De juiste oplossing voor sleutelbeheer kiezen
Azure biedt meerdere oplossingen voor cryptografische sleutelopslag en -beheer in de cloud: Azure Key Vault (standard- en premium-aanbiedingen), Azure Managed HSM, Azure Dedicated HSM en Azure Payment HSM. Het kan overweldigend zijn voor klanten om te bepalen welke oplossing voor sleutelbeheer juist is voor hen. Dit document is bedoeld om klanten te helpen bij het navigeren in dit besluitvormingsproces door het scala aan oplossingen te presenteren op basis van drie verschillende overwegingen: scenario's, vereisten en industrie.
Als u een oplossing voor sleutelbeheer wilt verfijnen, volgt u het stroomdiagram op basis van algemene algemene vereisten en scenario's voor sleutelbeheer. U kunt ook de tabel gebruiken op basis van specifieke klantvereisten die deze rechtstreeks volgen. Als u meerdere producten als oplossingen levert, gebruikt u een combinatie van het stroomdiagram en de tabel om u te helpen bij het nemen van een definitieve beslissing. Als u nieuwsgierig bent naar wat andere klanten in dezelfde branche gebruiken, leest u de tabel met algemene oplossingen voor sleutelbeheer per branchesegment. Gebruik de koppelingen aan het einde van het document voor meer informatie over een specifieke oplossing.
Een oplossing voor sleutelbeheer kiezen per scenario
In de volgende grafiek worden algemene vereisten en use-casescenario's en de aanbevolen oplossing voor Azure-sleutelbeheer beschreven.
De grafiek verwijst naar de volgende algemene vereisten:
- FIPS-140 is een Amerikaanse overheidsstandaard met verschillende beveiligingsvereisten. Zie Federal Information Processing Standard (FIPS) 140 voor meer informatie.
- Sleutelsoevereine is wanneer de organisatie van de klant volledige en exclusieve controle heeft over hun sleutels, inclusief controle over welke gebruikers en services toegang hebben tot de sleutels en het beleid voor sleutelbeheer.
- Eén tenancy verwijst naar één toegewezen exemplaar van een toepassing die voor elke klant is geïmplementeerd, in plaats van een gedeeld exemplaar tussen meerdere klanten. De behoefte aan producten met één tenant wordt vaak gevonden als een interne nalevingsvereiste in de financiële dienstverlening.
Het verwijst ook naar deze verschillende use cases voor sleutelbeheer:
- Versleuteling-at-rest is doorgaans ingeschakeld voor Azure IaaS-, PaaS- en SaaS-modellen. Toepassingen zoals Microsoft 365; Microsoft Purview Informatiebeveiliging; platformservices waarin de cloud wordt gebruikt voor opslag-, analyse- en servicebusfunctionaliteit; en infrastructuurservices waarin besturingssystemen en toepassingen worden gehost en geïmplementeerd in de versleuteling in de cloud. Door de klant beheerde sleutels voor versleuteling-at-rest worden gebruikt met Azure Storage en Microsoft Entra-id. Voor de hoogste beveiliging moeten sleutels worden ondersteund met HSM, 3k- of 4k RSA-sleutels. Zie Azure Data Encryption at Rest voor meer informatie over versleuteling-at-rest.
- SSL/TLS Offload wordt ondersteund in Azure Managed HSM en Azure Dedicated HSM. Klanten hebben hoge beschikbaarheid, beveiliging en het beste prijspunt op Azure Managed HSM voor F5 en Nginx verbeterd.
- Lift-and-shift-scenario's waarin een ON-premises PKCS11-toepassing wordt gemigreerd naar Azure Virtual Machines en software zoals Oracle TDE in Azure Virtual Machines uitvoert. Lift- en shift-verwerking van betalingspincode wordt ondersteund door Azure Payment HSM. Alle andere scenario's worden ondersteund door Azure Dedicated HSM. Verouderde API's en bibliotheken, zoals PKCS11, JCA/JCE en CNG/KSP, worden alleen ondersteund door Azure Dedicated HSM.
- Verwerking van betalingspincode omvat het toestaan van kaart- en mobiele betalingsautorisatie en 3D-Secure-verificatie; Pincode genereren, beheren en valideren; betalingsreferenties uitgeven voor kaarten, draagbare apparaten en verbonden apparaten; sleutels en verificatiegegevens beveiligen; en gevoelige gegevensbescherming voor punt-naar-puntversleuteling, beveiligingstokenisatie en EMV-betalingstokenisatie. Dit omvat ook certificeringen zoals PCI DSS, PCI 3DS en PCI-pincode. Deze worden ondersteund door Azure Payment HSM.
Het resultaat van het stroomdiagram is een startpunt om de oplossing te identificeren die het beste aansluit bij uw behoeften.
Andere klantvereisten vergelijken
Azure biedt meerdere oplossingen voor sleutelbeheer waarmee klanten een product kunnen kiezen op basis van vereisten op hoog niveau en beheerverantwoordelijkheden. Er is een spectrum van beheerverantwoordelijkheden, variërend van Azure Key Vault en Azure Managed HSM met minder klantverantwoordelijkheid, gevolgd door Azure Dedicated HSM en Azure Payment HSM met de meeste klantverantwoordelijkheid.
Deze afweging van beheerverantwoordelijkheid tussen de klant en Microsoft en andere vereisten wordt beschreven in de onderstaande tabel.
Inrichting en hosting worden beheerd door Microsoft in alle oplossingen. Het genereren en beheren van sleutels, rollen en machtigingen die worden verleend, en bewaking en controle zijn de verantwoordelijkheid van de klant voor alle oplossingen.
Gebruik de tabel om alle oplossingen naast elkaar te vergelijken. Begin van boven naar beneden en beantwoord elke vraag in de meest linkse kolom om u te helpen bij het kiezen van de oplossing die aan al uw behoeften voldoet, inclusief beheeroverhead en -kosten.
| AKV Standard | AKV Premium | Azure Managed HSM | Azure Dedicated HSM | Azure Payment HSM | |
|---|---|---|---|---|---|
| Welk nalevingsniveau hebt u nodig? | FIPS 140-2 niveau 1 | FIPS 140-2 level 3, PCI DSS, PCI 3DS** | FIPS 140-2 level 3, PCI DSS, PCI 3DS | FIPS 140-2 level 3, HIPPA, PCI DSS, PCI 3DS, eIDAS CC EAL4+, GSMA | FIPS 140-2 level 3, PCI PTS HSM v3, PCI DSS, PCI 3DS, PCI PIN |
| Hebt u sleutelsoevereine nodig? | Nee | No | Ja | Ja | Ja |
| Wat voor soort tenancy zoekt u? | Multitenant | Multitenant | Eén tenant | Eén tenant | Eén tenant |
| Wat zijn uw use cases? | Versleuteling at rest, CMK, aangepast | Versleuteling at rest, CMK, aangepast | Versleuteling at rest, TLS Offload, CMK, aangepast | PKCS11, TLS Offload, code/documentondertekening, aangepast | Verwerking van betalingspincode, aangepast |
| Wilt u HSM-hardwarebeveiliging? | Nr. | Ja | Ja | Ja | Ja |
| Wat is uw budget? | $ | $$ | $$$ | $$$$ | $$$$ |
| Wie neemt de verantwoordelijkheid voor patching en onderhoud? | Microsoft | Microsoft | Microsoft | Customer | Customer |
| Wie neemt verantwoordelijkheid voor servicestatus en hardwarefailover? | Microsoft | Microsoft | Gedeeld | Customer | Customer |
| Welk soort objecten gebruikt u? | Asymmetrische sleutels, geheimen, certificaten | Asymmetrische sleutels, geheimen, certificaten | Asymmetrische/symmetrische sleutels | Asymmetrische/symmetrische sleutels, certificaten | Lokale primaire sleutel |
| Hoofdmap van vertrouwensbeheer | Microsoft | Microsoft | Customer | Customer | Customer |
Algemene oplossing voor sleutelbeheer die wordt gebruikt door branchesegmenten
Hier volgt een lijst met de belangrijkste beheeroplossingen die vaak worden gebruikt op basis van de branche.
| Branche | Voorgestelde Azure-oplossing | Overwegingen voor voorgestelde oplossingen |
|---|---|---|
| Ik ben een onderneming of een organisatie met strikte beveiligings- en nalevingsvereisten (bijvoorbeeld banken, overheid, sterk gereglementeerde branches). Ik ben een direct-to-consumer e-commerce verkoper die de creditcards van mijn klanten moet opslaan, verwerken en verzenden naar mijn externe betalingsverwerker/gateway en op zoek naar een PCI-compatibele oplossing. |
Azure beheerde HSM. | Azure Managed HSM biedt FIPS 140-2 Level 3-naleving en het is een PCI-compatibele oplossing voor e-commerce. Het ondersteunt versleuteling voor PCI DSS 4.0. Het biedt door HSM ondersteunde sleutels en biedt klanten belangrijke soevereiniteit en één tenancy. |
| Ik ben een serviceprovider voor financiële diensten, een uitgever, een kaartverschaffer, een kaartnetwerk, een betalingsgateway/PSP of 3DS-oplossingsprovider die op zoek is naar één tenantservice die kan voldoen aan PCI en meerdere belangrijke nalevingsframeworks. | Azure Payment HSM | Azure Payment HSM biedt FIPS 140-2 Level 3, PCI HSM v3, PCI DSS, PCI 3DS en PCI-pincodenaleving. Het biedt belangrijke soevereiniteit en één tenancy, algemene interne nalevingsvereisten rond betalingsverwerking. Azure Payment HSM biedt volledige ondersteuning voor transactie- en pincodeverwerking. |
| Ik ben een vroege opstartklant die een prototype wil maken van een cloudeigen toepassing. | Azure Key Vault Standard | Azure Key Vault Standard biedt door software ondersteunde sleutels tegen een voordelige prijs. |
| Ik ben een opstartklant die een cloudeigen toepassing wil produceren. | Azure Key Vault Premium, Azure Managed HSM | Zowel Azure Key Vault Premium als Azure Managed HSM bieden sleutels met HSM-ondersteuning* en zijn de beste oplossingen voor het bouwen van cloudeigen toepassingen. |
| Ik ben een IaaS-klant die mijn toepassing wil verplaatsen om Azure VM/HSM's te gebruiken. | Azure toegewezen HSM | Azure Dedicated HSM ondersteunt SQL IaaS-klanten. Het is de enige oplossing die PKCS11 en aangepaste niet-cloudeigen toepassingen ondersteunt. |
Meer informatie over azure-oplossingen voor sleutelbeheer
Azure Key Vault (Standard-laag):een FIPS 140-2 Level 1 gevalideerde multitenant cloudsleutelbeheerservice die kan worden gebruikt om zowel asymmetrische als symmetrische sleutels, geheimen en certificaten op te slaan. Sleutels die zijn opgeslagen in Azure Key Vault zijn met software beveiligd en kunnen worden gebruikt voor versleuteling-at-rest en aangepaste toepassingen. Azure Key Vault Standard biedt een moderne API en een breed scala aan regionale implementaties en integraties met Azure Services. Zie Over Azure Key Vault voor meer informatie.
Azure Key Vault (Premium-laag):een FIPS 140-2 Level 3** gevalideerde HSM-aanbieding met meerdere tenants die kunnen worden gebruikt om zowel asymmetrische als symmetrische sleutels, geheimen en certificaten op te slaan. Sleutels worden opgeslagen in een beveiligde hardwaregrens*. Microsoft beheert en beheert de onderliggende HSM en sleutels die zijn opgeslagen in Azure Key Vault Premium, kunnen worden gebruikt voor versleuteling-at-rest en aangepaste toepassingen. Azure Key Vault Premium biedt ook een moderne API en een breed scala aan regionale implementaties en integraties met Azure Services. Als u een AKV Premium-klant bent die op zoek bent naar sleutelsoevereiniteit, enkele tenancy en/of hogere cryptobewerkingen per seconde, kunt u in plaats daarvan overwegen om beheerde HSM te overwegen. Zie Over Azure Key Vault voor meer informatie.
Azure Managed HSM: een GEVALIDEERDE FIPS 140-2 Level 3-oplossing voor PCI, HSM met één tenant die klanten volledige controle geeft over een HSM voor versleuteling-at-rest, Keyless SSL/TLS-offload en aangepaste toepassingen. Azure Managed HSM is de enige oplossing voor sleutelbeheer die vertrouwelijke sleutels biedt. Klanten ontvangen een groep van drie HSM-partities, samen fungerend als één logisch, maximaal beschikbaar HSM-apparaat, voorafgegaan door een service die cryptofunctionaliteit beschikbaar maakt via de Key Vault-API. Microsoft verwerkt het inrichten, patchen, onderhoud en hardwarefailover van de HSM's, maar heeft geen toegang tot de sleutels zelf, omdat de service wordt uitgevoerd binnen de Vertrouwelijke compute-infrastructuur van Azure. Azure Managed HSM is geïntegreerd met de Azure SQL-, Azure Storage- en Azure Information Protection PaaS-services en biedt ondersteuning voor Keyless TLS met F5 en Nginx. Zie Wat is azure Key Vault Managed HSM?
Azure Dedicated HSM: Een FIPS 140-2 Level 3 gevalideerde bare-metal HSM-aanbieding met één tenant waarmee klanten een algemeen HSM-apparaat kunnen leasen dat zich in Microsoft-datacenters bevindt. De klant heeft volledig eigendom van het HSM-apparaat en is verantwoordelijk voor het patchen en bijwerken van de firmware indien nodig. Microsoft heeft geen machtigingen op het apparaat of toegang tot het sleutelmateriaal en Azure Dedicated HSM is niet geïntegreerd met azure PaaS-aanbiedingen. Klanten kunnen communiceren met de HSM met behulp van de PKCS#11, JCE/JCA en KSP/CNG-API's. Deze aanbieding is het nuttigst voor verouderde lift-and-shift-workloads, PKI, SSL-offloading en Keyless TLS (ondersteunde integraties zijn F5, Nginx, Apache, Palo Alto, IBM GW en meer), OpenSSL-toepassingen, Oracle TDE en Azure SQL TDE IaaS. Zie Wat is Azure Dedicated HSM?
Azure Payment HSM: een FIPS 140-2 Level 3, PCI HSM v3, gevalideerd bare-metal HSM-aanbieding met één tenant waarmee klanten een HSM-betalingsapparaat kunnen leasen in Microsoft-datacenters voor betalingsbewerkingen, waaronder verwerking van betalingspincode, het uitgeven van betalingsreferenties, het beveiligen van sleutels en verificatiegegevens en gevoelige gegevensbescherming. De service is PCI DSS, PCI 3DS en PCI-pincode compatibel. Azure Payment HSM biedt HSM's met één tenant voor klanten om volledig beheer en exclusieve toegang tot de HSM te hebben. Zodra de HSM is toegewezen aan een klant, heeft Microsoft geen toegang tot klantgegevens. Zodra de HSM niet meer vereist is, worden klantgegevens ook nul gemaakt en gewist zodra de HSM is vrijgegeven, om volledige privacy en beveiliging te garanderen. Zie Over Azure Payment HSM voor meer informatie.
Notitie
* Met Azure Key Vault Premium kunt u zowel met software beveiligde als met HSM beveiligde sleutels maken. Als u Azure Key Vault Premium gebruikt, controleert u of de gemaakte sleutel is beveiligd met HSM.
** Behalve UK-regio's die FIPS 140-2 niveau 2 zijn, PCI DSS.
De volgende stap
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor