Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Platforma Azure oferuje kilka rozwiązań do kryptograficznego magazynu kluczy i zarządzania nimi w chmurze: Azure Key Vault (oferty standardowe i premium), zarządzany moduł HSM usługi Azure Key Vault, moduł HSM w chmurze platformy Azure i moduł HSM usługi Azure Payment. Ten artykuł ułatwia wybór odpowiedniego rozwiązania na podstawie scenariuszy, wymagań i branży.
Aby zapoznać się z omówieniem kluczowych pojęć związanych z zarządzaniem i szczegółowymi opisami poszczególnych rozwiązań, zobacz Zarządzanie kluczami na platformie Azure.
Aby określić rozwiązanie do zarządzania kluczami, postępuj zgodnie ze schematem blokowym na podstawie typowych wymagań wysokiego poziomu i scenariuszy zarządzania kluczami. Alternatywnie, użyj tabeli opartej na określonych wymaganiach klienta, która znajduje się poniżej. Jeśli dostarczasz wiele produktów jako rozwiązań lub chcesz zapewnić pewność wyboru odpowiedniego produktu, użyj kombinacji schematu blokowego i tabeli, aby podjąć ostateczną decyzję. Jeśli zastanawiasz się, co inni klienci w tej samej branży używają, przeczytaj tabelę typowych kluczowych rozwiązań do zarządzania według segmentu branżowego.
Wybieranie rozwiązania do zarządzania kluczami platformy Azure według scenariusza
Na poniższym wykresie opisano typowe wymagania i scenariusze przypadków użycia oraz zalecane rozwiązanie do zarządzania kluczami platformy Azure.
Wykres odnosi się do następujących typowych wymagań:
- FIPS-140 to amerykański standard rządowy o różnych poziomach wymagań dotyczących zabezpieczeń. Aby uzyskać więcej informacji, zobacz Federal Information Processing Standard (FIPS) 140.
- Suwerenność kluczy to sytuacja, w której organizacja klienta ma pełną i wyłączną kontrolę nad swoimi kluczami, w tym nad tym, którzy użytkownicy i jakie usługi mogą uzyskiwać do nich dostęp, oraz nad politykami zarządzania kluczami.
- Pojedyncza dzierżawa odnosi się do pojedynczej dedykowanej instancji aplikacji wdrożonej dla każdego klienta, a nie dzielonej z innymi klientami. Zapotrzebowanie na produkty dla jednego najemcy jest często spotykane jako wymóg wewnętrznej zgodności w branżach usług finansowych.
Odnosi się również do tych różnych przypadków użycia zarządzania kluczami:
- Szyfrowanie danych w spoczynku jest zwykle włączone dla modeli IaaS, PaaS i SaaS w Azure. Aplikacje, takie jak Microsoft 365, Microsoft Purview Information Protection; usługi platformy, w których chmura jest wykorzystywana do przechowywania, analizy i funkcji magistrali usług; oraz usługi infrastruktury, w których systemy operacyjne i aplikacje są hostowane i wdrażane w chmurze, korzystają z szyfrowania danych w stanie spoczynku. Klucze zarządzane przez klienta dla szyfrowania danych w stanie spoczynku są używane z Azure Storage i Microsoft Entra. Dla najwyższego poziomu bezpieczeństwa klucze powinny być wspierane przez moduły HSM i powinny to być klucze RSA o długości 3k lub 4k. Aby uzyskać więcej informacji na temat szyfrowania danych w stanie spoczynku, zobacz Szyfrowanie danych w spoczynku w usłudze Azure.
- Odciążanie protokołu SSL/TLS jest obsługiwane w zarządzanym module HSM platformy Azure i w usłudze Azure Cloud HSM. Klienci korzystają z ulepszonej wysokiej dostępności, bezpieczeństwa i najlepszej ceny w zarządzanym module HSM platformy Azure dla rozwiązań F5 i Nginx.
- Migracja metodą "lift and shift" dotyczy sytuacji, w których lokalna aplikacja PKCS11 jest migrowana do Azure Virtual Machines i uruchamia oprogramowanie takie jak Oracle TDE w Azure Virtual Machines. Funkcja lift-and-shift wymagająca przetwarzania numeru PIN płatności jest obsługiwana przez moduł HSM płatności platformy Azure. Wszystkie inne scenariusze są obsługiwane przez moduł HSM w chmurze platformy Azure. Starsze interfejsy API i biblioteki, takie jak PKCS11, JCA/JCE i CNG/KSP, są obsługiwane tylko przez moduł HSM w chmurze platformy Azure.
- Przetwarzanie numeru PIN płatności obejmuje umożliwienie autoryzacji płatności kartami i mobilnymi oraz uwierzytelnianie 3D-Secure; generowanie, zarządzanie oraz walidacja numeru PIN; wystawianie poświadczeń płatniczych dla kart, urządzeń noszonych i urządzeń podłączonych; zabezpieczanie kluczy i danych uwierzytelniania; oraz ochrona poufnych danych w zakresie szyfrowania punkt-punkt, tokenizacji bezpieczeństwa i tokenizacji płatności EMV. Obejmuje to również certyfikaty, takie jak PCI DSS, PCI 3DS i PCI PIN. Są one obsługiwane tylko przez moduł HSM usługi Azure Payment.
Wynik schematu blokowego to punkt wyjścia do zidentyfikowania rozwiązania, które najlepiej odpowiada Twoim potrzebom.
Porównanie innych wymagań klientów
Platforma Azure udostępnia wiele kluczowych rozwiązań do zarządzania, aby umożliwić klientom wybór produktu na podstawie zarówno wymagań wysokiego poziomu, jak i obowiązków związanych z zarządzaniem. Istnieje spektrum obowiązków związanych z zarządzaniem, od usługi Azure Key Vault, zarządzanego modułu HSM platformy Azure i modułu HSM w chmurze platformy Azure o mniejszej odpowiedzialności klienta (firma Microsoft obsługuje stosowanie poprawek i konserwację), do modułu HSM płatności platformy Azure, który ponosi największą odpowiedzialność za klienta.
Ta kompromis w zakresie odpowiedzialności za zarządzanie między klientem a firmą Microsoft i innymi wymaganiami jest szczegółowo opisany w poniższej tabeli.
Aprowizowanie i hosting są zarządzane przez firmę Microsoft we wszystkich rozwiązaniach. Generowanie kluczy i zarządzanie, udzielanie ról i uprawnień, a monitorowanie i inspekcja są obowiązkiem klienta we wszystkich rozwiązaniach.
Użyj tabeli, aby porównać wszystkie rozwiązania obok siebie. Zacznij od góry do dołu, odpowiadając na każde pytanie znajdujące się w lewej kolumnie, aby ułatwić wybór rozwiązania spełniającego wszystkie twoje potrzeby, w tym koszty i koszty związane z zarządzaniem.
| AKV Standard | AKV Premium | Zarządzany moduł HSM usługi Azure Key Vault | Moduł HSM w chmurze platformy Azure | Moduł HSM do płatności w Azure | |
|---|---|---|---|---|---|
| Jakiego poziomu zgodności potrzebujesz? | FIPS 140-2 poziom 1 | FIPS 140-3 poziom 3 | FIPS 140-3 poziom 3, PCI DSS, PCI 3DS | FIPS 140-3 poziom 3 | FIPS 140-2 poziom 3, PCI HSM v3, PCI PTS HSM v3, PCI DSS, PCI 3DS, PCI PIN |
| Czy potrzebujesz kluczowej suwerenności? | Nie | Nie | Tak | Tak | Tak |
| Jakiego rodzaju dzierżawa szukasz? | Wielodostępność | Wielodostępność | Pojedynczy najemca | Pojedynczy najemca | Pojedynczy najemca |
| Jakie są twoje scenariusze użycia? | Szyfrowanie danych w spoczynku, CMK, niestandardowe | Szyfrowanie danych w spoczynku, CMK, niestandardowe | Szyfrowanie w spoczynku, odciążanie protokołu TLS, cmK, niestandardowe | Lift and shift, PKCS#11, odciążanie TLS, TDE, podpisywanie kodu | Procesy niestandardowe PIN-u płatności |
| Czy potrzebujesz ochrony sprzętowej modułu HSM? | Nie | Tak | Tak | Tak | Tak |
| Jaki jest budżet? | $ | $$ | $$$ | $$$ | $$$$ |
| Kto ponosi odpowiedzialność za stosowanie poprawek i konserwację? | Microsoft | Microsoft | Microsoft | Microsoft | Klient |
| Kto ponosi odpowiedzialność za stan usługi i awaryjne przełączanie sprzętu? | Microsoft | Microsoft | Udostępniona | Microsoft | Klient |
| Jakiego rodzaju obiekty używasz? | Klucze asym, wpisy tajne, certyfikaty | Klucze asym, wpisy tajne, certyfikaty | Klucze asym/Sym | Klucze asymetryczne/symetryczne, certyfikaty | Lokalny klucz główny |
| Kontrola podstawy zaufania | Microsoft | Microsoft | Klient | Klient | Klient |
Typowe rozwiązanie do zarządzania kluczami używane przez segmenty branżowe
Poniżej znajduje się lista kluczowych rozwiązań do zarządzania, które często widzimy, że są używane w oparciu o branżę.
| Branżowe | Sugerowane rozwiązanie platformy Azure | Zagadnienia dotyczące sugerowanych rozwiązań |
|---|---|---|
| Jestem przedsiębiorstwem lub organizacją z rygorystycznymi wymaganiami dotyczącymi zabezpieczeń i zgodności (np. bankowość, instytucje rządowe, wysoce regulowane branże). | Zarządzany moduł HSM usługi Azure Key Vault | Zarządzany moduł HSM usługi Azure Key Vault zapewnia zgodność ze standardem FIPS 140-3 poziom 3 i jest to rozwiązanie zgodne ze standardem PCI dla handlu elektronicznego. Obsługuje ona szyfrowanie dla standardu PCI DSS 4.0. Udostępnia klucze wspierane przez moduł HSM i zapewnia klientom suwerenność kluczy oraz jednoosobową dzierżawę. |
| Jestem bezpośrednim sprzedawcą handlu elektronicznego, który musi przechowywać, przetwarzać i przesyłać karty kredytowe moich klientów do mojego zewnętrznego podmiotu przetwarzającego/bramę płatności i szuka rozwiązania zgodnego ze standardem PCI. | Zarządzany moduł HSM usługi Azure Key Vault | Zarządzany moduł HSM usługi Azure Key Vault zapewnia zgodność ze standardem FIPS 140-3 poziom 3 i jest to rozwiązanie zgodne ze standardem PCI dla handlu elektronicznego. Obsługuje ona szyfrowanie dla standardu PCI DSS 4.0. Udostępnia klucze wspierane przez moduł HSM i zapewnia klientom suwerenność kluczy oraz jednoosobową dzierżawę. |
| Jestem dostawcą usług finansowych, wystawcą, instytucją rozliczeniową, siecią kart, bramą płatności/PSP lub dostawcą rozwiązań 3DS, który szuka jednostanowiskowej usługi, która może spełniać standardy PCI i wiele głównych struktur zgodności. | Azure Payment HSM | Moduł HSM płatności platformy Azure zapewnia zgodność ze standardami FIPS 140-2 Level 3, PCI HSM v3, PCI DSS, PCI 3DS i PCI PIN. Zapewnia kluczową suwerenność i pojedynczą dzierżawę, a także typowe wewnętrzne wymagania zgodności związane z przetwarzaniem płatności. Moduł HSM płatności platformy Azure zapewnia pełną obsługę transakcji płatności i numeru PIN. |
| Jestem klientem startowym na wczesnym etapie, który chce utworzyć prototyp aplikacji natywnej dla chmury. | Azure Key Vault w warstwie Standard | Usługa Azure Key Vault w warstwie Standard udostępnia klucze oparte na oprogramowaniu w cenie ekonomicznej. |
| Jestem klientem startowym, który chce utworzyć aplikację natywną dla chmury. | Azure Key Vault — wersja Premium, zarządzany moduł HSM usługi Azure Key Vault | Zarówno usługa Azure Key Vault Premium, jak i zarządzany moduł HSM usługi Azure Key Vault zapewniają klucze oparte na module HSM* i są najlepszymi rozwiązaniami do tworzenia aplikacji natywnych dla chmury. |
| Jestem klientem IaaS, który chce przenieść aplikację do korzystania z maszyn wirtualnych/modułów HSM platformy Azure. | Moduł HSM w chmurze platformy Azure | Zarządzany moduł HSM usługi Azure Key Vault obsługuje scenariusze IaaS i zapewnia zgodność ze standardem FIPS 140-3 poziom 3 z kluczową niezależnością. Moduł HSM w chmurze platformy Azure jest idealnym rozwiązaniem w scenariuszach typu lift-and-shift wymagających obsługi protokołu PKCS#11, takich jak migracja z lokalnych modułów HSM, dedykowanego modułu HSM platformy Azure lub rozwiązania AWS CloudHSM. |
Aby uzyskać szczegółowe informacje na temat każdego rozwiązania do zarządzania kluczami platformy Azure, w tym specyfikacji technicznych i przypadków użycia, zobacz Zarządzanie kluczami na platformie Azure.