API y bibliotecas heredadas, como PKCS11, JCA/JCE, y CNG/KSP solo son compatibles con Azure Dedicated HSM.
- El procesamiento de los PIN de pago comprenden la autorización de pagos con tarjeta y móviles y la autenticación 3D-Secure; la generación, administración y validación de PIN; la emisión de credenciales de pago para tarjetas, dispositivos ponibles y dispositivos conectados; la protección de claves y datos de autenticación; y la protección de datos confidenciales para el cifrado de punto a punto, la tokenización de seguridad y la tokenización de pago de EMV. También se incluyen las certificaciones, como PCI DSS, PCI 3DS y PCI PIN. Son compatibles con Azure Payment HSM.
El resultado del diagrama de flujo le sirve de punto de inicial para determinar qué solución se adapta mejor a sus necesidades.
Comparación de otros requisitos del cliente
Azure proporciona varias soluciones de administración de claves que permiten a los clientes elegir un producto en función tanto de los requisitos de alto nivel como de las responsabilidades de administración. Existe un espectro de responsabilidades de administración que van desde Azure Key Vault y Azure Managed HSM, con menor responsabilidad por parte del cliente, hasta Azure Dedicated HSM y Azure Payment HSM, con mayor responsabilidad por parte del cliente.
En la tabla siguiente se detalla esta concesión de responsabilidades de administración entre el cliente y Microsoft así como otros requisitos.
Microsoft administra el aprovisionamiento y el hospedaje en todas las soluciones. La generación y administración de claves, la concesión de roles y permisos, y la supervisión y auditoría son responsabilidad del cliente en todas las soluciones.
Use la tabla para comparar todas las soluciones en paralelo. Comience de arriba abajo, respondiendo a cada una de las preguntas que se encuentran en la columna de la izquierda para poder elegir la solución que satisfaga todas sus necesidades, incluidas las de administración y costes.
| AKV Estándar | AKV Premium | HSM de Azure administrado. | Azure Dedicated HSM | Azure Payment HSM | |
|---|---|---|---|---|---|
| ¿Qué nivel de cumplimiento necesita? | FIPS 140-2 Nivel 1 | FIPS 140-2 nivel 3, PCI DSS, PCI 3DS** | FIPS 140-2 nivel 3, PCI DSS, PCI 3DS | FIPS 140-2 nivel 3, HIPPA, PCI DSS, PCI 3DS, eIDAS CC EAL4+, GSMA | FIPS 140-2 nivel 3, PCI PTS HSM v3, PCI DSS, PCI 3DS, PCI PIN |
| ¿Necesita la soberanía de claves? | No | No | Sí | Sí | Sí |
| ¿Qué tipo de inquilino quiere? | Multiinquilino | Multiinquilino | Un solo inquilino | Un solo inquilino | Un solo inquilino |
| ¿Cuáles son los casos de uso? | Cifrado en reposo, CMK, personalizado | Cifrado en reposo, CMK, personalizado | Cifrado en reposo, descarga TLS, CMK, personalizado | PKCS11, descarga TLS, firma de documentos o códigos, personalizado | Procesamiento de PIN de pago, personalizado |
| ¿Quiere la protección de hardware de HSM? | No | Sí | Sí | Sí | Sí |
| ¿Qué presupuesto tiene? | $ | $$ | $$$ | $$$$ | $$$$ |
| ¿Quién asumirá la responsabilidad de la aplicación de revisiones y el mantenimiento? | Microsoft | Microsoft | Microsoft | Customer | Customer |
| ¿Quién asumirá la responsabilidad del estado del servicio y la conmutación por error de hardware? | Microsoft | Microsoft | Compartido | Customer | Customer |
| ¿Qué tipo de objetos va a usar? | Claves asimétricas, secretos, certificados | Claves asimétricas, secretos, certificados | Claves asimétricas o simétricas | Claves asimétricas o simétricas, certificados | Clave principal local |
| Control de la raíz de confianza | Microsoft | Microsoft | Customer | Customer | Customer |
Usos comunes de soluciones de administración de claves por segmentos del sector
Esta es una lista de las soluciones de administración de claves que se usan habitualmente en función del sector.
| Sector | Solución de Azure recomendada | Consideraciones sobre los servicios recomendados |
|---|---|---|
| Soy una empresa o una organización con estrictos requisitos de seguridad y cumplimiento (por ejemplo: banca, gobierno, sectores altamente regulados). Soy un comerciante de comercio electrónico directo al consumidor que necesita almacenar, procesar y transmitir las tarjetas de crédito de mis clientes a mi procesador o puerta de enlace de pagos externos y buscar una solución compatible con PCI. |
HSM de Azure administrado. | Azure Managed HSM proporciona el cumplimiento de FIPS 140-2 nivel 3 y es una solución compatible con PCI para comercio electrónico. Admite el cifrado para PCI DSS 4.0. Ofrece claves respaldadas por HSM y proporciona a los clientes la soberanía de claves y el inquilino único. |
| Soy un proveedor de servicios para servicios financieros, un emisor, un adquiriente de tarjetas, una red de tarjetas, una puerta de enlace de pago/PSP o un proveedor de soluciones 3DS que busca un único servicio de inquilino que pueda cumplir con PCI y varios marcos de cumplimiento importantes. | Azure Payment HSM | Azure Payment HSM proporciona el cumplimiento de FIPS 140-2 nivel 3, PCI HSM v3, PCI DSS, PCI 3DS y PCI PIN. Proporciona soberanía de claves e inquilino único, requisitos comunes de cumplimiento interno en torno al procesamiento de pagos. Azure Payment HSM proporciona plena compatibilidad con las transacciones y el procesamiento PIN de pagos. |
| Cliente de empresa emergente en fase inicial que quiere crear un prototipo de una aplicación nativa en la nube. | Azure Key Vault Estándar | Azure Key Vault Estándar proporciona claves respaldadas por software a un precio económico. |
| Cliente de empresa emergente que quiere producir una aplicación nativa en la nube. | Azure Key Vault Premium y Azure Managed HSM | Tanto Azure Key Vault Premium como Azure Managed HSM proporcionan claves con respaldo de HSM* y son las mejores soluciones para crear aplicaciones nativas en la nube. |
| Cliente de IaaS que quiere mover su aplicación para usar Azure VM/HSM. | Azure Dedicated HSM | Azure Dedicated HSM admite clientes de IaaS de SQL. Es la única solución que admite PKCS11 y aplicaciones no nativas de la nube personalizadas. |
Más información sobre las soluciones de administración de claves de Azure
Azure Key Vault (nivel Estándar): un servicio de administración de claves en la nube multiinquilino validado por FIPS 140-2 de nivel 1 que se puede usar para almacenar claves simétricas y asimétricas, secretos y certificados. Las claves almacenadas Azure Key Vault están protegidas por software y se pueden usar para el cifrado en reposo y las aplicaciones personalizadas. Azure Key Vault Estándar proporciona una API moderna y una gama de implementaciones e integraciones regionales con los servicios de Azure. Para obtener más información, consulte Acerca de Azure Key Vault.
Azure Key Vault (nivel Premium): una oferta de HSM multiinquilino validado por FIPS 140-2 de nivel 3** que se puede usar para almacenar claves simétricas y asimétricas, secretos y certificados. Las claves se almacenan en un límite de hardware seguro*. Microsoft administra y opera el HSM subyacente, y las claves almacenadas en Azure Key Vault Premium se pueden usar para el cifrado en reposo y las aplicaciones personalizadas. Azure Key Vault Premium también proporciona una API moderna y una gama de implementaciones e integraciones regionales con los servicios de Azure. Si es cliente de AKV Premium y busca soberanía de claves, inquilino único o más operaciones criptográficas por segundo, puede considerar la opción de HSM administrado en su lugar. Para obtener más información, consulte Acerca de Azure Key Vault.
Azure Managed HSM: una oferta de HSM compatible con PCI de un solo inquilino validada por FIPS 140-2 nivel 3 que proporciona a los clientes el control total de un HSM para cifrado en reposo, descarga SSL/TLS sin claves y aplicaciones personalizadas. Azure Managed HSM es la única solución de administración de claves que ofrece claves confidenciales. Los clientes reciben un grupo de tres particiones de HSM, que actúan conjuntamente como un dispositivo HSM lógico y de alta disponibilidad, delante de un servicio que expone la funcionalidad de cifrado a través de la API de Key Vault. Microsoft controla el aprovisionamiento, la aplicación de revisiones, el mantenimiento y la conmutación por error de hardware de los HSM, pero no tiene acceso a las propias claves, porque el servicio se ejecuta dentro de la infraestructura de proceso confidencial de Azure. Azure Managed HSM se integra con los servicios de Azure SQL, Azure Storage y los servicios de PaaS de Azure Information Protection y ofrece compatibilidad con TLS sin claves con F5 y Nginx. Para obtener más información, consulte ¿Qué es Azure Key Vault Managed HSM?
Azure Dedicated HSM: una oferta de HSM sin sistema operativo de inquilino único validada por FIPS 140-2 nivel 3 que permite a los clientes dar concesión a un dispositivo HSM de uso general que reside en centros de datos de Microsoft. El cliente tiene la propiedad completa sobre el dispositivo HSM y es responsable de aplicar revisiones y actualizar el firmware cuando sea necesario. Microsoft no tiene permisos en el dispositivo ni acceso al material clave, y Azure Dedicated HSM no está integrado con ninguna oferta de PaaS de Azure. Los clientes pueden interactuar con el HSM mediante las API PKCS#11, JCE/JCA y KSP/CNG. Esta oferta es más útil para cargas de trabajo heredadas de lift-and-shift, PKI, descarga SSL y TLS sin clave (las integraciones admitidas incluyen F5, Nginx, Apache, Palo Alto, IBM GW, etc.), aplicaciones OpenSSL, TDE de Oracle e IaaS de TDE de Azure SQL. Para obtener más información, consulte ¿Qué es Azure Dedicated HSM?
Azure Payment HSM: una oferta de HSM sin sistema operativo de inquilino único validado por FIPS 140-2 de nivel 3 y PCI HSM v3 que permite a los clientes dar concesión a un dispositivo HSM de pago en centros de datos de Microsoft para operaciones de pago, como el procesamiento PIN de pagos, la emisión de credenciales de pago, la protección de claves y datos de autenticación y la protección de datos confidenciales. El servicio es compatible con PCI DSS, PCI 3DS y PCI PIN. Azure Payment HSM ofrece HSM de un solo inquilino para que los clientes tengan un control administrativo completo y acceso exclusivo al HSM. Una vez que el HSM se asigna a un cliente, Microsoft no tiene acceso a los datos del cliente. Asimismo, cuando el HSM deja de ser necesario, los datos del cliente se posicionan a cero y se borran en cuanto se libera el HSM para garantizar el mantenimiento de la privacidad y la seguridad. Para obtener más información, consulte Acerca de Azure Payment HSM.
Nota
* Azure Key Vault Premium permite la creación tanto de claves protegidas por software como de claves protegidas por HSM. Si usa Azure Key Vault Premium, compruebe que la clave creada está protegida por HSM.
** Excepto las regiones del Reino Unido que son FIPS 140-2 nivel 2, PCI DSS.