Jak wybrać odpowiednie rozwiązanie do zarządzania kluczami
Platforma Azure oferuje wiele rozwiązań do kryptograficznego magazynu kluczy i zarządzania nimi w chmurze: Azure Key Vault (oferty w warstwie Standardowa i Premium), Zarządzany moduł HSM platformy Azure, dedykowany moduł HSM platformy Azure i moduł HSM usługi Azure Payment. Może to być przytłaczające dla klientów, którzy zdecydują, które rozwiązanie do zarządzania kluczami jest dla nich poprawne. Ten dokument ma na celu ułatwienie klientom poruszania się po tym procesie podejmowania decyzji przez przedstawienie szeregu rozwiązań w oparciu o trzy różne zagadnienia: scenariusze, wymagania i branżę.
Aby rozpocząć zawężenie rozwiązania do zarządzania kluczami, postępuj zgodnie z schematem blokowym na podstawie typowych wymagań wysokiego poziomu i scenariuszy zarządzania kluczami. Możesz też użyć tabeli na podstawie określonych wymagań klienta, które są bezpośrednio zgodne z nią. Jeśli jeden z nich udostępnia wiele produktów jako rozwiązania, użyj kombinacji schematu blokowego i tabeli, aby pomóc w podejmowaniu ostatecznej decyzji. Jeśli chcesz dowiedzieć się, z czego korzystają inni klienci w tej samej branży, przeczytaj tabelę typowych kluczowych rozwiązań do zarządzania według segmentu branżowego. Aby dowiedzieć się więcej o konkretnym rozwiązaniu, użyj linków na końcu dokumentu.
Wybieranie rozwiązania do zarządzania kluczami według scenariusza
Na poniższym wykresie opisano typowe wymagania i scenariusze przypadków użycia oraz zalecane rozwiązanie do zarządzania kluczami platformy Azure.
Wykres odnosi się do następujących typowych wymagań:
- FIPS-140 to amerykański standard rządowy o różnych poziomach wymagań dotyczących zabezpieczeń. Aby uzyskać więcej informacji, zobacz Federal Information Processing Standard (FIPS) 140.
- Kluczowa niezależność jest wtedy, gdy organizacja klienta ma pełną i wyłączną kontrolę nad kluczami, w tym kontrolę nad tym, co użytkownicy i usługi mogą uzyskiwać dostęp do kluczy i zasad zarządzania kluczami.
- Pojedyncza dzierżawa odnosi się do pojedynczego dedykowanego wystąpienia aplikacji wdrożonej dla każdego klienta, a nie współużytkowanego wystąpienia wśród wielu klientów. Zapotrzebowanie na produkty z jedną dzierżawą jest często spotykane jako wewnętrzne wymaganie zgodności w branżach usług finansowych.
Odnosi się również do tych różnych przypadków użycia zarządzania kluczami:
- Szyfrowanie magazynowane jest zwykle włączone dla modeli IaaS, PaaS i SaaS platformy Azure. Aplikacje, takie jak Microsoft 365; Microsoft Purview Information Protection; usługi platformy, w których chmura jest używana na potrzeby funkcji magazynu, analizy i magistrali usług; i usługi infrastruktury, w których systemy operacyjne i aplikacje są hostowane i wdrażane w chmurze korzystają z szyfrowania magazynowanego. Klucze zarządzane przez klienta na potrzeby szyfrowania danych magazynowanych są używane z usługami Azure Storage i Microsoft Entra ID. W przypadku najwyższych zabezpieczeń klucze powinny być oparte na modułach HSM, kluczach 3k lub 4k RSA. Aby uzyskać więcej informacji na temat szyfrowania magazynowanych, zobacz Usługa Azure Data Encryption w spoczynku.
- Odciążanie protokołu SSL/TLS jest obsługiwane w przypadku zarządzanego modułu HSM platformy Azure i dedykowanego modułu HSM platformy Azure. Klienci poprawili wysoką dostępność, bezpieczeństwo i najlepszy punkt cenowy w zarządzanym module HSM platformy Azure dla rozwiązań F5 i Nginx.
- Migracja metodą "lift and shift " dotyczy scenariuszy, w których lokalna aplikacja PKCS11 jest migrowana do usługi Azure Virtual Machines i uruchamia oprogramowanie, takie jak Oracle TDE w usłudze Azure Virtual Machines. Funkcja lift-and-shift wymagająca przetwarzania numeru PIN płatności jest obsługiwana przez moduł HSM płatności platformy Azure. Wszystkie inne scenariusze są obsługiwane przez dedykowany moduł HSM platformy Azure. Starsze interfejsy API i biblioteki, takie jak PKCS11, JCA/JCE i CNG/KSP, są obsługiwane tylko przez dedykowany moduł HSM platformy Azure.
- Przetwarzanie numeru PIN płatności obejmuje zezwolenie na autoryzację kart i płatności mobilnych oraz uwierzytelnianie 3D-Secure; Generowanie numeru PIN, zarządzanie i walidacja; wystawianie poświadczeń płatniczych dla kart, urządzeń do noszenia i połączonych urządzeń; zabezpieczanie kluczy i danych uwierzytelniania; i ochrona poufnych danych na potrzeby szyfrowania punkt-punkt, tokenizacji zabezpieczeń i tokenizacji płatności EMV. Obejmuje to również certyfikaty, takie jak PCI DSS, PCI 3DS i PCI PIN. Są one obsługiwane przez moduł HSM usługi Azure Payment.
Wynik schematu blokowego to punkt wyjścia do zidentyfikowania rozwiązania, które najlepiej odpowiada Twoim potrzebom.
Porównanie innych wymagań klientów
Platforma Azure udostępnia wiele kluczowych rozwiązań do zarządzania, aby umożliwić klientom wybór produktu na podstawie zarówno wymagań wysokiego poziomu, jak i obowiązków związanych z zarządzaniem. Istnieje spektrum obowiązków związanych z zarządzaniem, począwszy od usługi Azure Key Vault i zarządzanego modułu HSM platformy Azure o mniejszej odpowiedzialności klienta, a następnie modułu HSM dedykowanego modułu HSM platformy Azure i modułu HSM płatności platformy Azure o największej odpowiedzialności klienta.
Ta kompromis w zakresie odpowiedzialności za zarządzanie między klientem a firmą Microsoft i innymi wymaganiami jest szczegółowo opisany w poniższej tabeli.
Aprowizowanie i hosting są zarządzane przez firmę Microsoft we wszystkich rozwiązaniach. Generowanie kluczy i zarządzanie, udzielanie ról i uprawnień, a monitorowanie i inspekcja są obowiązkiem klienta we wszystkich rozwiązaniach.
Użyj tabeli, aby porównać wszystkie rozwiązania obok siebie. Zacznij od góry do dołu, odpowiadając na każde pytanie znajdujące się w lewej kolumnie, aby ułatwić wybór rozwiązania spełniającego wszystkie twoje potrzeby, w tym koszty i koszty związane z zarządzaniem.
| AKV Standard | AKV Premium | Zarządzany moduł HSM platformy Azure | Dedykowany moduł HSM platformy Azure | Moduł HSM płatności platformy Azure | |
|---|---|---|---|---|---|
| Jakiego poziomu zgodności potrzebujesz? | FIPS 140-2 poziom 1 | FIPS 140-2 poziom 3, PCI DSS, PCI 3DS** | FIPS 140-2 poziom 3, PCI DSS, PCI 3DS | FIPS 140-2 poziom 3, HIPPA, PCI DSS, PCI 3DS, eIDAS CC EAL4+, GSMA | FIPS 140-2 poziom 3, PCI PTS HSM v3, PCI DSS, PCI 3DS, PCI PIN |
| Czy potrzebujesz kluczowej suwerenności? | Nie | Nie. | Tak | Tak | Tak |
| Jakiego rodzaju dzierżawa szukasz? | Wielodostępność | Wielodostępność | Pojedyncza dzierżawa | Pojedyncza dzierżawa | Pojedyncza dzierżawa |
| Jakie są twoje przypadki użycia? | Szyfrowanie magazynowane, cmK, niestandardowe | Szyfrowanie magazynowane, cmK, niestandardowe | Szyfrowanie w spoczynku, odciążanie protokołu TLS, cmK, niestandardowe | PKCS11, odciążanie protokołu TLS, podpisywanie kodu/dokumentu, niestandardowe | Przetwarzanie numeru PIN płatności, niestandardowe |
| Czy potrzebujesz ochrony sprzętowej modułu HSM? | Nie. | Tak | Tak | Tak | Tak |
| Jaki jest budżet? | $ | $$ | $$$ | $$$$ | $$$$ |
| KtoTo ponosi odpowiedzialność za stosowanie poprawek i konserwację? | Microsoft | Microsoft | Microsoft | Klient | Klient |
| KtoTo ponosi odpowiedzialność za kondycję usługi i tryb failover sprzętu? | Microsoft | Microsoft | Udostępniona | Klient | Klient |
| Jakiego rodzaju obiekty używasz? | Klucze asymetryczne, wpisy tajne, certyfikaty | Klucze asymetryczne, wpisy tajne, certyfikaty | Klucze asymetryczne/symetryczne | Klucze asymetryczne/symetryczne, certyfikaty | Lokalny klucz podstawowy |
| Katalog główny kontroli zaufania | Microsoft | Microsoft | Klient | Klient | Klient |
Typowe rozwiązanie do zarządzania kluczami używane przez segmenty branżowe
Poniżej znajduje się lista kluczowych rozwiązań do zarządzania, które często widzimy, że są używane w oparciu o branżę.
| Branżowe | Sugerowane rozwiązanie platformy Azure | Zagadnienia dotyczące sugerowanych rozwiązań |
|---|---|---|
| Jestem przedsiębiorstwem lub organizacją z rygorystycznymi wymaganiami dotyczącymi zabezpieczeń i zgodności (np. bankowość, instytucje rządowe, wysoce regulowane branże). Jestem bezpośrednim sprzedawcą handlu elektronicznego, który musi przechowywać, przetwarzać i przesyłać karty kredytowe moich klientów do mojego zewnętrznego podmiotu przetwarzającego/bramę płatności i szuka rozwiązania zgodnego ze standardem PCI. |
Azure Managed HSM | Moduł HSM zarządzany przez platformę Azure zapewnia zgodność ze standardem FIPS 140–2 poziom 3 i jest to rozwiązanie zgodne ze standardem PCI dla handlu elektronicznego. Obsługuje ona szyfrowanie dla standardu PCI DSS 4.0. Zapewnia klucze oparte na module HSM i zapewnia klientom kluczową niezależność i pojedynczą dzierżawę. |
| Jestem dostawcą usług finansowych, wystawcą, dostawcą kart, siecią kart, bramą płatności/PSP lub dostawcą rozwiązań 3DS, który szuka jednej usługi dzierżawy, która może spełniać standardy PCI i wiele głównych struktur zgodności. | Moduł HSM płatności platformy Azure | Moduł HSM płatności platformy Azure zapewnia zgodność ze standardami FIPS 140-2 Level 3, PCI HSM v3, PCI DSS, PCI 3DS i PCI PIN. Zapewnia on kluczową niezależność i pojedynczą dzierżawę, typowe wewnętrzne wymagania dotyczące zgodności związane z przetwarzaniem płatności. Moduł HSM płatności platformy Azure zapewnia pełną obsługę transakcji płatności i numeru PIN. |
| Jestem klientem startowym na wczesnym etapie, który chce utworzyć prototyp aplikacji natywnej dla chmury. | Azure Key Vault w warstwie Standardowa | Usługa Azure Key Vault w warstwie Standardowa udostępnia klucze oparte na oprogramowaniu w cenie ekonomicznej. |
| Jestem klientem startowym, który chce utworzyć aplikację natywną dla chmury. | Azure Key Vault — wersja Premium, zarządzany moduł HSM platformy Azure | Zarówno usługa Azure Key Vault Premium, jak i moduł HSM zarządzany przez platformę Azure zapewniają klucze oparte na module HSM* i są najlepszymi rozwiązaniami do tworzenia aplikacji natywnych dla chmury. |
| Jestem klientem IaaS, który chce przenieść aplikację do korzystania z maszyn wirtualnych/modułów HSM platformy Azure. | Dedykowany moduł HSM platformy Azure | Dedykowany moduł HSM platformy Azure obsługuje klientów IaaS SQL. Jest to jedyne rozwiązanie, które obsługuje PKCS11 i niestandardowe aplikacje natywne dla chmury. |
Dowiedz się więcej o rozwiązaniach do zarządzania kluczami platformy Azure
Azure Key Vault (warstwa Standardowa): zweryfikowana wielodostępna usługa zarządzania kluczami w chmurze z certyfikatami asymetrycznymi i symetrycznymi, wpisami tajnymi i certyfikatami w trybie FIPS 140-2 poziom 1. Klucze przechowywane w usłudze Azure Key Vault są chronione przez oprogramowanie i mogą być używane do szyfrowania magazynowanych i niestandardowych aplikacji. Usługa Azure Key Vault w warstwie Standardowa udostępnia nowoczesny interfejs API oraz wiele regionalnych wdrożeń i integracji z usługami platformy Azure. Aby uzyskać więcej informacji, zobacz About Azure Key Vault (Informacje o usłudze Azure Key Vault).
Azure Key Vault (warstwa Premium): zweryfikowany wielodostępny moduł HSM fiPS 140-2 poziom 3**, który może służyć do przechowywania zarówno kluczy asymetrycznych, jak i symetrycznych, wpisów tajnych i certyfikatów. Klucze są przechowywane w bezpiecznej granicy sprzętu*. Firma Microsoft zarządza podstawowym modułem HSM, a klucze przechowywane w usłudze Azure Key Vault Premium mogą być używane do szyfrowania magazynowanych i niestandardowych aplikacji. Usługa Azure Key Vault Premium udostępnia również nowoczesny interfejs API oraz wiele regionalnych wdrożeń i integracji z usługami platformy Azure. Jeśli jesteś klientem usługi AKV Premium, który szuka kluczowej suwerenności, jednej dzierżawy i/lub wyższych operacji kryptograficznych na sekundę, możesz rozważyć zamiast tego zarządzanie modułem HSM. Aby uzyskać więcej informacji, zobacz About Azure Key Vault (Informacje o usłudze Azure Key Vault).
Moduł HSM zarządzany przez platformę Azure: zweryfikowany standard FIPS 140-2 poziom 3, zgodny ze standardem PCI, oferta HSM z jedną dzierżawą, która zapewnia klientom pełną kontrolę nad modułem HSM na potrzeby szyfrowania w spoczynku, odciążania bez klucza protokołu SSL/TLS oraz aplikacji niestandardowych. Zarządzany moduł HSM platformy Azure to jedyne rozwiązanie do zarządzania kluczami oferujące poufne klucze. Klienci otrzymują pulę trzech partycji HSM — razem działając jako jedno logiczne, wysoce dostępne urządzenie HSM — frontowane przez usługę, która uwidacznia funkcje kryptograficzne za pośrednictwem interfejsu API usługi Key Vault. Firma Microsoft obsługuje aprowizację, stosowanie poprawek, konserwację i tryb failover sprzętu modułów HSM, ale nie ma dostępu do samych kluczy, ponieważ usługa jest wykonywana w poufnej infrastrukturze obliczeniowej platformy Azure. Zarządzany moduł HSM platformy Azure jest zintegrowany z usługami Azure SQL, Azure Storage i Azure Information Protection PaaS oraz oferuje obsługę bezkluczego protokołu TLS za pomocą klawiszy F5 i Nginx. Aby uzyskać więcej informacji, zobacz Co to jest zarządzany moduł HSM usługi Azure Key Vault?
Dedykowany moduł HSM platformy Azure: zweryfikowany na poziomie 3 standard FIPS 140-2 z jedną dzierżawą ofertę modułu HSM bez systemu operacyjnego, która umożliwia klientom dzierżawę urządzenia HSM ogólnego przeznaczenia, które znajduje się w centrach danych firmy Microsoft. Klient ma pełną własność urządzenia HSM i jest odpowiedzialny za stosowanie poprawek i aktualizowanie oprogramowania układowego, jeśli jest to wymagane. Firma Microsoft nie ma uprawnień na urządzeniu ani dostępu do klucza, a dedykowany moduł HSM platformy Azure nie jest zintegrowany z żadnymi ofertami paaS platformy Azure. Klienci mogą korzystać z modułu HSM przy użyciu interfejsów API PKCS#11, JCE/JCA i KSP/CNG. Ta oferta jest najbardziej przydatna w przypadku starszych obciążeń metodą lift-and-shift, infrastruktury PKI, odciążania ssl i bez klucza TLS (obsługiwane integracje to F5, Nginx, Apache, Palo Alto, IBM GW i nie tylko), aplikacje OpenSSL, Oracle TDE i Azure SQL TDE IaaS. Aby uzyskać więcej informacji, zobacz Co to jest dedykowany moduł HSM platformy Azure?
Moduł HSM płatności platformy Azure: standard FIPS 140-2 Poziom 3, PCI HSM v3, zweryfikowany bez systemu operacyjnego hsM z jedną dzierżawą, który umożliwia klientom dzierżawę urządzenia HSM płatności w centrach danych firmy Microsoft na potrzeby operacji płatności, w tym przetwarzania numeru PIN płatności, wystawiania poświadczeń płatności, zabezpieczania kluczy i danych uwierzytelniania oraz ochrony poufnych danych. Usługa jest zgodna ze standardami PCI DSS, PCI 3DS i PCI PIN. Moduł HSM usługi Azure Payment oferuje moduły HSM z jedną dzierżawą dla klientów, które mają pełną kontrolę administracyjną i wyłączny dostęp do modułu HSM. Po przydzieleniu modułu HSM do klienta firma Microsoft nie ma dostępu do danych klientów. Podobnie, gdy moduł HSM nie jest już wymagany, dane klienta są wyzerowane i usuwane zaraz po wydaniu modułu HSM, aby zapewnić zachowanie pełnej prywatności i bezpieczeństwa. Aby uzyskać więcej informacji, zobacz About Azure Payment HSM (Informacje o module HSM płatności platformy Azure).
Uwaga
* Usługa Azure Key Vault Premium umożliwia tworzenie zarówno kluczy chronionych przez oprogramowanie, jak i chronionych przez moduł HSM. Jeśli używasz usługi Azure Key Vault Premium, upewnij się, że utworzony klucz jest chroniony przez moduł HSM.
** Z wyjątkiem regionów Wielkiej Brytanii, które są FIPS 140-2 poziom 2, PCI DSS.