你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 为云中的加密密钥存储和管理提供了多种解决方案:Azure Key Vault(标准和高级产品/服务)、Azure Key Vault 托管 HSM、Azure 专用 HSM 和 Azure 支付 HSM。 客户可能会感到不知所措,不知道哪个密钥管理方案适合他们。 本文根据三个注意事项介绍解决方案范围,帮助客户导航此决策过程:方案、要求和行业。
有关每个解决方案的关键管理概念和详细说明的概述,请参阅 Azure 中的密钥管理。
若要缩小密钥管理解决方案的范围,请根据常见的高级要求和关键管理方案遵循流程图。 或者,根据遵循的特定客户需求,按照表进行选择。 如果提供多个产品作为解决方案,或者想要保证选择正确的产品,请使用流程图和表的组合做出最终决定。 如果你想知道同一行业中的其他客户使用什么,请阅读行业细分的常见关键管理解决方案表。
按方案选择 Azure 密钥管理解决方案
以下图表描述了常见的要求和用例场景,以及推荐的 Azure 密钥管理解决方案。
该图表参考了以下常见要求:
- FIPS-140 是一项美国政府标准,具有不同级别的安全要求。 有关详细信息,请参阅美国联邦信息处理标准 (FIPS) 140。
- 密钥主权是指客户所在组织对其密钥拥有完全和独占控制权,包括控制哪些用户和服务可以访问密钥和密钥管理策略。
- 单租户 是指为每个客户部署的应用程序的单个专用实例,而不是多个客户之间的共享实例。 在金融服务行业,对单租户产品的需求通常是一项内部合规性要求。
该图表还参考了下列各种密钥管理用例:
- 通常为 Azure IaaS、PaaS 和 SaaS 模型启用了静态加密。 Microsoft 365 等应用程序,Microsoft Purview 信息保护,云用于存储、分析和服务总线功能的平台服务,以及在云中托管和部署操作系统和应用程序的基础结构服务会使用静态加密。 用于静态加密的客户托管密钥 用于 Azure 存储和Microsoft Entra。 为了获得最高安全性,密钥应为 HSM 支持的 3k 或 4k RSA 密钥。 有关静态加密的详细信息,请参阅 Azure 数据静态加密。
- Azure 托管 HSM 和 Azure 云 HSM 支持 SSL/TLS 卸载。 客户改进了适用于 F5 和 Nginx 的 Azure 托管 HSM 上的高可用性、安全性和最佳价格点。
- 直接迁移是指将本地 PKCS11 应用程序迁移到 Azure 虚拟机和其中正在运行的软件(例如 Oracle TDE)的场景。 Azure 付款 HSM 支持需要支付 PIN 处理的直接迁移。 Azure 云 HSM 支持所有其他方案。 旧版 API 和库(如 PKCS11、JCA/JCE 和 CNG/KSP)仅受 Azure 云 HSM 支持。
- 支付 PIN 处理包括允许卡支付和移动支付授权及 3D-Secure 身份验证,PIN 生成、管理和验证,为银行卡、可穿戴设备和连接的设备发放支付凭据,保护密钥和身份验证数据,以及针对点到点加密、安全令牌化和 EMV 支付令牌化进行敏感数据保护。 这还包括 PCI DSS、PCI 3DS 和 PCI PIN 等认证。 这些仅受 Azure 付款 HSM 支持。
以流程图结果为起点来确定最符合你的需求的解决方案。
比较其他客户需求
Azure 提供了多种密钥管理解决方案,让客户能够根据大致要求和管理职责选择产品。 有一系列管理职责,包括 Azure Key Vault 和 Azure 托管 HSM,客户责任较少,其次是 Azure 云 HSM 和 Azure 支付 HSM,客户责任最大。
下表详细说明了客户和 Microsoft 间的管理责任与其他要求之间这种权衡。
所有解决方案中的预配和托管由 Microsoft 进行管理。 所有解决方案中的密钥生成和管理、角色和权限授予以及监视和审核由客户负责。
请使用下表并排比较所有解决方案。 按从上到下的顺序,开始回答最左侧列上的每个问题,以帮助你选择符合你的所有需求(包括管理开销和成本)的解决方案。
| AKV 标准层 | AKV 高级层 | Azure 密钥保管库托管 HSM | Azure 专用 HSM | Azure 付款 HSM | |
|---|---|---|---|---|---|
| 你需要哪种级别的合规性? | FIPS 140-2 级别 1 | FIPS 140-2 级别 2 | FIPS 140-2 级别 3、PCI DSS、PCI 3DS | FIPS 140-2 级别 3、HIPAA、PCI DSS、PCI 3DS、eIDAS | FIPS 140-2 级别 3、PCI HSM v3、PCI PTS HSM v3、PCI DSS、PCI 3DS、PCI PIN |
| 你是否需要密钥主权? | 否 | 否 | 是 | 是 | 是 |
| 你在寻找哪种类别的租赁? | 多租户 | 多租户 | 单租户 | 单租户 | 单租户 |
| 你的用例是什么? | 静态加密、CMK、自定义 | 静态加密、CMK、自定义 | 静态加密、TLS 卸载、CMK、自定义 | PKCS11、TLS 卸载、代码/文档签名、自定义 | 付款 PIN 流程,自定义 |
| 你是否需要 HSM 硬件保护? | 否 | 是 | 是 | 是 | 是 |
| 你的预算是多少? | $ | $$ | $$$ | $$$ | $$$$ |
| 谁负责进行修补和维护? | 微软 | 微软 | 微软 | 微软 | 客户 |
| 谁负责进行服务运行状况和硬件故障转移? | 微软 | 微软 | 共享 | 共享 | 客户 |
| 你正在使用哪种类型的对象? | Asym 密钥、机密、证书 | Asym 密钥、机密、证书 | Asym/Sym 密钥 | Asym/Sym 密钥、证书 | 本地主密钥 |
| 信任根控制 | 微软 | 微软 | 客户 | 客户 | 客户 |
按行业细分排列的常见密钥管理解决方案使用情况
以下列表列出了我们经常看到的根据行业使用的密钥管理解决方案。
| 行业 | 推荐的 Azure 解决方案 | 推荐的解决方案的注意事项 |
|---|---|---|
| 我是具有严格的安全性和合规性要求的企业或组织(例如:银行、政府、高度监管的行业)。 | Azure Key Vault 托管 HSM、Azure 专用 HSM | Azure Key Vault 托管 HSM 提供 FIPS 140-2 级别 3 合规性,它是符合 PCI 的电子商务解决方案。 它支持 PCI DSS 4.0 加密。 它提供 HSM 支持的密钥,并为客户提供密钥主权和单一租户。 Azure 专用 HSM 提供 FIPS 140-2 第 3 级合规性、客户对 HSM 群集的所有权,并支持 PKCS#11 和其他标准 API 进行加密操作。 |
| 我是一个直接到消费者的电子商务商人,需要存储、处理和将客户的信用卡传输到我的外部支付处理器/网关,并寻找符合 PCI 的解决方案。 | Azure Key Vault 托管的 HSM | Azure Key Vault 托管 HSM 提供 FIPS 140-2 级别 3 合规性,它是符合 PCI 的电子商务解决方案。 它支持 PCI DSS 4.0 加密。 它提供 HSM 支持的密钥,并为客户提供密钥主权和单一租户。 |
| 我是金融服务的服务提供商、发卡机构、收单机构、卡网络商、支付网关/PSP 或 3DS 解决方案提供商,正在寻找满足 PCI 和多个主要合规性框架的单租户服务。 | Azure 付款 HSM | Azure 付款 HSM 提供 FIPS 140-2 级别 3、PCI HSM v3、PCI DSS、PCI 3DS 和 PCI PIN 合规性。 它提供密钥主权和单一租户,还在支付处理方面具有常见的内部合规性要求。 Azure 付款 HSM 提供完整的支付交易和 PIN 处理支持。 |
| 我是一名早期初创公司客户,希望创建云原生应用程序原型。 | Azure 密钥保管库标准版 | Azure Key Vault 标准层以经济的价格提供软件支持的密钥。 |
| 我是一名初创公司客户,希望生成云原生应用程序。 | Azure Key Vault Premium、Azure Key Vault 托管 HSM | Azure Key Vault Premium 和 Azure Key Vault 托管 HSM 都提供 HSM 支持的密钥*,是构建云本机应用程序的最佳解决方案。 |
| 我是一名 IaaS 客户,希望迁移我的应用程序来使用 Azure VM/HSM。 | Azure 专用 HSM | Azure 专用 HSM 支持 SQL IaaS 客户。 它是唯一支持 PKCS11 以及自定义非本地云应用程序的解决方案。 |
有关每个 Azure 密钥管理解决方案的详细信息,包括技术规范和用例,请参阅 Azure 中的密钥管理。