Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Azure oferece várias soluções para armazenamento e gerenciamento de chaves criptográficas na nuvem: Azure Key Vault (ofertas padrão e premium), HSM Gerenciado do Azure Key Vault, HSM de Nuvem do Azure e HSM de Pagamento do Azure. Este artigo ajuda você a escolher a solução certa com base em seus cenários, requisitos e setor.
Para obter uma visão geral dos principais conceitos de gerenciamento e descrições detalhadas de cada solução, consulte o gerenciamento de chaves no Azure.
Para restringir uma solução de gerenciamento de chaves, siga o fluxograma com base em requisitos comuns de alto nível e cenários de gerenciamento de chaves. Como alternativa, use a tabela com base em requisitos específicos do cliente que a seguem. Se você fornecer vários produtos como soluções ou se quiser ter certeza sobre como escolher o produto certo, use uma combinação do fluxograma e da tabela para tomar uma decisão final. Se você estiver curioso para saber o que outros clientes do mesmo setor usam, leia a tabela de soluções comuns de gerenciamento de chaves por segmento do setor.
Escolher uma solução de gerenciamento de chaves do Azure por cenário
O gráfico a seguir descreve os requisitos comuns e os cenários de caso de uso e a solução recomendada de gerenciamento de chaves do Azure.
O gráfico se refere a esses requisitos comuns:
- FIPS-140 é um padrão do governo dos EUA com diferentes níveis de requisitos de segurança. Para obter mais informações, consulte Padrão FIPS (Federal Information Processing Standard) 140.
- Soberania de chave é quando a organização do cliente tem controle total e exclusivo de suas chaves, incluindo o controle sobre quais usuários e serviços podem acessar as chaves e as políticas de gerenciamento de chaves.
- A Locação única refere-se a uma única instância dedicada de um aplicativo implantado para cada cliente, em vez de uma instância compartilhada entre vários clientes. A necessidade de produtos de locatário único geralmente é encontrada como um requisito de conformidade interna nos setores de serviços financeiros.
Isso também se refere a estes vários casos de uso de gerenciamento de chaves:
- Criptografia em repouso normalmente é habilitada para modelos de IaaS, PaaS e SaaS do Azure. Aplicativos como o Microsoft 365; Proteção de Informações do Microsoft Purview; serviços de plataforma nos quais a nuvem é usada para funcionalidade de armazenamento, análise e barramento de serviço e serviços de infraestrutura nos quais sistemas operacionais e aplicativos são hospedados e implantados na nuvem usam a criptografia em repouso. As Chaves gerenciadas pelo cliente para criptografia em repouso são usadas com o Armazenamento do Microsoft Azure e o Microsoft Entra ID. Para maior segurança, as chaves devem ser chaves RSA com suporte de HSM, 3k ou 4k. Para obter mais informações sobre a criptografia em repouso, confira Criptografia de dados em repouso do Azure.
- O Descarregamento de SSL/TLS tem suporte no HSM Gerenciado do Azure e no HSM de Nuvem do Azure. Os clientes melhoraram a alta disponibilidade, a segurança e o melhor ponto de preço no HSM Gerenciado do Azure para F5 e Nginx.
- Lift-and-shift se refere a cenários em que um aplicativo PKCS11 local é migrado para Máquinas Virtuais do Microsoft Azure e o software em execução, como o Oracle TDE em Máquinas Virtuais do Microsoft Azure. O lift-and-shift que exige o processamento de PIN de pagamento é compatível com o HSM de Pagamento do Azure. Todos os outros cenários são compatíveis com o HSM de Nuvem do Azure. APIs e bibliotecas herdadas, como PKCS11, JCA/JCE e CNG/KSP, só têm suporte no HSM de Nuvem do Azure.
- Processamento de PIN de pagamento inclui permitir autorização de pagamento móvel e por cartão e autenticação 3D-Secure; criação, gerenciamento e validação de PIN; emissão de credenciais de pagamento para cartões, acessórios e dispositivos conectados; proteger chaves e dados de autenticação; e proteção de dados confidenciais para criptografia de ponta a ponta, geração de tokens de segurança e geração de tokens de pagamento EMV. Isso também inclui certificações como PCI DSS, PCI 3DS e PCI PIN. Eles só têm suporte do HSM de Pagamento do Azure.
O resultado do fluxograma é um ponto de partida para identificar a solução que melhor corresponde às suas necessidades.
Comparar outros requisitos do cliente
O Azure fornece várias soluções de gerenciamento de chave para permitir que os clientes escolham um produto com base em requisitos de alto nível e responsabilidades de gerenciamento. Há um espectro de responsabilidades de gerenciamento que vai desde o Azure Key Vault, o HSM Gerenciado do Azure e o Azure Cloud HSM, com menor responsabilidade do cliente (a Microsoft lida com a aplicação de patches e manutenção), até o HSM de Pagamento do Azure, com a maior responsabilidade do cliente.
Essa compensação da responsabilidade de gerenciamento entre o cliente e a Microsoft e outros requisitos é detalhada na tabela abaixo.
O provisionamento e a hospedagem são gerenciados pela Microsoft em todas as soluções. A geração e o gerenciamento de chaves, as funções e as permissões concedidas e o monitoramento e a auditoria são responsabilidade do cliente em todas as soluções.
Use a tabela para comparar todas as soluções lado a lado. Comece de cima para baixo, respondendo a cada pergunta na coluna mais à esquerda para ajudá-lo a escolher a solução que atenda a todas as suas necessidades, incluindo sobrecarga e custos de gerenciamento.
| AKV Standard | AKV Premium | Sobre o HSM Gerenciado do Azure Key Vault | HSM do Azure Cloud | HSM de Pagamento do Azure | |
|---|---|---|---|---|---|
| Qual nível de conformidade você precisa? | FIPS 140-2 Nível 1 | FIPS 140-3 nível 3 | FIPS 140-3 nível 3, PCI DSS, PCI 3DS | FIPS 140-3 nível 3 | FIPS 140-2 level 3, PCI HSM v3, PCI PTS HSM v3, PCI DSS, PCI 3DS, PCI PIN |
| Você precisa de uma soberania de chaves? | Não | Não | Sim | Sim | Sim |
| Que tipo de locação você está procurando? | Multilocatário | Multilocatário | Locatário Único | Locatário Único | Locatário Único |
| Quais são seus casos de uso? | Criptografia em repouso, CMK, personalizado | Criptografia em repouso, CMK, personalizado | Criptografia em repouso, descarregamento de TLS, CMK, personalizado | Levantar e deslocar, PKCS#11, Descarregamento de TLS, TDE, assinatura de código | Processos de PIN de pagamento, personalizado |
| Você quer proteção de hardware do HSM? | Não | Sim | Sim | Sim | Sim |
| Que é o seu orçamento? | $ | $$ | $$$ | $$$ | $$$$ |
| Quem é responsável pela aplicação de patch e manutenção? | Microsoft | Microsoft | Microsoft | Microsoft | Cliente |
| Quem é responsável pela integridade do serviço e failover de hardware? | Microsoft | Microsoft | Compartilhado | Microsoft | Cliente |
| Que tipo de objetos você está usando? | Chaves Asym, Secrets, Certs | Chaves Asym, Secrets, Certs | Chaves Asym/Sym | Chaves asym/Sym, Certs | Chave Mestra Local |
| Raiz do controle de confiança | Microsoft | Microsoft | Cliente | Cliente | Cliente |
Solução comum de gerenciamento de chaves usada por segmentos do setor
Aqui está uma lista das principais soluções de gerenciamento de chaces que normalmente vemos sendo utilizadas com base no setor.
| Setor | Solução sugerida do Azure | Considerações sobre as soluções sugeridas |
|---|---|---|
| Sou uma empresa ou uma organização com requisitos estritos de segurança e conformidade (por exemplo: setores bancários, governamentais e altamente regulamentados). | Sobre o HSM Gerenciado do Azure Key Vault | O HSM Gerenciado do Azure Key Vault fornece conformidade fips 140-3 nível 3 e é uma solução compatível com PCI para o comércio eletrônico. Ele dá suporte à criptografia para PCI DSS 4.0. Ele fornece chaves com suporte do HSM e fornece aos clientes a soberania de chaves e a locação única. |
| Sou um comerciante de comércio eletrônico direto ao consumidor que precisa armazenar, processar e transmitir cartões de crédito dos meus clientes para meu processador/gateway de pagamento externo e procurando uma solução compatível com PCI. | Sobre o HSM Gerenciado do Azure Key Vault | O HSM Gerenciado do Azure Key Vault fornece conformidade fips 140-3 nível 3 e é uma solução compatível com PCI para o comércio eletrônico. Ele dá suporte à criptografia para PCI DSS 4.0. Ele fornece chaves com suporte do HSM e fornece aos clientes a soberania de chaves e a locação única. |
| Sou um provedor de serviços para serviços financeiros, um emissor, um cartão adquirente, uma rede de cartões, um gateway de pagamento/PSP ou um provedor de soluções 3DS procurando um serviço de locatário único que possa atender ao PCI e a várias estruturas de conformidade principais. | HSM de Pagamento do Azure | O HSM de Pagamento do Azure fornece conformidade FIPS 140-2 nível 3, PCI HSM v3, PCI DSS, PCI 3DS e PCI PIN. Ele fornece soberania de chaves e locação única, requisitos comuns de conformidade interna em torno do processamento de pagamentos. O HSM de Pagamento do Azure fornece suporte completo para transações de pagamento e processamento de PIN. |
| Sou cliente de startup em estágio inicial que procura criar protótipos de um aplicativo nativo de nuvem. | Azure Key Vault Standard (Cofre de Chaves Azure Padrão) | O Azure Key Vault Standard fornece chaves com backup de software a um preço econômico. |
| Sou um cliente de startup que busca criar um aplicativo nativo de nuvem. | Azure Key Vault Premium, HSM Gerenciado do Azure Key Vault | O Azure Key Vault Premium e o HSM Gerenciado do Azure Key Vault fornecem chaves com suporte de HSM* e são as melhores soluções para a criação de aplicativos nativos de nuvem. |
| Sou um cliente IaaS que deseja mover meu aplicativo para usar VM/HSMs do Azure. | HSM de Nuvem do Azure | O HSM Gerenciado do Azure Key Vault dá suporte a cenários de IaaS e fornece conformidade FIPS 140-3 nível 3 com soberania de chave. Azure Cloud HSM é ideal para cenários de lift-and-shift que exigem suporte a PKCS#11, como a migração a partir de HSMs locais, HSM Dedicado do Azure ou AWS CloudHSM. |
Para obter informações detalhadas sobre cada solução de gerenciamento de chaves do Azure, incluindo especificações técnicas e casos de uso, consulte o gerenciamento de chaves no Azure.