Så här väljer du rätt nyckelhanteringslösning
Azure erbjuder flera lösningar för lagring och hantering av kryptografiska nycklar i molnet: Azure Key Vault (standard- och premiumerbjudanden), Azure Managed HSM, Azure Dedicated HSM och Azure Payment HSM. Det kan vara överväldigande för kunderna att bestämma vilken nyckelhanteringslösning som är korrekt för dem. Det här dokumentet syftar till att hjälpa kunder att navigera i den här beslutsprocessen genom att presentera olika lösningar baserat på tre olika överväganden: scenarier, krav och bransch.
Om du vill börja begränsa en nyckelhanteringslösning följer du flödesschemat baserat på vanliga krav på hög nivå och scenarier för nyckelhantering. Du kan också använda tabellen baserat på specifika kundkrav som följer den direkt. Om du antingen tillhandahåller flera produkter som lösningar använder du en kombination av flödesschemat och tabellen för att fatta ett slutgiltigt beslut. Om du är nyfiken på vad andra kunder i samma bransch använder läser du tabellen med vanliga viktiga hanteringslösningar efter branschsegment. Om du vill veta mer om en specifik lösning använder du länkarna i slutet av dokumentet.
Välj en nyckelhanteringslösning efter scenario
I följande diagram beskrivs vanliga krav och användningsfallsscenarier och den rekommenderade azure-nyckelhanteringslösningen.
Diagrammet refererar till följande vanliga krav:
- FIPS-140 är en amerikansk myndighetsstandard med olika nivåer av säkerhetskrav. Mer information finns i FIPS 140 (Federal Information Processing Standard).
- Nyckelsuveränitet är när kundens organisation har fullständig och exklusiv kontroll över sina nycklar, inklusive kontroll över vilka användare och tjänster som kan komma åt nycklar och nyckelhanteringsprinciper.
- En enskild innehavarorganisation avser en enda dedikerad instans av ett program som distribuerats för varje kund, i stället för en delad instans mellan flera kunder. Behovet av produkter för en enskild klientorganisation finns ofta som ett internt efterlevnadskrav i finanstjänstbranscher.
Den refererar också till dessa olika användningsfall för nyckelhantering:
- Vilande kryptering är vanligtvis aktiverat för Azure IaaS-, PaaS- och SaaS-modeller. Program som Microsoft 365; Microsoft Purview Information Protection; plattformstjänster där molnet används för lagrings-, analys- och Service Bus-funktioner. och infrastrukturtjänster där operativsystem och program finns och distribueras i molnet använder kryptering i vila. Kundhanterade nycklar för vilande kryptering används med Azure Storage och Microsoft Entra-ID. För högsta säkerhet ska nycklarna vara HSM-backade, 3k- eller 4k RSA-nycklar. Mer information om vilande kryptering finns i Azure Data Encryption at Rest(Azure Data Encryption at Rest).
- SSL/TLS-avlastning stöds på Azure Managed HSM och Azure Dedicated HSM. Kunderna har förbättrat hög tillgänglighet, säkerhet och bästa prispunkt på Azure Managed HSM för F5 och Nginx.
- Lift and shift refererar till scenarier där ett PKCS11-program lokalt migreras till Azure Virtual Machines och kör programvara som Oracle TDE i Azure Virtual Machines. Lift and shift som kräver pin-bearbetning av betalning stöds av Azure Payment HSM. Alla andra scenarier stöds av Azure Dedicated HSM. Äldre API:er och bibliotek som PKCS11, JCA/JCE och CNG/KSP stöds endast av Azure Dedicated HSM.
- Bearbetning av PIN-kod för betalning omfattar att tillåta kort- och mobilbetalningsauktorisering och 3D-säker autentisering. PIN-kodsgenerering, hantering och validering; utfärdande av betalningsautentiseringsuppgifter för kort, wearables och anslutna enheter. skydda nycklar och autentiseringsdata. och känsligt dataskydd för punkt-till-punkt-kryptering, säkerhetstokenisering och EMV-betalningstokenisering. Detta omfattar även certifieringar som PCI DSS, PCI 3DS och PCI PIN. Dessa stöds av Azure Payment HSM.
Flödesschemaresultatet är en startpunkt för att identifiera den lösning som bäst matchar dina behov.
Jämför andra kundkrav
Azure tillhandahåller flera viktiga hanteringslösningar som gör det möjligt för kunder att välja en produkt baserat på både höga krav och hanteringsansvar. Det finns ett spektrum av hanteringsansvar som sträcker sig från Azure Key Vault och Azure Managed HSM som har mindre kundansvar, följt av att Azure Dedicated HSM och Azure Payment HSM har det största kundansvaret.
Den här kompromissen mellan hanteringsansvaret mellan kunden och Microsoft och andra krav beskrivs i tabellen nedan.
Etablering och värdhantering hanteras av Microsoft i alla lösningar. Nyckelgenerering och hantering, roller och behörigheter som beviljar samt övervakning och granskning är kundens ansvar för alla lösningar.
Använd tabellen för att jämföra alla lösningar sida vid sida. Börja uppifrån och ned och svara på varje fråga som finns i kolumnen längst till vänster för att hjälpa dig att välja den lösning som uppfyller alla dina behov, inklusive hanteringskostnader och kostnader.
| AKV Standard | AKV Premium | Azure Managed HSM | Azure Dedicated HSM | Azure Payment HSM | |
|---|---|---|---|---|---|
| Vilken efterlevnadsnivå behöver du? | FIPS 140-2 nivå 1 | FIPS 140-2 nivå 3, PCI DSS, PCI 3DS** | FIPS 140-2 nivå 3, PCI DSS, PCI 3DS | FIPS 140-2 nivå 3, HIPPA, PCI DSS, PCI 3DS, eIDAS CC EAL4+, GSMA | FIPS 140-2 nivå 3, PCI PTS HSM v3, PCI DSS, PCI 3DS, PCI PIN |
| Behöver du nyckelsuveränitet? | Nej | No | Ja | Ja | Ja |
| Vilken typ av hyresrätt letar du efter? | Flera klientorganisationer | Flera klientorganisationer | Enskild klientorganisation | Enskild klientorganisation | Enskild klientorganisation |
| Vilka är dina användningsfall? | Kryptering i vila, CMK, anpassad | Kryptering i vila, CMK, anpassad | Kryptering i vila, TLS-avlastning, CMK, anpassad | PKCS11, TLS Offload, kod/dokumentsignering, anpassad | Bearbetning av PIN-kod för betalning, anpassad |
| Vill du ha HSM-maskinvaruskydd? | Nej | Ja | Ja | Ja | Ja |
| Vad är din budget? | $ | $$ | $$$ | $$$$ | $$$$ |
| Vem tar ansvar för korrigering och underhåll? | Microsoft | Microsoft | Microsoft | Kunder | Kunder |
| Vem tar ansvar för tjänstens hälsa och maskinvaruredundans? | Microsoft | Microsoft | Delad | Kunder | Kunder |
| Vilken typ av objekt använder du? | Asymmetriska nycklar, hemligheter, certifikat | Asymmetriska nycklar, hemligheter, certifikat | Asymmetriska/symmetriska nycklar | Asymmetriska/symmetriska nycklar, certifikat | Lokal primärnyckel |
| Roten för förtroendekontroll | Microsoft | Microsoft | Kunder | Kunder | Kunder |
Vanliga nyckelhanteringslösningar som används av branschsegment
Här är en lista över viktiga hanteringslösningar som vi ofta ser används baserat på bransch.
| Bransch | Föreslagen Azure-lösning | Överväganden för föreslagna lösningar |
|---|---|---|
| Jag är ett företag eller en organisation med strikta krav på säkerhet och efterlevnad (t.ex. bank, myndigheter, strikt reglerade branscher). Jag är en direkt-till-konsument e-handelshandlare som behöver lagra, bearbeta och överföra mina kunders kreditkort till min externa betalningsprocessor/gateway och letar efter en PCI-kompatibel lösning. |
Azure Managed HSM | Azure Managed HSM tillhandahåller FIPS 140-2 Level 3-efterlevnad och är en PCI-kompatibel lösning för e-handel. Den stöder kryptering för PCI DSS 4.0. Det ger HSM-säkerhetskopierade nycklar och ger kunderna nyckelsuveränitet och enskild innehavarorganisation. |
| Jag är en tjänstleverantör för finansiella tjänster, en utfärdare, en kortförvärvare, ett kortnätverk, en betalningsgateway/PSP eller 3DS-lösningsleverantör som letar efter en enda klienttjänst som kan uppfylla PCI och flera större efterlevnadsramverk. | Azure Payment HSM | Azure Payment HSM tillhandahåller FIPS 140-2 Level 3, PCI HSM v3, PCI DSS, PCI 3DS och PCI PIN-kompatibilitet. Det ger viktig suveränitet och enskild innehavarorganisation, vanliga interna efterlevnadskrav kring betalningsbearbetning. Azure Payment HSM tillhandahåller fullständig betalningstransaktion och stöd för PIN-bearbetning. |
| Jag är en tidig startup-kund som vill skapa en prototyp för ett molnbaserat program. | Azure Key Vault Standard | Azure Key Vault Standard tillhandahåller programvarubaserade nycklar till ett ekonomipris. |
| Jag är en startup-kund som vill skapa ett molnbaserat program. | Azure Key Vault Premium, Azure Managed HSM | Både Azure Key Vault Premium och Azure Managed HSM tillhandahåller HSM-säkerhetskopierade nycklar* och är de bästa lösningarna för att skapa molnbaserade program. |
| Jag är en IaaS-kund som vill flytta mitt program för att använda virtuella Azure-datorer/HSM:er. | Dedikerad HSM i Azure | Azure Dedicated HSM stöder SQL IaaS-kunder. Det är den enda lösningen som stöder PKCS11 och anpassade icke-molnbaserade program. |
Läs mer om azure-nyckelhanteringslösningar
Azure Key Vault (standardnivå): En FIPS 140-2 Level 1-validerad tjänst för hantering av molnnycklar för flera klientorganisationer som kan användas för att lagra både asymmetriska och symmetriska nycklar, hemligheter och certifikat. Nycklar som lagras i Azure Key Vault är programvaruskyddade och kan användas för kryptering i vila och anpassade program. Azure Key Vault Standard tillhandahåller ett modernt API och en bredd av regionala distributioner och integreringar med Azure Services. Mer information finns i Om Azure Key Vault.
Azure Key Vault (Premium-nivå): Ett FIPS 140-2 Level 3** verifierat HSM-erbjudande för flera klientorganisationer som kan användas för att lagra både asymmetriska och symmetriska nycklar, hemligheter och certifikat. Nycklar lagras i en säker maskinvarugräns*. Microsoft hanterar och driver underliggande HSM, och nycklar som lagras i Azure Key Vault Premium kan användas för kryptering i vila och anpassade program. Azure Key Vault Premium tillhandahåller också ett modernt API och en bredd av regionala distributioner och integreringar med Azure Services. Om du är en AKV Premium-kund som letar efter nyckelsuveränitet, enskild innehavarorganisation och/eller högre kryptoåtgärder per sekund kanske du vill överväga Hanterad HSM i stället. Mer information finns i Om Azure Key Vault.
Azure Managed HSM: Ett FIPS 140-2 Level 3-verifierat, PCI-kompatibelt HSM-erbjudande med en klientorganisation som ger kunderna full kontroll över en HSM för kryptering i vila, nyckellös SSL/TLS-avlastning och anpassade program. Azure Managed HSM är den enda nyckelhanteringslösningen som erbjuder konfidentiella nycklar. Kunder får en pool med tre HSM-partitioner – tillsammans fungerar som en logisk HSM-installation med hög tillgänglighet – som frontas av en tjänst som exponerar kryptofunktioner via Key Vault-API:et. Microsoft hanterar etablering, korrigering, underhåll och maskinvaruredundans för HSM:erna, men har inte åtkomst till själva nycklarna eftersom tjänsten körs i Azures infrastruktur för konfidentiell beräkning. Azure Managed HSM är integrerat med Azure SQL-, Azure Storage- och Azure Information Protection PaaS-tjänsterna och erbjuder stöd för Nyckellös TLS med F5 och Nginx. Mer information finns i Vad är Azure Key Vault Managed HSM?
Azure Dedicated HSM: Ett FIPS 140-2 Level 3-verifierat HSM-erbjudande med en enskild klientorganisation utan operativsystem som gör att kunderna kan leasa en allmän HSM-installation som finns i Microsofts datacenter. Kunden har fullständigt ägarskap över HSM-enheten och ansvarar för att korrigera och uppdatera den inbyggda programvaran vid behov. Microsoft har inga behörigheter på enheten eller åtkomst till nyckelmaterialet och Azure Dedicated HSM är inte integrerat med några Azure PaaS-erbjudanden. Kunder kan interagera med HSM med hjälp av API:erna PKCS#11, JCE/JCA och KSP/CNG. Det här erbjudandet är mest användbart för äldre lift-and-shift-arbetsbelastningar, PKI, SSL Offloading och Keyless TLS (integreringar som stöds är F5, Nginx, Apache, Palo Alto, IBM GW med mera), OpenSSL-program, Oracle TDE och Azure SQL TDE IaaS. Mer information finns i Vad är Azure Dedicated HSM?
Azure Payment HSM: Ett FIPS 140-2 Level 3, PCI HSM v3, validerat HSM-erbjudande med en enda klient utan operativsystem som låter kunder leasa en HSM-betalningsinstallation i Microsofts datacenter för betalningsåtgärder, inklusive bearbetning av pin-kod för betalning, utfärdande av betalningsautentiseringsuppgifter, skydd av nycklar och autentiseringsdata samt känsligt dataskydd. Tjänsten är PCI DSS, PCI 3DS och PCI PIN-kompatibel. Azure Payment HSM erbjuder HSM för en klientorganisation där kunderna har fullständig administrativ kontroll och exklusiv åtkomst till HSM. När HSM har allokerats till en kund har Microsoft ingen åtkomst till kunddata. När HSM inte längre krävs nollställs och raderas kunddata på samma sätt så snart HSM släpps för att säkerställa att fullständig sekretess och säkerhet upprätthålls. Mer information finns i Om Azure Payment HSM.
Kommentar
* Med Azure Key Vault Premium kan du skapa både programvaruskyddade nycklar och HSM-skyddade nycklar. Om du använder Azure Key Vault Premium kontrollerar du att nyckeln som skapats är HSM-skyddad.
** Utom brittiska regioner som är FIPS 140-2 nivå 2, PCI DSS.