Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A Azure oferece várias soluções para armazenamento e gestão de chaves criptográficas na cloud: Azure Key Vault (ofertas padrão e premium), Azure Key Vault Managed HSM, Azure Cloud HSM e Azure Payment HSM. Este artigo ajuda-o a escolher a solução certa com base nos seus cenários, requisitos e setor.
Para obter uma visão geral dos principais conceitos de gerenciamento e descrições detalhadas de cada solução, consulte Gerenciamento de chaves no Azure.
Para restringir uma solução de gerenciamento de chaves, siga o fluxograma com base em requisitos comuns de alto nível e cenários-chave de gerenciamento. Como alternativa, use a tabela baseada nos requisitos específicos do cliente que a segue. Se fornecer vários produtos como soluções, ou se você quiser ter certeza sobre como escolher o produto certo, use uma combinação de fluxograma e tabela para tomar uma decisão final. Se você está curioso sobre o que outros clientes do mesmo setor usam, leia a tabela de soluções de gerenciamento de chaves comuns por segmento de indústria.
Escolha uma solução de gerenciamento de chaves do Azure por cenário
O gráfico a seguir descreve os requisitos comuns e os cenários de caso de uso e a solução recomendada de gerenciamento de chaves do Azure.
O gráfico refere-se a estes requisitos comuns:
- FIPS-140 é um padrão do governo dos EUA com diferentes níveis de requisitos de segurança. Para obter mais informações, consulte Federal Information Processing Standard (FIPS) 140.
- A soberania de chaves é quando a organização do cliente tem controle total e exclusivo de suas chaves, incluindo controle sobre quais usuários e serviços podem acessar as chaves e políticas de gerenciamento de chaves.
- Locação única refere-se a uma única instância dedicada de um aplicativo implantado para cada cliente, em vez de uma instância compartilhada entre vários clientes. A necessidade de produtos de inquilino único é frequentemente encontrada como um requisito de conformidade interno em setores de serviços financeiros.
Também se refere a estes vários casos de uso de gerenciamento de chaves:
- A criptografia em repouso normalmente é habilitada para modelos IaaS, PaaS e SaaS do Azure. Aplicações como o Microsoft 365; Proteção de Informações Microsoft Purview; serviços de plataforma em que a nuvem é usada para armazenamento, análise e funcionalidade de barramento de serviço; e os serviços de infraestrutura em que os sistemas operacionais e aplicativos são hospedados e implantados na nuvem usam criptografia em repouso. As chaves gerenciadas pelo cliente para criptografia em repouso são usadas com o Armazenamento do Azure e o Microsoft Entra. Para maior segurança, as chaves devem ser apoiadas por HSM, chaves RSA 3k ou 4k. Para obter mais informações sobre criptografia em repouso, consulte Criptografia de dados do Azure em repouso.
- O descarregamento de SSL/TLS é suportado no Azure Managed HSM e no Azure Cloud HSM. Os clientes melhoraram a alta disponibilidade, a segurança e o melhor preço no Azure Managed HSM para F5 e Nginx.
- Lift and shift referem-se a cenários em que um aplicativo PKCS11 local é migrado para Máquinas Virtuais do Azure e executa software como Oracle TDE em Máquinas Virtuais do Azure. O processamento de PIN necessário para 'Lift and shift' é suportado pelo HSM de Pagamento do Azure. Todos os outros cenários são suportados pelo Azure Cloud HSM. APIs e bibliotecas herdadas, como PKCS11, JCA/JCE e CNG/KSP, são suportadas apenas pelo Azure Cloud HSM.
- O processamento do PIN de pagamento inclui a permissão de autorização de pagamento por cartão e celular e autenticação 3D-Secure; Geração, gestão e validação de PIN; emissão de credenciais de pagamento para cartões, wearables e dispositivos conectados; proteger chaves e dados de autenticação; e proteção de dados confidenciais para criptografia ponto-a-ponto, tokenização de segurança e tokenização de pagamento EMV. Isso também inclui certificações como PCI DSS, PCI 3DS e PCI PIN. Estes são suportados apenas pelo Azure Payment HSM.
O resultado do fluxograma é um ponto de partida para identificar a solução que melhor se adequa às suas necessidades.
Compare outros requisitos do cliente
O Azure fornece várias soluções de gerenciamento de chaves para permitir que os clientes escolham um produto com base em requisitos de alto nível e responsabilidades de gerenciamento. Existe um espectro de responsabilidades de gestão que vai desde o Azure Key Vault, Azure Managed HSM e Azure Cloud HSM, onde há menos responsabilidade do cliente (a Microsoft trata da aplicação de correções e manutenção), até ao Azure Payment HSM, que tem a maior responsabilidade do cliente.
Esse trade-off de responsabilidade de gerenciamento entre o cliente e a Microsoft e outros requisitos é detalhado na tabela abaixo.
O provisionamento e a hospedagem são gerenciados pela Microsoft em todas as soluções. A geração e o gerenciamento de chaves, a concessão de funções e permissões, o monitoramento e a auditoria são de responsabilidade do cliente em todas as soluções.
Use a tabela para comparar todas as soluções lado a lado. Comece de cima para baixo, respondendo a cada pergunta encontrada na coluna mais à esquerda para ajudá-lo a escolher a solução que atende a todas as suas necessidades, incluindo despesas gerais de gerenciamento e custos.
| Padrão AKV | AKV Premium | Azure Key Vault Managed HSM | Azure Cloud HSM | Azure Payment HSM | |
|---|---|---|---|---|---|
| De que nível de conformidade precisa? | FIPS 140-2 nível 1 | FIPS 140-3 nível 3 | FIPS 140-3 nível 3, PCI DSS, PCI 3DS | FIPS 140-3 nível 3 | FIPS 140-2 nível 3, PCI HSM v3, PCI PTS HSM v3, PCI DSS, PCI 3DS, PCI PIN |
| Precisa de soberania fundamental? | Não | Não | Sim | Sim | Sim |
| Que tipo de arrendamento procura? | Multi-inquilino | Multi-inquilino | Inquilino Único | Inquilino Único | Inquilino Único |
| Quais são os seus casos de uso? | Criptografia em repouso, CMK, personalizada | Criptografia em repouso, CMK, personalizada | Criptografia em repouso, descarregamento de TLS, CMK, personalizado | Levantar e mudar, PKCS#11, TLS Offload, TDE, assinatura de código | Processos de PIN de pagamento, personalizados |
| Você quer proteção de hardware HSM? | Não | Sim | Sim | Sim | Sim |
| Qual é o seu orçamento? | $ | $$ | $$$ | $$$ | $$$$ |
| Quem assume a responsabilidade pela aplicação de patches e manutenção? | A Microsoft | A Microsoft | A Microsoft | A Microsoft | Cliente |
| Quem assume a responsabilidade pela saúde do serviço e pelo failover de hardware? | A Microsoft | A Microsoft | Partilhado | A Microsoft | Cliente |
| Que tipo de objetos você está usando? | Chaves Assimétricas, Segredos, Certificados | Chaves Assimétricas, Segredos, Certificados | Teclas Asym/Sym | Chaves Assimétricas/Simétricas, Certificados | Chave Mestra Local |
| Raiz do controle de confiança | A Microsoft | A Microsoft | Cliente | Cliente | Cliente |
Usos comuns de soluções de gerenciamento de chaves por segmentos da indústria
Aqui está uma lista das principais soluções de gerenciamento que comumente vemos sendo utilizadas com base no setor.
| Setor | Solução sugerida do Azure | Considerações para as soluções sugeridas |
|---|---|---|
| Sou uma empresa ou organização com requisitos rigorosos de segurança e conformidade (ex: bancos, governo, setores altamente regulamentados). | HSM Gerido do Azure Key Vault | O Azure Key Vault Managed HSM oferece conformidade com o FIPS 140-3 Nível 3, sendo uma solução compatível com PCI para comércio eletrónico. Ele suporta criptografia para PCI DSS 4.0. Ele fornece chaves suportadas por HSM e oferece aos clientes soberania das chaves e uso exclusivo. |
| Sou um comerciante de comércio eletrônico direto ao consumidor que precisa armazenar, processar e transmitir os cartões de crédito dos meus clientes para o meu processador/gateway de pagamento externo e procurar uma solução compatível com PCI. | HSM Gerido do Azure Key Vault | O Azure Key Vault Managed HSM oferece conformidade com o FIPS 140-3 Nível 3, sendo uma solução compatível com PCI para comércio eletrónico. Ele suporta criptografia para PCI DSS 4.0. Ele fornece chaves suportadas por HSM e oferece aos clientes soberania das chaves e uso exclusivo. |
| Sou um prestador de serviços financeiros, um emissor, um adquirente de cartões, uma rede de cartões, um gateway de pagamento/PSP ou fornecedor de soluções 3DS à procura de um serviço exclusivo que atenda aos padrões PCI e a várias importantes estruturas de conformidade. | Azure Payment HSM | O Azure Payment HSM fornece conformidade com FIPS 140-2 Nível 3, PCI HSM v3, PCI DSS, PCI 3DS e PCI PIN. Ele proporciona soberania fundamental e alojamento único, requisitos internos comuns de conformidade relacionados ao processamento de pagamentos. O Azure Payment HSM fornece suporte total para transações de pagamento e processamento de PIN. |
| Sou um cliente iniciante em estágio inicial que deseja prototipar um aplicativo nativo da nuvem. | Azure Key Vault Standard | O Azure Key Vault Standard fornece chaves apoiadas por software a um preço económico. |
| Sou um cliente iniciante que procura produzir um aplicativo nativo da nuvem. | Azure Key Vault Premium, Azure Key Vault Managed HSM | O Azure Key Vault Premium e o Azure Key Vault Managed HSM fornecem chaves apoiadas por HSM* e são as melhores soluções para criar aplicativos nativos da nuvem. |
| Sou um cliente IaaS que deseja mover meu aplicativo para usar VM/HSMs do Azure. | Azure Cloud HSM | O Azure Key Vault Managed HSM suporta cenários IaaS e fornece conformidade FIPS 140-3 Nível 3 com a soberania das chaves. O Azure Cloud HSM é ideal para cenários de "lift-and-shift" que requerem suporte PKCS#11, como a migração de HSMs locais, Azure Dedicated HSM ou AWS CloudHSM. |
Para obter informações detalhadas sobre cada solução de gerenciamento de chaves do Azure, incluindo especificações técnicas e casos de uso, consulte Gerenciamento de chaves no Azure.