Como escolher a solução de gerenciamento de chaves correta
O Azure oferece várias soluções para armazenamento e gerenciamento de chaves criptográficas na nuvem: o Azure Key Vault (ofertas padrão e premium), HSM Gerenciado do Azure, HSM Dedicado do Azure e HSM de Pagamento do Azure. Pode ser complicado para os clientes decidirem qual solução de gerenciamento de chaves é a adequada para eles. Este artigo tem como objetivo auxiliar os clientes nesse processo de tomada de decisão apresentando a variedade de soluções com base em três considerações diferentes: cenários, requisitos e setor.
Para começar a reduzir uma solução de gerenciamento de chaves, siga o fluxograma com base em requisitos comuns de alto nível e cenários de gerenciamento de chaves. Como alternativa, use a tabela com base nos requisitos específicos do cliente que a segue diretamente. Se fornecer vários produtos como soluções, use uma combinação do fluxograma e da tabela para ajudar na decisão final. Se quiser saber o que outros clientes do mesmo setor estão usando, leia a tabela de soluções comuns de gerenciamento de chaves por segmento do setor. Para saber mais sobre uma solução específica, use os links no final do documento.
Escolha uma solução de gerenciamento de chaves de acordo com o cenário
O gráfico a seguir descreve os requisitos comuns e os cenários de caso de uso e a solução recomendada de gerenciamento de chaves do Azure.
O gráfico se refere a esses requisitos comuns:
- O FIPS-140 é um padrão do governo dos EUA com diferentes níveis de requisitos de segurança. Para obter mais informações, confira Padrão FIPS 140.
- A soberania de chave é quando a organização do cliente tem controle total e exclusivo de suas chaves, incluindo o controle sobre quais usuários e serviços podem acessar as chaves e as políticas de gerenciamento de chaves.
- A locação única refere-se a uma única instância dedicada de um aplicativo implantado para cada cliente, em vez de uma instância compartilhada entre vários clientes. A necessidade de produtos de locatário único geralmente é encontrada como um requisito de conformidade interna nos setores de serviços financeiros.
Ele também se refere a estes vários casos de uso de gerenciamento de chaves:
- A criptografia em repouso normalmente é habilitada para modelos de IaaS, PaaS e SaaS do Azure. Aplicativos como o Microsoft 365; Proteção de Informações do Microsoft Purview; serviços de plataforma nos quais a nuvem é usada para funcionalidade de armazenamento, análise e barramento de serviço; e serviços de infraestrutura nos quais sistemas operacionais e aplicativos são hospedados e implantados na nuvem usam a criptografia em repouso. As chaves gerenciadas pelo cliente para criptografia em repouso são usadas com o Armazenamento do Microsoft Azure e o Microsoft Entra ID. Para maior segurança, as chaves devem ser chaves RSA com suporte de HSM, 3k ou 4k. Para obter mais informações sobre a criptografia em repouso, confira Criptografia de dados em repouso do Azure.
- O descarregamento de SSL/TLS tem suporte do HSM Gerenciado do Azure e no HSM Dedicado do Azure. Os clientes melhoraram a alta disponibilidade, a segurança e o melhor ponto de preço no HSM Gerenciado do Azure para F5 e Nginx.
- Lift-and-shift se refere a cenários em que um aplicativo PKCS11 local é migrado para Máquinas Virtuais do Microsoft Azure e o software em execução, como o Oracle TDE em Máquinas Virtuais do Microsoft Azure. O lift-and-shift que exige o processamento de PIN de pagamento é compatível com o HSM de Pagamento do Azure. Todos os outros cenários têm suporte do HSM Dedicado do Azure. APIs e bibliotecas herdadas, como PKCS11, JCA/JCE e CNG/KSP, só têm suporte do HSM Dedicado do Azure.
- O processamento de PIN de pagamento inclui permitir a autorização de pagamento móvel e por cartão e autenticação 3D-Secure; criação, gerenciamento e validação de PIN; emissão de credenciais de pagamento para cartões, acessórios e dispositivos conectados; proteger chaves e dados de autenticação; e proteção de dados confidenciais para criptografia de ponta a ponta, geração de tokens de segurança e geração de tokens de pagamento EMV. Isso também inclui certificações como PCI DSS, PCI 3DS e PCI PIN. Eles têm suporte do HSM de Pagamento do Azure.
O resultado do fluxograma é um ponto de partida para identificar a solução que melhor corresponde às suas necessidades.
Comparar outros requisitos do cliente
O Azure fornece várias soluções de gerenciamento de chave para permitir que os clientes escolham um produto com base em requisitos de alto nível e responsabilidades de gerenciamento. Há um espectro de responsabilidades de gerenciamento que vão desde o Azure Key Vault e o HSM Gerenciado do Azure com menos responsabilidade do cliente, seguido pelo HSM Dedicado do Azure e pelo HSM de Pagamento do Azure com mais responsabilidade do cliente.
Essa compensação da responsabilidade de gerenciamento entre o cliente e a Microsoft e outros requisitos é detalhada na tabela abaixo.
O provisionamento e a hospedagem são gerenciados pela Microsoft em todas as soluções. A geração e o gerenciamento de chaves, as funções e as permissões concedidas e o monitoramento e a auditoria são responsabilidade do cliente em todas as soluções.
Use a tabela para comparar todas as soluções lado a lado. Comece de cima para baixo, respondendo a cada pergunta na coluna mais à esquerda para ajudá-lo a escolher a solução que atenda a todas as suas necessidades, incluindo sobrecarga e custos de gerenciamento.
| AKV Standard | AKV Premium | HSM Gerenciado do Azure | HSM Dedicado do Azure | HSM de Pagamento do Azure | |
|---|---|---|---|---|---|
| Qual nível de conformidade você precisa? | FIPS 140-2 Nível 1 | FIPS 140-2 nível 3, PCI DSS, PCI 3DS** | FIPS 140-2 nível 3, PCI DSS, PCI 3DS | FIPS 140-2 nível 3, HIPPA, PCI DSS, PCI 3DS, eIDAS CC EAL4+, GSMA | FIPS 140-2 nível 3, PCI PTS HSM v3, PCI DSS, PCI 3DS, PCI PIN |
| Você precisa de uma soberania de chaves? | No | No | Sim | Sim | Sim |
| Que tipo de locação você está procurando? | Multilocatário | Multilocatário | Locatário único | Locatário único | Locatário único |
| Quais são seus casos de uso? | Criptografia em repouso, CMK, personalizado | Criptografia em repouso, CMK, personalizado | Criptografia em repouso, descarregamento de TLS, CMK, personalizado | PKCS11, descarregamento de TLS, assinatura de código/documento, personalizado | Processamento de PIN de pagamento, personalizado |
| Você quer proteção de hardware do HSM? | No | Sim | Sim | Sim | Sim |
| Que é o seu orçamento? | $ | $$ | $$$ | $$$$ | $$$$ |
| Quem é responsável pela aplicação de patch e manutenção? | Microsoft | Microsoft | Microsoft | Cliente | Cliente |
| Quem é responsável pela integridade do serviço e failover de hardware? | Microsoft | Microsoft | Compartilhado | Cliente | Cliente |
| Que tipo de objetos você está usando? | Chaves Assimétricas, Segredos, Certificados | Chaves Assimétricas, Segredos, Certificados | Chaves assimétricas/simétricas | Chaves assimétricas/simétricas, Certificados | Chave Primária Local |
| Raiz do controle de confiança | Microsoft | Microsoft | Cliente | Cliente | Cliente |
Solução comum de gerenciamento de chaves usada por segmentos do setor
Aqui está uma lista das principais soluções de gerenciamento de chaces que normalmente vemos sendo utilizadas com base no setor.
| Setor | Solução sugerida do Azure | Considerações sobre as soluções sugeridas |
|---|---|---|
| Sou uma empresa ou uma organização com requisitos estritos de segurança e conformidade (por exemplo: setores bancários, governamentais e altamente regulamentados). Sou um comerciante de comércio eletrônico direto ao consumidor e preciso armazenar, processar e transmitir os cartões de crédito dos meus clientes para o meu processador/gateway de pagamento externo e estou buscando uma solução compatível com PCI. |
HSM Gerenciado do Azure | O HSM Gerenciado do Azure fornece conformidade FIPS 140-2 nível 3 e é uma solução compatível com PCI para comércio eletrônico. Ele dá suporte à criptografia para PCI DSS 4.0. Ele fornece chaves com suporte do HSM e fornece aos clientes a soberania de chaves e a locação única. |
| Sou um provedor de serviços para serviços financeiros, um emissor, um cartão adquirente, uma rede de cartões, um gateway de pagamento/PSP ou um provedor de soluções 3DS procurando um serviço de locatário único que possa atender ao PCI e a várias estruturas de conformidade principais. | HSM de Pagamento do Azure | O HSM de Pagamento do Azure fornece conformidade FIPS 140-2 nível 3, PCI HSM v3, PCI DSS, PCI 3DS e PCI PIN. Ele fornece soberania de chaves e locação única, requisitos comuns de conformidade interna em torno do processamento de pagamentos. O HSM de Pagamento do Azure fornece suporte completo para transações de pagamento e processamento de PIN. |
| Sou cliente de startup em estágio inicial que procura criar protótipos de um aplicativo nativo de nuvem. | Azure Key Vault Standard | O Azure Key Vault Standard fornece chaves com backup de software a um preço econômico. |
| Sou um cliente de startup que busca criar um aplicativo nativo de nuvem. | Azure Key Vault Premium e HSM Gerenciado | O Azure Key Vault Premium e o HSM Gerenciado do Azure fornecem chaves com suporte de HSM* e são as melhores soluções para a criação de aplicativos nativos de nuvem. |
| Sou um cliente IaaS que deseja mover meu aplicativo para usar VM/HSMs do Azure. | HSM Dedicado do Azure | O HSM Dedicado do Azure dá suporte a clientes IaaS do SQL. É a única solução que dá suporte a PKCS11 e a aplicativos personalizados nativos fora da nuvem. |
Saiba mais sobre as soluções de gerenciamento de chaves do Azure
Azure Key Vault (camada Standard): um serviço de gerenciamento de chaves em nuvem multilocatário validado pelo FIPS 140-2 nível 1 que pode ser usado para armazenar segredos, certificados e chaves simétricas e assimétricas. As chaves armazenadas no Azure Key Vault são protegidas por software e podem ser usadas para criptografia em repouso e aplicativos personalizados. O Azure Key Vault Standard fornece uma API moderna e uma variedade de implantações regionais e integrações com os Serviços do Azure. Para saber mais, confira Sobre o Azure Key Vault.
Azure Key Vault (camada Premium): uma oferta de HSM multilocatário validada pelo FIPS 140-2 nível 3** que pode ser usada para armazenar segredos, certificados e chaves simétricas e assimétricas. As chaves são armazenadas em um limite de hardware seguro*. A Microsoft gerencia e opera o HSM subjacente e as chaves armazenadas no Azure Key Vault Premium podem ser usadas para criptografia em repouso e aplicativos personalizados. O Azure Key Vault Premium também fornece uma API moderna e uma variedade de implantações regionais e integrações com os Serviços do Azure. Os clientes do AKV Premium que desejam soberania de chaves, locação única e/ou mais operações de criptografia por segundo podem considerar o HSM Gerenciado. Para saber mais, confira Sobre o Azure Key Vault.
HSM Gerenciado do Azure: uma oferta de HSM de locatário único validada por FIPS 140-2 nível 3, compatível com PCI, que dá aos clientes controle total de um HSM para criptografia em repouso, SSL sem chave/descarregamento de TLS e aplicativos personalizados. O HSM Gerenciado do Azure é a única solução de gerenciamento de chaves que oferece chaves confidenciais. Os clientes recebem um pool de três partições de HSM que juntas agem como um dispositivo HSM lógico e altamente disponível, com um serviço que expõe a funcionalidade de criptografia por meio da API do Key Vault. A Microsoft trata do provisionamento, da aplicação de patches, da manutenção e do failover de hardware dos HSMs, mas não tem acesso às chaves, pois o serviço é executado na infraestrutura de computação confidencial do Azure. O HSM Gerenciado do Azure é integrado aos serviços PaaS de Proteção de Informações do Azure, SQL do Azure, Armazenamento do Microsoft Azure e oferece suporte para o TLS sem chave com F5 e Nginx. Para obter mais informações, veja O que é o HSM Gerenciado do Azure Key Vault?
HSM Dedicado do Azure: uma oferta de HSM bare-metal de locatário único validada pelo FIPS 140-2 nível 3, que permite aos clientes conceder um dispositivo HSM de uso geral que reside em datacenters da Microsoft. O cliente tem a propriedade completa sobre o dispositivo HSM e é responsável por aplicar patches e atualizar o firmware quando necessário. A Microsoft não tem permissões sobre o dispositivo nem acesso ao material da chave e o HSM Dedicado do Azure não é integrado a nenhuma oferta de PaaS do Azure. Os clientes podem interagir com o HSM usando as APIs PKCS#11, JCE/JCA e KSP/CNG. Essa oferta é mais útil para cargas de trabalho lift-and-shift herdadas, PKI, Descarregamento de SSL e TLS sem chave (as integrações com suporte incluem F5, Nginx, Apache, Palo Alto, IBM GW e muito mais), aplicativos OpenSSL, TDE da Oracle e IaaS de TDE de SQL do Azure. Para obter mais informações, confira O que é o HSM Dedicado do Azure?
HSM de Pagamento do Azure: uma oferta de HSM bare-metal de locatário único, PCI HSM v3, validada pelo FIPS 140-2 nível 3, que permite aos clientes conceder um dispositivo HSM de pagamento em datacenters da Microsoft para operações de pagamentos, incluindo processamento de PIN de pagamentos, emissão de credencial de pagamento, proteção de chaves e dados de autenticação e proteção de dados confidenciais. O serviço está em conformidade com o PCI DSS, PCI 3DS e PCI PIN. O HSM de Pagamento do Azure oferece HSMs de locatário único para que os clientes tenham controle administrativo completo e acesso exclusivo ao HSM. Depois que o HSM for alocado a um cliente, a Microsoft não terá acesso aos dados do cliente. Da mesma forma, quando o HSM não for mais necessário, os dados do cliente serão zerados e apagados assim que o HSM for liberado, para garantir que a privacidade e a segurança totais sejam mantidas. Para saber mais, confira Sobre o HSM de Pagamento do Azure.
Observação
* O Azure Key Vault Premium permite a criação de chaves protegidas tanto por software quanto por HSM. Se estiver usando o Azure Key Vault Premium, verifique se a chave criada está protegida por HSM.
**Exceto nas regiões do Reino Unido que são validadas pelo FIPS 140-2 nível 2, PCI DSS.
O que vem a seguir
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de