Cara memilih solusi manajemen kunci yang tepat
Azure menawarkan beberapa solusi untuk penyimpanan dan manajemen kunci kriptografi di cloud: Azure Key Vault (penawaran standar dan premium), Azure Managed HSM, Azure Dedicated HSM, dan Azure Payment HSM. Mungkin luar biasa bagi pelanggan untuk memutuskan solusi manajemen kunci mana yang benar bagi mereka. Makalah ini bertujuan untuk membantu pelanggan menavigasi proses pengambilan keputusan ini dengan menyajikan berbagai solusi berdasarkan tiga pertimbangan berbeda: skenario, persyaratan, dan industri.
Untuk mulai mempersempit solusi manajemen kunci, ikuti diagram alur berdasarkan persyaratan tingkat tinggi umum dan skenario manajemen kunci. Atau, gunakan tabel berdasarkan persyaratan pelanggan tertentu yang langsung mengikutinya. Jika menyediakan beberapa produk sebagai solusi, gunakan kombinasi diagram alur dan tabel untuk membantu membuat keputusan akhir. Jika ingin tahu tentang apa yang digunakan pelanggan lain di industri yang sama, baca tabel solusi manajemen kunci umum berdasarkan segmen industri. Untuk mempelajari selengkapnya tentang solusi tertentu, gunakan tautan di akhir dokumen.
Pilih solusi manajemen kunci berdasarkan skenario
Bagan berikut menjelaskan persyaratan umum dan skenario kasus penggunaan dan solusi manajemen kunci Azure yang direkomendasikan.
Bagan mengacu pada persyaratan umum ini:
- FIPS-140 adalah standar pemerintah AS dengan tingkat persyaratan keamanan yang berbeda. Untuk informasi selengkapnya, lihat Federal Information Processing Standard (FIPS) 140.
- Kedaulatan utama adalah ketika organisasi pelanggan memiliki kontrol penuh dan eksklusif atas kunci mereka, termasuk kontrol atas pengguna dan layanan apa yang dapat mengakses kunci dan kebijakan manajemen kunci.
- Penyewaan tunggal mengacu pada satu instans khusus aplikasi yang disebarkan untuk setiap pelanggan, bukan instans bersama di antara beberapa pelanggan. Kebutuhan akan produk penyewa tunggal sering ditemukan sebagai persyaratan kepatuhan internal dalam industri layanan keuangan.
Ini juga mengacu pada berbagai kasus penggunaan manajemen utama ini:
- Enkripsi saat tidak aktif biasanya diaktifkan untuk model IaaS, PaaS, dan SaaS Azure. Aplikasi seperti Microsoft 365; Perlindungan Informasi Microsoft Purview; layanan platform tempat cloud digunakan untuk fungsionalitas penyimpanan, analitik, dan bus layanan; dan layanan infrastruktur di mana sistem operasi dan aplikasi dihosting dan disebarkan di enkripsi penggunaan cloud saat tidak aktif. Kunci yang dikelola pelanggan untuk enkripsi saat tidak aktif digunakan dengan Azure Storage dan ID Microsoft Entra. Untuk keamanan tertinggi, kunci harus didukung HSM, kunci RSA 3k atau 4k. Untuk informasi selengkapnya tentang enkripsi saat tidak aktif, lihat Azure Data Encryption at Rest.
- Offload SSL/TLS didukung di Azure Managed HSM dan Azure Dedicated HSM. Pelanggan telah meningkatkan ketersediaan tinggi, keamanan, dan titik harga terbaik di Azure Managed HSM untuk F5 dan Nginx.
- Angkat dan geser mengacu pada skenario di mana aplikasi PKCS11 lokal dimigrasikan ke Azure Virtual Machines dan menjalankan perangkat lunak seperti Oracle TDE di Azure Virtual Machines. Lift dan shift yang memerlukan pemrosesan PIN pembayaran didukung oleh Azure Payment HSM. Semua skenario lainnya didukung oleh Azure Dedicated HSM. API dan pustaka warisan seperti PKCS11, JCA/JCE, dan CNG/KSP hanya didukung oleh Azure Dedicated HSM.
- Pemrosesan PIN pembayaran termasuk mengizinkan otorisasi pembayaran kartu dan seluler dan autentikasi 3D-Secure; Pembuatan, manajemen, dan validasi PIN; penerbitan kredensial pembayaran untuk kartu, wearable, dan perangkat yang terhubung; mengamankan kunci dan data autentikasi; dan perlindungan data sensitif untuk enkripsi titik-ke-titik, tokenisasi keamanan, dan tokenisasi pembayaran EMV. Ini juga termasuk sertifikasi seperti PCI DSS, PCI 3DS, dan PCI PIN. Ini didukung oleh Azure Payment HSM.
Hasil diagram alur adalah titik awal untuk mengidentifikasi solusi yang paling sesuai dengan kebutuhan Anda.
Membandingkan persyaratan pelanggan lainnya
Azure menyediakan beberapa solusi manajemen utama untuk memungkinkan pelanggan memilih produk berdasarkan persyaratan tingkat tinggi dan tanggung jawab manajemen. Ada spektrum tanggung jawab manajemen mulai dari Azure Key Vault dan Azure Managed HSM yang memiliki tanggung jawab pelanggan yang lebih sedikit, diikuti oleh Azure Dedicated HSM dan Azure Payment HSM yang memiliki tanggung jawab pelanggan terbanyak.
Trade-off tanggung jawab manajemen antara pelanggan dan Microsoft dan persyaratan lainnya ini dirinci dalam tabel di bawah ini.
Provisi dan hosting dikelola oleh Microsoft di semua solusi. Pembuatan dan manajemen utama, peran dan izin yang diberikan, serta pemantauan dan audit adalah tanggung jawab pelanggan di semua solusi.
Gunakan tabel untuk membandingkan semua solusi secara berdampingan. Mulai dari atas ke bawah, menjawab setiap pertanyaan yang ditemukan di kolom paling kiri untuk membantu Anda memilih solusi yang memenuhi semua kebutuhan Anda, termasuk overhead manajemen dan biaya.
| Standar AKV | AKV Premium | Azure Managed HSM | Azure Dedicated HSM | Azure Payment HSM | |
|---|---|---|---|---|---|
| Tingkat kepatuhan apa yang Anda butuhkan? | FIPS 140-2 tingkat 1 | FIPS 140-2 level 3, PCI DSS, PCI 3DS** | FIPS 140-2 level 3, PCI DSS, PCI 3DS | FIPS 140-2 level 3, HIPPA, PCI DSS, PCI 3DS, eIDAS CC EAL4+, GSMA | FIPS 140-2 level 3, PCI PTS HSM v3, PCI DSS, PCI 3DS, PCI PIN |
| Apakah Anda membutuhkan kedaulatan kunci? | Tidak | No | Ya | Ya | Ya |
| Jenis penyewaan apa yang Anda cari? | Multi penyewa | Multi penyewa | Penyewa Tunggal | Penyewa Tunggal | Penyewa Tunggal |
| Apa kasus penggunaan Anda? | Enkripsi saat Istirahat, CMK, kustom | Enkripsi saat Istirahat, CMK, kustom | Enkripsi saat Istirahat, Offload TLS, CMK, kustom | PKCS11, Offload TLS, penandatanganan kode/dokumen, kustom | Pemrosesan PIN pembayaran, kustom |
| Apakah Anda ingin perlindungan perangkat keras HSM? | Tidak | Ya | Ya | Ya | Ya |
| Berapa anggaran Anda? | $ | $$ | $$$ | $$$$ | $$$$ |
| Siapa bertanggung jawab untuk patching dan pemeliharaan? | Microsoft | Microsoft | Microsoft | Pelanggan | Pelanggan |
| Siapa bertanggung jawab atas kesehatan layanan dan kegagalan perangkat keras? | Microsoft | Microsoft | Bersama | Pelanggan | Pelanggan |
| Jenis objek apa yang Anda gunakan? | Kunci Asimetris, Rahasia, Sertifikat | Kunci Asimetris, Rahasia, Sertifikat | Kunci asimetris/Simetris | Kunci asimetris/Simetris, Sertifikat | Kunci Primer Lokal |
| Akar dari kontrol kepercayaan | Microsoft | Microsoft | Pelanggan | Pelanggan | Pelanggan |
Solusi manajemen kunci umum digunakan oleh segmen industri
Berikut adalah daftar solusi manajemen utama yang biasanya kita lihat digunakan berdasarkan industri.
| Industri | Solusi Azure yang disarankan | Pertimbangan untuk solusi yang disarankan |
|---|---|---|
| Saya adalah perusahaan atau organisasi dengan persyaratan keamanan dan kepatuhan yang ketat (misalnya: perbankan, pemerintah, industri yang sangat diatur). Saya adalah pedagang e-niaga langsung ke konsumen yang perlu menyimpan, memproses, dan mengirimkan kartu kredit pelanggan saya ke prosesor/gateway pembayaran eksternal saya dan mencari solusi yang sesuai dengan PCI. |
HSM Terkelola Azure | Azure Managed HSM menyediakan kepatuhan FIPS 140-2 Level 3, dan merupakan solusi yang sesuai dengan PCI untuk e-commerce. Ini mendukung enkripsi untuk PCI DSS 4.0. Ini menyediakan kunci yang didukung HSM dan memberi pelanggan kedaulatan kunci dan penyewaan tunggal. |
| Saya adalah penyedia layanan untuk layanan keuangan, penerbit, acquirer kartu, jaringan kartu, gateway pembayaran/PSP, atau penyedia solusi 3DS yang mencari layanan penyewa tunggal yang dapat memenuhi PCI dan beberapa kerangka kerja kepatuhan utama. | Azure Payment HSM | Azure Payment HSM menyediakan kepatuhan FIPS 140-2 Level 3, PCI HSM v3, PCI DSS, PCI 3DS, dan PCI PIN. Ini memberikan kedaulatan utama dan penyewaan tunggal, persyaratan kepatuhan internal umum sekeliling pemrosesan pembayaran. Azure Payment HSM menyediakan transaksi pembayaran penuh dan dukungan pemrosesan PIN. |
| Saya adalah pelanggan startup tahap awal yang ingin membuat prototipe aplikasi cloud-native. | Standar Azure Key Vault | Azure Key Vault Standard menyediakan kunci yang didukung perangkat lunak dengan harga ekonomi. |
| Saya adalah pelanggan startup yang ingin menghasilkan aplikasi cloud-native. | Azure Key Vault Premium, Azure Managed HSM | Azure Key Vault Premium dan Azure Managed HSM menyediakan kunci yang didukung HSM* dan merupakan solusi terbaik untuk membangun aplikasi asli cloud. |
| Saya adalah pelanggan IaaS yang ingin memindahkan aplikasi saya untuk menggunakan Azure VM/HSM. | Azure Dedicated HSM | Azure Dedicated HSM mendukung pelanggan IaaS SQL. Ini adalah satu-satunya solusi yang mendukung PKCS11 dan aplikasi asli non-cloud kustom. |
Pelajari selengkapnya tentang solusi manajemen kunci Azure
Azure Key Vault (Tingkat Standar): Layanan manajemen kunci cloud multipenyewa tervalidasi FIPS 140-2 Level 1 yang dapat digunakan untuk menyimpan kunci, rahasia, dan sertifikat asimetris dan simetris. Kunci yang disimpan di Azure Key Vault dilindungi perangkat lunak dan dapat digunakan untuk enkripsi saat istirahat dan aplikasi khusus. Azure Key Vault Standard menyediakan API modern dan luasnya penyebaran dan integrasi regional dengan Azure Services. Untuk informasi selengkapnya, lihat Cadangan Azure Key Vault.
Azure Key Vault (Tingkat Premium): Penawaran HSM multipenyewa tervalidasi FIPS 140-2 Level 3** yang dapat digunakan untuk menyimpan kunci, rahasia, dan sertifikat asimetris dan simetris. Kunci disimpan dalam batas perangkat keras yang aman*. Microsoft mengelola dan mengoperasikan HSM yang mendasarinya, dan kunci yang disimpan di Azure Key Vault Premium dapat digunakan untuk enkripsi saat istirahat dan aplikasi khusus. Azure Key Vault Premium juga menyediakan API modern dan luasnya penyebaran dan integrasi regional dengan Azure Services. Jika Anda adalah pelanggan AKV Premium yang mencari kedaulatan kunci, penyewaan tunggal, dan/atau operasi kripto yang lebih tinggi per detik, Anda mungkin ingin mempertimbangkan HSM Terkelola sebagai gantinya. Untuk informasi selengkapnya, lihat Cadangan Azure Key Vault.
Azure Managed HSM: Penawaran HSM FIPS 140-2 Level 3 yang divalidasi, mematuhi PCI, penyewa tunggal yang memberi pelanggan kontrol penuh atas HSM untuk enkripsi saat tidak aktif, offload SSL/TLS Tanpa Kunci, dan aplikasi kustom. Azure Managed HSM adalah satu-satunya solusi manajemen utama yang menawarkan kunci rahasia. Pelanggan menerima kumpulan tiga partisi HSM—bersama-sama bertindak sebagai satu appliance HSM logis dan sangat tersedia—dihadapkan oleh layanan yang mengekspos fungsionalitas kripto melalui API Key Vault. Microsoft menangani penyediaan, patching, pemeliharaan, dan failover perangkat keras HSM, tetapi tidak memiliki akses ke kunci itu sendiri, karena layanan dijalankan dalam Infrastruktur Komputasi Rahasia Azure. Azure Managed HSM terintegrasi dengan layanan Azure SQL, Azure Storage, dan Azure Information Protection PaaS dan menawarkan dukungan untuk Keyless TLS dengan F5 dan Nginx. Untuk informasi selengkapnya, lihat Apa itu HSM Terkelola Azure Key Vault?
Azure Dedicated HSM: Penawaran HSM bare metal penyewa tunggal yang divalidasi FIPS 140-2 Level 3 yang memungkinkan pelanggan menyewa appliance HSM tujuan umum yang berada di pusat data Microsoft. Pelanggan memiliki kepemilikan lengkap atas perangkat HSM dan bertanggung jawab untuk menambal dan memperbarui firmware jika diperlukan. Microsoft tidak memiliki izin pada perangkat atau akses ke materi utama, dan Azure Dedicated HSM tidak terintegrasi dengan penawaran Azure PaaS apa pun. Pelanggan dapat berinteraksi dengan HSM menggunakan API PKCS # 11, JCE/JCA, dan KSP/CNG. Penawaran ini paling berguna untuk beban kerja lift-and-shift lama, PKI, SSL Offloading dan Keyless TLS (integrasi yang didukung termasuk F5, Nginx, Apache, Palo Alto, IBM GW dan banyak lagi), aplikasi OpenSSL, Oracle TDE, dan Azure SQL TDE IaaS. Untuk informasi selengkapnya, lihat Apa itu Azure Dedicated HSM?
Azure Payment HSM: FIPS 140-2 Level 3, PCI HSM v3, penawaran HSM bare metal penyewa tunggal tervalidasi yang memungkinkan pelanggan menyewa appliance HSM pembayaran di pusat data Microsoft untuk operasi pembayaran, termasuk pemrosesan PIN pembayaran, penerbitan kredensial pembayaran, mengamankan kunci dan data autentikasi, dan perlindungan data sensitif. Layanan ini sesuai dengan PCI DSS, PCI 3DS, dan PCI PIN. Azure Payment HSM menawarkan HSM penyewa tunggal bagi pelanggan untuk memiliki kontrol administratif lengkap dan akses eksklusif ke HSM. Setelah HSM dialokasikan ke pelanggan, Microsoft tidak memiliki akses ke data pelanggan. Demikian juga, ketika HSM tidak lagi diperlukan, data pelanggan di-zero dan dihapus segera setelah HSM dirilis, untuk memastikan privasi dan keamanan yang lengkap dipertahankan. Untuk informasi selengkapnya, lihat Tentang Azure Payment HSM.
Catatan
* Azure Key Vault Premium memungkinkan pembuatan kunci yang dilindungi perangkat lunak dan HSM. Jika menggunakan Azure Key Vault Premium, periksa untuk memastikan bahwa kunci yang dibuat dilindungi HSM.
** Kecuali Wilayah Inggris yang merupakan FIPS 140-2 level 2, PCI DSS.