Not
Åtkomst till denna sida kräver auktorisation. Du kan prova att logga in eller byta katalog.
Åtkomst till denna sida kräver auktorisation. Du kan prova att byta katalog.
Azure erbjuder flera lösningar för lagring och hantering av kryptografiska nycklar i molnet: Azure Key Vault (standard- och premiumerbjudanden), Azure Key Vault Managed HSM, Azure Cloud HSM och Azure Payment HSM. Den här artikeln hjälper dig att välja rätt lösning baserat på dina scenarier, krav och bransch.
En översikt över viktiga hanteringsbegrepp och detaljerade beskrivningar av varje lösning finns i Nyckelhantering i Azure.
Om du vill begränsa en nyckelhanteringslösning följer du flödesschemat baserat på vanliga krav på hög nivå och scenarier för nyckelhantering. Du kan också använda tabellen baserat på specifika kundkrav som följer den. Om du antingen tillhandahåller flera produkter som lösningar, eller om du vill försäkra dig om att välja rätt produkt, använder du en kombination av flödesschemat och tabellen för att fatta ett slutgiltigt beslut. Om du är nyfiken på vad andra kunder i samma bransch använder läser du tabellen med vanliga viktiga hanteringslösningar per branschsegment.
Välj en Azure-nyckelhanteringslösning efter scenario
I följande diagram beskrivs vanliga krav och användningsfallsscenarier och den rekommenderade azure-nyckelhanteringslösningen.
Diagrammet refererar till följande vanliga krav:
- FIPS-140 är en amerikansk myndighetsstandard med olika nivåer av säkerhetskrav. Mer information finns i FIPS 140 (Federal Information Processing Standard).
- Nyckelsuveränitet är när kundens organisation har fullständig och exklusiv kontroll över sina nycklar, inklusive kontroll över vilka användare och tjänster som kan komma åt nycklar och nyckelhanteringsprinciper.
- Enkel-tenant avser en dedikerad instans av en applikation som är distribuerad för varje kund, i stället för en delad instans bland flera kunder. Behovet av produkter för en enskild klientorganisation finns ofta som ett internt efterlevnadskrav i finanstjänstbranscher.
Den refererar också till dessa olika användningsfall för nyckelhantering:
- Vilande kryptering är vanligtvis aktiverat för Azure IaaS-, PaaS- och SaaS-modeller. Program som Microsoft 365; Microsoft Purview Information Protection; plattformstjänster där molnet används för lagrings-, analys- och Service Bus-funktioner. och infrastrukturtjänster där operativsystem och program finns och distribueras i molnet använder kryptering i vila. Kundhanterade nycklar för vilande kryptering används med Azure Storage och Microsoft Entra. För högsta säkerhet ska nycklarna vara HSM-backade, 3k- eller 4k RSA-nycklar. Mer information om vilande kryptering finns i Azure Data Encryption at Rest(Azure Data Encryption at Rest).
- SSL/TLS-avlastning stöds på Azure Managed HSM och Azure Cloud HSM. Kunderna har förbättrat hög tillgänglighet, säkerhet och den bästa prispunkten på Azure Managed HSM för F5 och Nginx.
- Lift and shift refererar till scenarier där ett PKCS11-program lokalt migreras till Azure Virtual Machines och kör programvara som Oracle TDE i Azure Virtual Machines. Lift and shift som kräver pin-bearbetning av betalning stöds av Azure Payment HSM. Alla andra scenarier stöds av Azure Cloud HSM. Äldre API:er och bibliotek som PKCS11, JCA/JCE och CNG/KSP stöds endast av Azure Cloud HSM.
- Bearbetning av PIN-kod för betalning omfattar att tillåta kort- och mobilbetalningsauktorisering och 3D-säker autentisering. PIN-kodsgenerering, hantering och validering; utfärdande av betalningsautentiseringsuppgifter för kort, wearables och anslutna enheter. skydda nycklar och autentiseringsdata. och känsligt dataskydd för punkt-till-punkt-kryptering, säkerhetstokenisering och EMV-betalningstokenisering. Detta omfattar även certifieringar som PCI DSS, PCI 3DS och PCI PIN. Dessa stöds endast av Azure Payment HSM.
Flödesschemaresultatet är en startpunkt för att identifiera den lösning som bäst matchar dina behov.
Jämför andra kundkrav
Azure tillhandahåller flera viktiga hanteringslösningar som gör det möjligt för kunder att välja en produkt baserat på både höga krav och hanteringsansvar. Det finns ett spektrum av hanteringsansvar som sträcker sig från Azure Key Vault, Azure Managed HSM och Azure Cloud HSM som har mindre kundansvar (Microsoft hanterar korrigeringar och underhåll) till Azure Payment HSM som har mest kundansvar.
Den här kompromissen mellan hanteringsansvaret mellan kunden och Microsoft och andra krav beskrivs i tabellen nedan.
Etablering och värdhantering hanteras av Microsoft i alla lösningar. Nyckelgenerering och hantering, roller och behörigheter som beviljar samt övervakning och granskning är kundens ansvar för alla lösningar.
Använd tabellen för att jämföra alla lösningar sida vid sida. Börja uppifrån och ned och svara på varje fråga som finns i kolumnen längst till vänster för att hjälpa dig att välja den lösning som uppfyller alla dina behov, inklusive hanteringskostnader och kostnader.
| AKV Standard | AKV Premium | Hanterad HSM för Azure Key Vault | Azure Cloud HSM | Azure Payment HSM | |
|---|---|---|---|---|---|
| Vilken efterlevnadsnivå behöver du? | FIPS 140-2 nivå 1 | FIPS 140-3 nivå 3 | FIPS 140-3 nivå 3, PCI DSS, PCI 3DS | FIPS 140-3 nivå 3 | FIPS 140-2 nivå 3, PCI HSM v3, PCI PTS HSM v3, PCI DSS, PCI 3DS, PCI PIN |
| Behöver du nyckelsuveränitet? | Nej | Nej | Ja | Ja | Ja |
| Vilken typ av hyresrätt letar du efter? | Flera klientorganisationer | Flera klientorganisationer | Enskild klientorganisation | Enskild klientorganisation | Enskild klientorganisation |
| Vilka är dina användningsfall? | Kryptering i vila, CMK, anpassad | Kryptering i vila, CMK, anpassad | Kryptering i vila, TLS-avlastning, CMK, anpassad | Lyft och skift, PKCS#11, TLS-Offloadning, TDE (Transparent Data Encryption), kodsignering | PIN-processer för betalning, anpassade |
| Vill du ha HSM-maskinvaruskydd? | Nej | Ja | Ja | Ja | Ja |
| Vad är din budget? | $ | $$ | $$$ | $$$ | $$$$ |
| Vem tar ansvar för korrigering och underhåll? | Microsoft | Microsoft | Microsoft | Microsoft | Kunder |
| Vem tar ansvar för tjänsthälsa och maskinvaruredundans? | Microsoft | Microsoft | Delad | Microsoft | Kunder |
| Vilken typ av objekt använder du? | Asymmetriska Nycklar, Hemligheter, Certifikat | Asymmetriska Nycklar, Hemligheter, Certifikat | Asymmetriska/Symmetriska nycklar | Asymmetriska/Symmetriska Nycklar, Certifikat | Lokal huvudnyckel |
| Roten för förtroendekontroll | Microsoft | Microsoft | Kunder | Kunder | Kunder |
Vanliga nyckelhanteringslösningar som används av branschsegment
Här är en lista över viktiga hanteringslösningar som vi ofta ser används baserat på bransch.
| Bransch | Föreslagen Azure-lösning | Överväganden för föreslagna lösningar |
|---|---|---|
| Jag är ett företag eller en organisation med strikta krav på säkerhet och efterlevnad (t.ex. bank, myndigheter, strikt reglerade branscher). | Azure Key Vault Hanterad HSM-tjänst | Azure Key Vault Managed HSM tillhandahåller FIPS 140-3 Level 3-efterlevnad och är en PCI-kompatibel lösning för e-handel. Den stöder kryptering för PCI DSS 4.0. Det ger HSM-säkerhetskopierade nycklar och ger kunderna nyckelsuveränitet och enskild innehavarorganisation. |
| Jag är en direkt-till-konsument e-handelshandlare som behöver lagra, bearbeta och överföra mina kunders kreditkort till min externa betalningsprocessor/gateway och letar efter en PCI-kompatibel lösning. | Azure Key Vault Hanterad HSM-tjänst | Azure Key Vault Managed HSM tillhandahåller FIPS 140-3 Level 3-efterlevnad och är en PCI-kompatibel lösning för e-handel. Den stöder kryptering för PCI DSS 4.0. Det ger HSM-säkerhetskopierade nycklar och ger kunderna nyckelsuveränitet och enskild innehavarorganisation. |
| Jag är en tjänstleverantör för finansiella tjänster, en utfärdare, en kortförvärvare, ett kortnätverk, en betalningsgateway/PSP eller 3DS-lösningsleverantör som letar efter en enda klienttjänst som kan uppfylla PCI och flera större efterlevnadsramverk. | Azure Payment HSM | Azure Payment HSM tillhandahåller FIPS 140-2 Level 3, PCI HSM v3, PCI DSS, PCI 3DS och PCI PIN-kompatibilitet. Det ger viktig suveränitet och enskild innehavarorganisation, vanliga interna efterlevnadskrav kring betalningsbearbetning. Azure Payment HSM tillhandahåller fullständig betalningstransaktion och stöd för PIN-bearbetning. |
| Jag är en tidig startup-kund som vill skapa en prototyp för ett molnbaserat program. | Azure Key Vault Standard (en tjänst för hantering av kryptografiska nycklar) | Azure Key Vault Standard tillhandahåller programvarubaserade nycklar till ett ekonomipris. |
| Jag är en startup-kund som vill skapa ett molnbaserat program. | Azure Key Vault Premium, Azure Key Vault Managed HSM | Både Azure Key Vault Premium och Azure Key Vault Managed HSM tillhandahåller HSM-säkerhetskopierade nycklar* och är de bästa lösningarna för att skapa molnbaserade program. |
| Jag är en IaaS-kund som vill flytta mitt program för att använda virtuella Azure-datorer/HSM:er. | Azure Cloud HSM | Azure Key Vault Managed HSM stöder IaaS-scenarier och tillhandahåller FIPS 140-3 Nivå 3-efterlevnad med nyckelsuveränitet. Azure Cloud HSM är perfekt för lift-and-shift-scenarier som kräver PKCS#11-stöd, till exempel migrering från lokala HSM:er, Azure Dedicated HSM eller AWS CloudHSM. |
Detaljerad information om varje Azure-nyckelhanteringslösning, inklusive tekniska specifikationer och användningsfall, finns i Nyckelhantering i Azure.