Выбор правильного решения для управления ключами
Azure предлагает несколько решений для хранения криптографических ключей и управления ими в облаке: Azure Key Vault (стандартные и премиум-предложения), Управляемого HSM Azure, выделенного HSM Azure и HSM для оплаты Azure. Это может быть подавляющим для клиентов решение о том, какое решение для управления ключами правильно для них. Этот документ направлен на то, чтобы помочь клиентам перемещаться по этому процессу принятия решений, предоставляя диапазон решений на основе трех различных аспектов: сценариев, требований и отрасли.
Чтобы начать сузить решение для управления ключами, следуйте блок-схеме на основе распространенных требований высокого уровня и сценариев управления ключами. Кроме того, используйте таблицу на основе конкретных требований клиента, которые непосредственно следуют за ней. Если вы предоставляете несколько продуктов в качестве решений, используйте сочетание блок-схемы и таблицы, чтобы помочь в принятии окончательного решения. Если интересно о том, что используют другие клиенты в той же отрасли, ознакомьтесь с таблицей общих решений по управлению ключами по сегментам отрасли. Чтобы узнать больше о конкретном решении, используйте ссылки в конце документа.
Выбор решения по управлению ключами по сценарию
На следующей диаграмме описаны распространенные требования и сценарии использования и рекомендуемое решение для управления ключами Azure.
Диаграмма относится к следующим общим требованиям:
- FIPS-140 — это стандарт правительства США с различными уровнями требований к безопасности. Дополнительные сведения см. в статье "Федеральный стандарт обработки информации" (FIPS) 140.
- Основной суверенитет заключается в том, что организация клиента имеет полный и эксклюзивный контроль над ключами, включая контроль над тем, какие пользователи и службы могут получить доступ к ключам и политикам управления ключами.
- Единый клиент относится к одному выделенному экземпляру приложения, развернутого для каждого клиента, а не к общему экземпляру среди нескольких клиентов. Потребность в продуктах одного клиента часто встречается как внутреннее требование соответствия в отраслях финансовых услуг.
Он также относится к этим различным вариантам использования ключей:
- Шифрование неактивных данных обычно включается для моделей Azure IaaS, PaaS и SaaS. Такие приложения, как Microsoft 365; Защита информации Microsoft Purview; службы платформы, в которых облако используется для хранения, аналитики и функциональных возможностей служебной шины; и служб инфраструктуры, в которых операционные системы и приложения размещаются и развертываются в неактивном шифровании для использования облака. Ключи, управляемые клиентом для шифрования неактивных данных, используются с служба хранилища Azure и идентификатором Microsoft Entra. Для обеспечения максимальной безопасности ключи должны быть поддерживаемыми HSM, 3k или 4k ключами RSA. Дополнительные сведения о неактивных шифрованиях см. в разделе "Шифрование данных Azure" в неактивных данных.
- Разгрузка SSL/TLS поддерживается в управляемом HSM Azure и выделенном HSM Azure. Клиенты улучшили высокий уровень доступности, безопасность и лучшую ценовую точку в Управляемом HSM Azure для F5 и Nginx.
- Отмена и смена относятся к сценариям, в которых локальное приложение PKCS11 переносится в Azure Виртуальные машины и выполняет программное обеспечение, например Oracle TDE в Azure Виртуальные машины. Отмена и смена, требующая обработки ПИН-кода оплаты, поддерживается HSM для оплаты Azure. Все остальные сценарии поддерживаются выделенным HSM Azure. Устаревшие API и библиотеки, такие как PKCS11, JCA/JCE и CNG/KSP, поддерживаются только выделенным HSM Azure.
- Обработка ПИН-кода оплаты включает в себя разрешение авторизации карты и мобильной оплаты и 3D-Secure аутентификации; Создание ПИН-кода, управление и проверка; учетные данные оплаты, выдаваемые для карт, носимых устройств и подключенных устройств; защита ключей и данных проверки подлинности; и защита конфиденциальных данных для шифрования точек, токенизации маркеров безопасности и токенизации платежей EMV. Сюда также входят сертификаты, такие как PCI DSS, PCI 3DS и ПИН-код PCI. Они поддерживаются HSM для оплаты Azure.
Результат блок-схемы — это отправная точка для определения решения, которое лучше всего соответствует вашим потребностям.
Сравнение других требований клиентов
Azure предоставляет несколько решений по управлению ключами, чтобы позволить клиентам выбирать продукт на основе как высоких требований, так и обязанностей по управлению. Существует ряд обязанностей по управлению, начиная от Azure Key Vault и управляемого устройства HSM Azure с меньшей ответственностью за клиента, а затем выделенный HSM и HSM для оплаты Azure.
Этот компромисс ответственности по управлению между клиентом и корпорацией Майкрософт и другими требованиями подробно описан в таблице ниже.
Подготовка и размещение управляются корпорацией Майкрософт во всех решениях. Создание ключей и управление, роли и разрешения, а также мониторинг и аудит являются ответственностью клиента во всех решениях.
Используйте таблицу для сравнения всех решений параллельно. Начните с верхней до нижней части, отвечая на каждый вопрос, найденный в левом столбце, чтобы помочь выбрать решение, соответствующее всем вашим потребностям, включая затраты на управление и затраты.
| AKV Standard | AKV Premium | Управляемый HSM Azure | Выделенный модуль HSM Azure | HSM для оплаты Azure | |
|---|---|---|---|---|---|
| Какой уровень соответствия вам нужен? | FIPS 140-2 уровня 1 | FIPS 140-2 уровня 3, PCI DSS, PCI 3DS** | FIPS 140-2 уровня 3, PCI DSS, PCI 3DS | FIPS 140-2 уровня 3, HIPPA, PCI DSS, PCI 3DS, eIDAS CC EAL4+, GSMA | FIPS 140-2 уровня 3, PCI PTS HSM версии 3, PCI DSS, PCI 3DS, PCI PIN |
| Вам нужен ключевой суверенитет? | No | No | Да | Да | Да |
| Какой вид аренды вы ищете? | Мультитенантные | Мультитенантные | Один клиент | Один клиент | Один клиент |
| Каковы варианты использования? | Шифрование неактивных данных, CMK, custom | Шифрование неактивных данных, CMK, custom | Шифрование неактивных данных, разгрузка TLS, CMK, настраиваемая | PKCS11, разгрузка TLS, подписывание кода и документа, настраиваемое | Обработка ПИН-кода оплаты, настраиваемая |
| Требуется ли защита оборудования HSM? | No | Да | Да | Да | Да |
| Что такое ваш бюджет? | $ | $$ | $$$ | $$$$ | $$$$ |
| Кто несет ответственность за исправление и обслуживание? | Microsoft | Microsoft | Microsoft | Клиент | Клиент |
| Кто несет ответственность за работоспособности служб и отработку отказа оборудования? | Microsoft | Microsoft | Совмещаемая блокировка | Клиент | Клиент |
| Какие объекты вы используете? | Асимметричные ключи, секреты, сертификаты | Асимметричные ключи, секреты, сертификаты | Асимметричные или симметричные ключи | Асимметричные/симметричные ключи, Certs | Локальный первичный ключ |
| Корневой элемент управления доверием | Microsoft | Microsoft | Клиент | Клиент | Клиент |
Общее решение по управлению ключами, которое используется отраслевыми сегментами
Ниже приведен список ключевых решений по управлению, которые мы часто видим, используются на основе отрасли.
| Промышленность | Предлагаемое решение Azure | Рекомендации по предлагаемым решениям |
|---|---|---|
| Я предприятие или организация с строгими требованиями к безопасности и соответствию (например, банковским, государственным, строго регулируемым отраслям). Я прямой к потребителю торговец электронной коммерции, который должен хранить, обрабатывать и передавать кредитные карты моих клиентов во внешний обработчик платежей или шлюз и ищет соответствующее решение PCI. |
Управляемый HSM Azure | Управляемый модуль HSM Azure предоставляет соответствие FIPS 140-2 уровня 3, и это решение, соответствующее стандарту PCI для электронной коммерции. Он поддерживает шифрование для PCI DSS 4.0. Он предоставляет ключи с поддержкой HSM и предоставляет клиентам ключи суверенитета и единого клиента. |
| Я являюсь поставщиком услуг для финансовых услуг, издателем, владельцем карт, сетью карт, шлюзом платежей или поставщиком решений 3DS, который может соответствовать PCI и нескольким основным платформам соответствия требованиям. | HSM для оплаты Azure | Azure Payment HSM предоставляет FIPS 140-2 уровня 3, PCI HSM версии 3, PCI DSS, PCI 3DS и соответствие ПИН-кода PCI. Он обеспечивает ключевой суверенитет и единый клиент, общие внутренние требования к соответствию для обработки платежей. Azure Payment HSM обеспечивает полную поддержку обработки транзакций и ПИН-кода. |
| Я являюсь клиентом начального запуска, который ищет прототип облачного приложения. | Azure Key Vault уровня "Стандартный" | Azure Key Vault Standard предоставляет ключи с поддержкой программного обеспечения по цене экономии. |
| Я запускающий клиент, желающий создать облачное приложение. | Azure Key Vault Premium, Управляемый HSM Azure | Как Azure Key Vault Premium, так и Управляемый HSM Azure предоставляют ключи с поддержкой HSM* и являются лучшими решениями для создания облачных собственных приложений. |
| Я клиент IaaS, желающий переместить приложение для использования виртуальных машин Azure или HSM. | Выделенное устройство HSM Azure | Выделенный HSM Azure поддерживает клиентов IaaS SQL. Это единственное решение, которое поддерживает PKCS11 и пользовательские собственные приложения, отличные от облака. |
Дополнительные сведения о решениях по управлению ключами Azure
Azure Key Vault (стандартный уровень): служба управления многотенантными облачными ключами, которая может использоваться для хранения асимметричных и симметричных ключей, секретов и сертификатов с поддержкой FIPS 140-2 уровня 1. Ключи, хранящиеся в Azure Key Vault, защищены программным обеспечением и могут использоваться для шифрования неактивных данных и пользовательских приложений. Azure Key Vault Уровня "Стандартный" предоставляет современный API и широкий набор региональных развертываний и интеграции со службами Azure. Дополнительные сведения см. в статье Сведения об Azure Key Vault.
Azure Key Vault (премиум): проверенное мультитенантное предложение HSM уровня 3** FIPS 140-2* для хранения асимметричных и симметричных ключей, секретов и сертификатов. Ключи хранятся в защищенной аппаратной границе*. Корпорация Майкрософт использует базовый модуль HSM и управляет им, а ключи, хранящиеся в Azure Key Vault уровня "Премиум", можно использовать для шифрования неактивных данных и пользовательских приложений. Azure Key Vault Premium также предоставляет современный API и широкий набор региональных развертываний и интеграции со службами Azure. Если вы являетесь клиентом AKV Premium, который ищет ключевой суверенитет, единый клиент и /или более высокие операции шифрования в секунду, вы можете рассмотреть управляемый HSM вместо этого. Дополнительные сведения см. в статье Сведения об Azure Key Vault.
Управляемый модуль HSM Azure: проверено решение FIPS 140-2 уровня 3, совместимое с PCI, предложение HSM с одним клиентом, которое предоставляет клиентам полный контроль над HSM для шифрования неактивных данных, разгрузки SSL и TLS без ключей и пользовательских приложений. Управляемый модуль HSM Azure — это единственное решение для управления ключами, предлагающее конфиденциальные ключи. Клиенты получают пул из трех секций HSM ( вместе выступая в качестве одного логического, высокодоступного устройства HSM) перед службой, которая предоставляет функции шифрования через API Key Vault. Корпорация Майкрософт обрабатывает подготовку, исправление, обслуживание и отработку отказа оборудования виртуальных машин, но не имеет доступа к ключам, так как служба выполняется в конфиденциальной вычислительной инфраструктуре Azure. Управляемый HSM Azure интегрирован со службами Sql Azure, служба хранилища Azure и Azure Information Protection PaaS и предлагает поддержку tls без ключей с F5 и Nginx. Дополнительные сведения см. в статье Общие сведения об Управляемом модуле HSM Azure Key Vault.
Выделенный модуль HSM Azure: fiPS 140-2 уровня 3 проверено предложение HSM с одним клиентом без операционной системы, которое позволяет клиентам арендуть устройство HSM общего назначения, которое находится в центрах обработки данных Майкрософт. Клиент имеет полное владение устройством HSM и отвечает за исправление и обновление встроенного ПО при необходимости. Корпорация Майкрософт не имеет разрешений на устройстве или доступе к ключевому материалу, а выделенный HSM Azure не интегрирован с любыми предложениями Azure PaaS. Клиенты могут взаимодействовать с HSM с использованием API PKCS#11, JCE/JCA и KSP/CNG. Это предложение наиболее полезно для устаревших рабочих нагрузок lift-and-shift, PKI, разгрузки SSL и TLS без ключа (поддерживаемые интеграции включают F5, Nginx, Apache, Palo Alto, IBM GW и пр.), приложений OpenSSL, Oracle TDE и Azure SQL TDE (IaaS). Дополнительные сведения см. в статье "Что такое выделенный HSM Azure"?
HSM для оплаты Azure: FIPS 140-2 уровня 3, PCI HSM версии 3, проверено решение HSM с одним клиентом, которое позволяет клиентам аренды устройства HSM оплаты в центрах обработки данных Майкрософт для операций с оплатой, обработки ПИН-кода, выдачи учетных данных оплаты, защиты ключей и данных проверки подлинности и защиты конфиденциальных данных. Служба соответствует PCI DSS, PCI 3DS и ПИН-коду PCI. Модуль HSM для платежей Azure предлагает однотенантные модули HSM для клиентов, которым требуется полный административный контроль и монопольный доступ к HSM. Как только HSM выделяется клиенту, корпорация Майкрософт теряет доступ к данным клиента. Аналогичным образом, когда HSM больше не требуется, данные клиента обнуляются и стираются, как только HSM освобождается, чтобы обеспечить полную конфиденциальность и безопасность. Дополнительные сведения см. в статье Сведения о Модуле HSM для платежей Azure.
Примечание.
* Azure Key Vault Premium позволяет создавать защищенные программным обеспечением ключи и ключи HSM. При использовании Azure Key Vault Premium убедитесь, что созданный ключ защищен HSM.
** За исключением регионов Великобритании, которые являются FIPS 140-2 уровня 2, PCI DSS.