Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure ofrece varias soluciones para el almacenamiento y la administración de claves criptográficas en la nube: Azure Key Vault (ofertas estándar y premium), HSM administrado de Azure Key Vault, Azure Cloud HSM y Azure Payment HSM. Este artículo le ayuda a elegir la solución adecuada en función de sus escenarios, requisitos y sector.
Para obtener información general sobre los conceptos de administración de claves y descripciones detalladas de cada solución, consulte Administración de claves en Azure.
Para restringir una solución de administración de claves, siga el diagrama de flujo en función de los requisitos generales comunes y los escenarios de administración de claves. Como alternativa, use la tabla en función de los requisitos específicos del cliente que le siguen. Si proporciona varios productos como soluciones, o si desea asegurarse de elegir el producto adecuado, use una combinación del diagrama de flujo y la tabla para tomar una decisión final. Si tiene curiosidad por lo que usan otros clientes del mismo sector, lea la tabla de soluciones comunes de administración de claves por segmento del sector.
Elección de una solución de administración de claves de Azure por escenario
En el gráfico siguiente se describen los requisitos comunes, los escenarios de casos de uso y la solución de administración de claves de Azure recomendada.
En el gráfico se hace referencia a estos requisitos comunes:
- FIPS-140 es un estándar del gobierno de EE. UU. con diferentes niveles de requisitos de seguridad. Para obtener más información, consulte Estándar federal de procesamiento de información (FIPS) 140.
- La soberanía de claves se da cuando la organización del cliente tiene el control total y exclusivo de sus claves, incluido el control sobre qué usuarios y servicios pueden acceder a las claves y las directivas de administración de claves.
- El inquilino único hace referencia a una sola instancia dedicada de una aplicación implementada para cada cliente, en lugar de a una instancia compartida entre varios clientes. La necesidad de productos de inquilino único suele ser un requisito de cumplimiento interno en los sectores de servicios financieros.
También hace referencia a los siguientes casos de uso de administración de claves:
- Cifrado en reposo, que se habilita normalmente para los modelos IaaS, PaaS y SaaS de Azure. El cifrado en reposo lo usan aplicaciones como Microsoft 365, Microsoft Purview Information Protection, servicios de plataforma en los que se usa la nube para el almacenamiento, el análisis y la funcionalidad de Service Bus, y servicios de infraestructura donde los sistemas operativos y las aplicaciones se hospedan e implementan en la nube. Las claves administradas por el cliente para el cifrado en reposo se usan con Azure Storage y Microsoft Entra. Para mayor seguridad, las claves deben ser claves RSA de 3k o 4k respaldadas por HSM. Para obtener más información sobre el cifrado en reposo, consulte Cifrado en reposo de datos de Azure.
- La descarga de SSL/TLS es compatible con Azure Managed HSM y Azure Cloud HSM. Los clientes han mejorado la alta disponibilidad, la seguridad y el mejor punto de precio en Azure Managed HSM para F5 y Nginx.
- Lift and shift hacen referencia a escenarios en los que una aplicación PKCS11 local se migra a Azure Virtual Machines y ejecuta software como Oracle TDE en Azure Virtual Machines. Azure Payment HSM admite la migración mediante lift-and-shift que requiere el procesamiento del PIN de pago. Todos los demás escenarios son compatibles con Azure Cloud HSM. Las API y bibliotecas heredadas, como PKCS11, JCA/JCE, y CNG/KSP solo son compatibles con Azure Cloud HSM.
- El procesamiento de los PIN de pago comprenden la autorización de pagos con tarjeta y móviles y la autenticación 3D-Secure; la generación, administración y validación de PIN; la emisión de credenciales de pago para tarjetas, dispositivos ponibles y dispositivos conectados; la protección de claves y datos de autenticación; y la protección de datos confidenciales para el cifrado de punto a punto, la tokenización de seguridad y la tokenización de pago de EMV. También se incluyen las certificaciones, como PCI DSS, PCI 3DS y PCI PIN. Solo son compatibles con HSM de pago de Azure.
El resultado del diagrama de flujo le sirve de punto de inicial para determinar qué solución se adapta mejor a sus necesidades.
Comparación de otros requisitos del cliente
Azure proporciona varias soluciones de administración de claves que permiten a los clientes elegir un producto en función tanto de los requisitos de alto nivel como de las responsabilidades de administración. Existe un espectro de responsabilidades de gestión que van desde Azure Key Vault, Azure Managed HSM y Azure Cloud HSM que tienen menos responsabilidad para el cliente (Microsoft gestiona la aplicación de revisiones y el mantenimiento) hasta Azure Payment HSM, con la mayor responsabilidad del cliente.
En la tabla siguiente se detalla esta concesión de responsabilidades de administración entre el cliente y Microsoft así como otros requisitos.
Microsoft administra el aprovisionamiento y el hospedaje en todas las soluciones. La generación y administración de claves, la concesión de roles y permisos, y la supervisión y auditoría son responsabilidad del cliente en todas las soluciones.
Use la tabla para comparar todas las soluciones en paralelo. Comience de arriba abajo, respondiendo a cada una de las preguntas que se encuentran en la columna de la izquierda para poder elegir la solución que satisfaga todas sus necesidades, incluidas las de administración y costes.
| AKV Estándar | AKV Premium | HSM administrado por Azure Key Vault | Azure Cloud HSM | Azure Payment HSM | |
|---|---|---|---|---|---|
| ¿Qué nivel de cumplimiento necesita? | FIPS 140-2 Nivel 1 | FIPS 140-3 nivel 3 | FIPS 140-3 nivel 3, PCI DSS, PCI 3DS | FIPS 140-3 nivel 3 | FIPS 140-2 nivel 3, PCI HSM v3, PCI PTS HSM v3, PCI DSS, PCI 3DS, PCI PIN |
| ¿Necesita la soberanía de claves? | No | No | Sí | Sí | Sí |
| ¿Qué tipo de inquilino quiere? | Multiinquilino | Multiinquilino | Un solo inquilino | Un solo inquilino | Un solo inquilino |
| ¿Cuáles son los casos de uso? | Cifrado en reposo, CMK, personalizado | Cifrado en reposo, CMK, personalizado | Cifrado en reposo, descarga TLS, CMK, personalizado | "Lift and shift (migración directa), PKCS#11, TLS Offload (descarga de TLS), TDE (cifrado de datos transparente), firma de código" | Procesos de PIN de pago, personalizados |
| ¿Quiere la protección de hardware de HSM? | No | Sí | Sí | Sí | Sí |
| ¿Qué presupuesto tiene? | $ | $$ | $$$ | $$$ | $$$$ |
| ¿Quién asumirá la responsabilidad de la aplicación de revisiones y el mantenimiento? | Microsoft | Microsoft | Microsoft | Microsoft | Cliente |
| ¿Quién asumirá la responsabilidad del estado del servicio y la conmutación por error de hardware? | Microsoft | Microsoft | Compartido | Microsoft | Cliente |
| ¿Qué tipo de objetos va a usar? | Claves asimétricas, secretos, certificados | Claves asimétricas, secretos, certificados | Claves Asimétricas/Simétricas | Claves asimétricas/simétricas, Certificados | Clave maestra local |
| Control de la raíz de confianza | Microsoft | Microsoft | Cliente | Cliente | Cliente |
Usos comunes de soluciones de administración de claves por segmentos del sector
Esta es una lista de las soluciones de administración de claves que se usan habitualmente en función del sector.
| Sector | Solución de Azure recomendada | Consideraciones sobre los servicios recomendados |
|---|---|---|
| Soy una empresa o una organización con estrictos requisitos de seguridad y cumplimiento (por ejemplo: banca, gobierno, sectores altamente regulados). | HSM administrado por Azure Key Vault | HSM administrado de Azure Key Vault proporciona cumplimiento de FIPS 140-3 nivel 3 y es una solución compatible con PCI para comercio electrónico. Admite el cifrado para PCI DSS 4.0. Ofrece claves respaldadas por HSM y proporciona a los clientes la soberanía de claves y el inquilino único. |
| Soy un comerciante de comercio electrónico directo a consumidor que necesita almacenar, procesar y transmitir las tarjetas de crédito de mis clientes a mi procesador o puerta de enlace de pagos externos y buscando una solución compatible con PCI. | HSM administrado por Azure Key Vault | HSM administrado de Azure Key Vault proporciona cumplimiento de FIPS 140-3 nivel 3 y es una solución compatible con PCI para comercio electrónico. Admite el cifrado para PCI DSS 4.0. Ofrece claves respaldadas por HSM y proporciona a los clientes la soberanía de claves y el inquilino único. |
| Soy un proveedor de servicios para servicios financieros, un emisor, un adquiriente de tarjetas, una red de tarjetas, una puerta de enlace de pago/PSP o un proveedor de soluciones 3DS que busca un único servicio de inquilino que pueda cumplir con PCI y varios marcos de cumplimiento importantes. | Azure Payment HSM | Azure Payment HSM proporciona el cumplimiento de FIPS 140-2 nivel 3, PCI HSM v3, PCI DSS, PCI 3DS y PCI PIN. Proporciona soberanía de claves e inquilino único, requisitos comunes de cumplimiento interno en torno al procesamiento de pagos. Azure Payment HSM proporciona plena compatibilidad con las transacciones y el procesamiento PIN de pagos. |
| Cliente de empresa emergente en fase inicial que quiere crear un prototipo de una aplicación nativa en la nube. | Azure Key Vault Estándar | Azure Key Vault Estándar proporciona claves respaldadas por software a un precio económico. |
| Cliente de empresa emergente que quiere producir una aplicación nativa en la nube. | Azure Key Vault Premium, HSM administrado de Azure Key Vault | Tanto Azure Key Vault Premium como Azure Key Vault Managed HSM proporcionan claves respaldadas por HSM* y son las mejores soluciones para crear aplicaciones nativas en la nube. |
| Cliente de IaaS que quiere mover su aplicación para usar Azure VM/HSM. | Azure Cloud HSM | HSM administrado de Azure Key Vault admite escenarios de IaaS y proporciona el cumplimiento de FIPS 140-3 nivel 3 con soberanía clave. Azure Cloud HSM es ideal para escenarios de lift-and-shift que requieren compatibilidad con PKCS#11, como la migración desde HSM local, Azure Dedicated HSM o AWS CloudHSM. |
Para obtener información detallada sobre cada solución de administración de claves de Azure, incluidas las especificaciones técnicas y los casos de uso, consulte Administración de claves en Azure.