Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure offre diverse soluzioni per l'archiviazione e la gestione delle chiavi crittografiche nel cloud: Azure Key Vault (offerte standard e premium), modulo di protezione hardware gestito di Azure, modulo di protezione hardware cloud di Azure e modulo di protezione hardware di pagamento di Azure. Potrebbe essere difficile per i clienti decidere quale soluzione di gestione delle chiavi è adatta per loro. Questo articolo aiuta i clienti a esplorare questo processo decisionale presentando la gamma di soluzioni in base a tre considerazioni: scenari, requisiti e settore.
Per restringere una soluzione di gestione delle chiavi, seguire il diagramma di flusso basato su requisiti generali comuni e scenari di gestione delle chiavi. In alternativa, utilizzare la tabella che segue in base a requisiti specifici dei clienti. Se si forniscono più prodotti come soluzioni o se si vuole rassicurare sulla scelta del prodotto corretto, usare una combinazione del diagramma di flusso e della tabella per prendere una decisione finale. Se si è curiosi di sapere quali altri clienti usano lo stesso settore, leggere la tabella delle soluzioni comuni di gestione delle chiavi per segmento di settore. Per altre informazioni su una soluzione specifica, seguire i collegamenti alla fine del documento.
Scegliere una soluzione di gestione delle chiavi di Azure per scenario
Il grafico seguente descrive i requisiti comuni e gli scenari dei casi d'uso e la soluzione di gestione delle chiavi di Azure consigliata.
Il grafico si riferisce a questi requisiti comuni:
- FIPS-140 è uno standard del governo degli Stati Uniti con diversi livelli di requisiti di sicurezza. Per altre informazioni, vedere Federal Information Processing Standard (FIPS) 140.
- La sovranità delle chiavi è quando l'organizzazione del cliente ha il controllo completo ed esclusivo delle chiavi, incluso il controllo sugli utenti e i servizi che possono accedere alle chiavi e ai criteri di gestione delle chiavi.
- Il tenant singolo fa riferimento a una singola istanza dedicata di un'applicazione implementata per ogni cliente, anziché a un'istanza condivisa tra più clienti. La necessità di prodotti a tenant singolo viene spesso rilevata come un requisito di conformità interno nei settori dei servizi finanziari.
Si riferisce anche a questi diversi casi d'uso di gestione delle chiavi:
- La crittografia dei dati inattivi è in genere abilitata per i modelli IaaS, PaaS e SaaS di Azure. Applicazioni come Microsoft 365; Microsoft Purview Information Protection; servizi della piattaforma in cui il cloud viene usato per la funzionalità di archiviazione, analisi e bus di servizio; e servizi di infrastruttura in cui i sistemi operativi e le applicazioni sono ospitati e distribuiti nel cloud usano la crittografia dei dati inattivi. Chiavi gestite dal cliente per la crittografia dei dati a riposo vengono usate con Azure Storage e Microsoft Entra. Per la massima sicurezza, le chiavi devono essere supportate da HSM, chiavi RSA 3k o 4k. Per altre informazioni sulla crittografia dei dati inattivi, vedere Crittografia dei dati di Azure inattivi.
- L'offload SSL/TLS è supportato nel modulo di protezione hardware gestito di Azure e nel modulo di protezione hardware cloud di Azure. I clienti hanno migliorato la disponibilità elevata, la sicurezza e il miglior prezzo su Azure Managed HSM per F5 e Nginx.
- Il trasferimento in modalità lift-and-shift si riferisce agli scenari in cui viene eseguita la migrazione di un'applicazione PKCS11 in locale alle macchine virtuali di Azure e all'esecuzione di software come Oracle TDE in Macchine virtuali di Azure. Il trasferimento in modalità lift-and-shift che richiede l'elaborazione del PIN di pagamento è supportato dall'HSM di pagamento di Azure. Tutti gli altri scenari sono supportati dal modulo di protezione hardware cloud di Azure. Le API e le librerie legacy, ad esempio PKCS11, JCA/JCE e CNG/KSP, sono supportate solo da HSM cloud di Azure.
- L'elaborazione del PIN di pagamento include l'autorizzazione di pagamento tramite carta e mobile, e l'autenticazione 3D-Secure; generazione, gestione e convalida del PIN; credenziali di pagamento emittente per carte, dispositivi indossabili e connessi; protezione delle chiavi e dei dati di autenticazione; e protezione dei dati sensibili per la crittografia da punto a punto, la tokenizzazione della sicurezza e la tokenizzazione dei pagamenti EMV. Sono incluse anche certificazioni come PCI DSS, PCI 3DS e PIN PCI. Questi sono supportati solo da Azure Payment HSM.
Il risultato del diagramma di flusso è un punto di partenza per identificare la soluzione più adatta alle proprie esigenze.
Confrontare altri requisiti dei clienti
Azure offre più soluzioni di gestione delle chiavi per consentire ai clienti di scegliere un prodotto in base a requisiti di alto livello e responsabilità di gestione. C'è una gamma di responsabilità di gestione che va da Azure Key Vault e da Azure Managed HSM, che richiedono una minore responsabilità del cliente, seguita da Azure Cloud HSM e Azure Payment HSM, che comportano la massima responsabilità per il cliente.
Questo compromesso della responsabilità di gestione tra il cliente e Microsoft e altri requisiti è dettagliato nella tabella seguente.
Il provisioning e l'hosting vengono gestiti da Microsoft in tutte le soluzioni. La generazione e la gestione delle chiavi, la concessione di ruoli e autorizzazioni e il monitoraggio e il controllo sono responsabilità del cliente in tutte le soluzioni.
Usare la tabella per confrontare tutte le soluzioni affiancate. Iniziare dall'alto verso il basso, rispondendo a ogni domanda presente nella colonna più a sinistra per scegliere la soluzione che soddisfa tutte le esigenze, inclusi il sovraccarico di gestione e i costi.
| AKV Standard | AKV Premium | Modulo di protezione hardware gestito di Azure | Cloud HSM di Azure | HSM di pagamento di Azure | |
|---|---|---|---|---|---|
| Quale livello di conformità è necessario? | FIPS 140-2 livello 1 | FIPS 140-3 livello 3, PCI DSS, PCI 3DS | FIPS 140-3 livello 3, PCI DSS, PCI 3DS | FIPS 140-3 livello 3, HIPAA, PCI DSS, PCI 3DS, eIDAS | FIPS 140-2 livello 3, PCI HSM v3, PCI PTS HSM v3, PCI DSS, PCI 3DS, PCI PIN |
| È necessaria la sovranità delle chiavi? | NO | NO | Sì | Sì | Sì |
| Che tipo di tenancy si sta cercando? | Multi-tenant | Multi-tenant | Tenant singolo | Tenant singolo | Tenant singolo |
| Quali sono i casi d'uso? | Crittografia dei dati inattivi, chiave gestita dal cliente, personalizzata | Crittografia dei dati inattivi, chiave gestita dal cliente, personalizzata | Crittografia dei dati inattivi, Offload TLS, chiave gestita dal cliente, opzione personalizzata | PKCS11, TLS Offload, firma di codice/documento, personalizzata | Processi PIN di pagamento, personalizzati |
| Si vuole proteggere hardware HSM? | NO | Sì | Sì | Sì | Sì |
| Qual è il tuo budget? | $ | $$ | $$$ | $$$ | $$$$ |
| Chi si assume la responsabilità di applicare patch ed effettuare la manutenzione? | Microsoft | Microsoft | Microsoft | Microsoft | Customer |
| Chi si assume la responsabilità dello stato di integrità dei servizi e del failover dell'hardware? | Microsoft | Microsoft | Condiviso | Condiviso | Customer |
| Che tipo di oggetti si usano? | Chiavi asimmetriche, segreti, certificati | Chiavi asimmetriche, segreti, certificati | Asym/Sym Keys | Chiavi asimmetriche/simmetriche, Certificati | Chiave principale locale |
| Radice del controllo di attendibilità | Microsoft | Microsoft | Customer | Customer | Customer |
Soluzione di gestione delle chiavi comune usata dai segmenti del settore
Di seguito è riportato un elenco delle principali soluzioni di gestione comunemente usate in base al settore.
| Settore | Soluzione di Azure suggerita | Considerazioni per le soluzioni suggerite |
|---|---|---|
| Sono un'azienda o un'organizzazione con rigorosi requisiti di sicurezza e conformità (ad esempio, banche, enti pubblici, settori altamente regolamentati). | Modulo di protezione hardware gestito di Azure, modulo di protezione hardware cloud di Azure | HSM gestito di Azure offre conformità FIPS 140-3 Livello 3 ed è una soluzione conforme a PCI per l'e-commerce. Supporta la crittografia per PCI DSS 4.0. Fornisce chiavi supportate da HSM e offre ai clienti la sovranità delle chiavi e il tenancy singolo. HSM cloud di Azure offre conformità FIPS 140-3 livello 3, proprietà del cliente dei cluster HSM e supporto per PKCS#11 e altre API standard per le operazioni di crittografia. |
| Sono un commerciante di e-commerce direct-to-consumer che deve archiviare, elaborare e trasmettere le carte di credito dei miei clienti al mio processore di pagamento esterno/gateway e alla ricerca di una soluzione conforme a PCI. | Modulo di protezione hardware gestito di Azure | HSM gestito di Azure offre conformità FIPS 140-3 Livello 3 ed è una soluzione conforme a PCI per l'e-commerce. Supporta la crittografia per PCI DSS 4.0. Fornisce chiavi supportate da HSM e offre ai clienti la sovranità delle chiavi e il tenancy singolo. |
| Sono un provider di servizi per servizi finanziari, un emittente, un acquirente di carte, una rete di carte, un gateway di pagamento/PSP o un provider di soluzioni 3DS alla ricerca di un singolo servizio tenant in grado di soddisfare PCI e più framework di conformità principali. | HSM di pagamento di Azure | Il modulo di protezione hardware di pagamento di Azure offre la conformità FIPS 140-2 Livello 3, PCI HSM v3, PCI DSS, PCI 3DS e PCI PIN. Fornisce sovranità chiave e un singolo tenancy, requisiti di conformità interni comuni per l'elaborazione dei pagamenti. Il modulo di protezione hardware di pagamento di Azure offre supporto completo per l'elaborazione delle transazioni di pagamento e del PIN. |
| Sono un cliente di startup in fase iniziale che sta cercando di creare un prototipo di un'applicazione nativa del cloud. | Azure Key Vault Standard | Azure Key Vault Standard offre chiavi basate su software a un prezzo economico. |
| Sono un cliente di una startup che vuole produrre un'applicazione nativa del cloud. | Azure Key Vault Premium, modulo di protezione hardware gestito di Azure | Sia Azure Key Vault Premium che il modulo di protezione hardware gestito di Azure forniscono chiavi supportate dal modulo di protezione hardware* e sono le soluzioni migliori per la creazione di applicazioni native del cloud. |
| Io sono un cliente IaaS che vuole spostare l'applicazione per usare macchine virtuali/moduli di protezione hardware di Azure. | Modulo di protezione hardware cloud di Azure | HSM cloud di Azure supporta i clienti IaaS SQL. È l'unica soluzione che supporta PKCS11 e applicazioni native non cloud personalizzate. |
Altre informazioni sulle soluzioni di gestione delle chiavi di Azure
Azure Key Vault (Livello Standard): un servizio di gestione delle chiavi cloud multi-tenant validato FIPS 140-2 Livello 1, che può essere utilizzato per archiviare chiavi asimmetriche, segreti e certificati. Le chiavi archiviate in Azure Key Vault sono protette da software e possono essere usate per le applicazioni personalizzate e di crittografia dei dati inattivi. Azure Key Vault Standard offre un'API moderna e un'ampiezza di distribuzioni e integrazioni a livello di area con i servizi di Azure. Per altre informazioni, vedere Informazioni su Azure Key Vault.
Azure Key Vault (livello Premium): un'offerta FIPS 140-3 livello 3 convalidata, conforme a PCI e HSM multi-tenant che può essere usata per archiviare chiavi asimmetriche, segreti e certificati. Le chiavi vengono archiviate in un limite hardware sicuro*. Microsoft gestisce il modulo di protezione hardware sottostante, e le chiavi archiviate in Azure Key Vault Premium possono essere usate per le applicazioni personalizzate e di crittografia dei dati inattivi. Azure Key Vault Premium offre anche un'API moderna e un'ampiezza di distribuzioni e integrazioni a livello di area con i servizi di Azure. Se si è un cliente AKV Premium alla ricerca di una maggiore conformità alla sicurezza, sovranità delle chiavi, tenancy singolo e/o un numero più elevato di operazioni di crittografia al secondo, si può invece prendere in considerazione l'HSM gestito. Per altre informazioni, vedere Informazioni su Azure Key Vault.
Modulo di protezione hardware gestito di Azure: un'offerta HSM FIPS 140-3 di livello 3 convalidata, conforme a PCI e HSM a tenant singolo che offre ai clienti il controllo completo di un modulo di protezione hardware per l'offload SSL/TLS senza chiave e applicazioni personalizzate. HSM gestito di Azure è l'unica soluzione di gestione delle chiavi che offre chiavi riservate. I clienti ricevono un pool di tre partizioni HSM, che fungono da unica appliance HSM logica e a disponibilità elevata, front-end da un servizio che espone la funzionalità di crittografia tramite l'API di Key Vault. Microsoft gestisce il provisioning, l'applicazione di patch, la manutenzione e il failover hardware dei moduli di protezione hardware, ma non ha accesso alle chiavi stesse, perché il servizio viene eseguito all'interno dell'infrastruttura di calcolo riservata di Azure. Il modulo di protezione hardware gestito di Azure è integrato con i servizi PaaS Azure SQL, Archiviazione di Azure e Azure Information Protection e offre il supporto per TLS senza chiave con F5 e Nginx. Per altre informazioni, vedere Che cos'è il modulo di protezione hardware gestito di Azure Key Vault?.
HSM cloud di Azure: un'offerta HSM convalidata di livello 3 FIPS 140-3 a tenant singolo che offre ai clienti il controllo completo di un HSM per PKCS#11, l'offload dell'elaborazione SSL/TLS, la protezione della chiave privata dell'autorità di certificazione, la crittografia trasparente dei dati, tra cui la firma di documenti e codice, e applicazioni personalizzate. Il cliente ha il controllo amministrativo completo del cluster HSM. Mentre i clienti gestiscono la distribuzione e l'inizializzazione del loro modulo di protezione hardware (HSM), Microsoft si occupa del provisioning del servizio e dell'hosting dell'HSM. Azure Cloud HSM supporta tutti i casi d'uso dei HSM dedicati di Azure esistenti, tra cui l'uso di carichi di lavoro lift-and-shift, PKI, offload SSL e Keyless TLS, applicazioni OpenSSL, Oracle TDE e Azure SQL TDE IaaS. HSM cloud di Azure non è integrato con alcuna offerta PaaS di Azure.
Modulo di protezione hardware di pagamento di Azure: un'offerta HSM FIPS 140-2 livello 3, PCI HSM v3, convalidata bare metal a tenant singolo che consente ai clienti di noleggiare un'appliance HSM di pagamento nei data center Microsoft per le operazioni di pagamento, tra cui l'elaborazione del PIN di pagamento, il rilascio delle credenziali di pagamento, la protezione delle chiavi e i dati di autenticazione e la protezione dei dati sensibili. Il servizio è conforme a PCI DSS, PCI 3DS e PCI PIN. Il modulo di protezione hardware di pagamento di Azure offre ai clienti moduli di protezione hardware a tenant singolo per consentire ai clienti di avere un controllo amministrativo completo e l'accesso esclusivo al modulo di protezione hardware. Una volta allocato il modulo di protezione hardware a un cliente, Microsoft non ha accesso ai dati dei clienti. Analogamente, quando il modulo di protezione hardware non è più necessario, i dati dei clienti vengono azzerati e cancellati non appena viene rilasciato il modulo di protezione hardware, per garantire la privacy completa e la sicurezza vengono mantenuti. Per altre informazioni, vedere Che cos'è il modulo di protezione hardware di pagamento di Azure?.
Note
* Azure Key Vault Premium consente la creazione di chiavi protette sia da software che da HSM. Se si usa Azure Key Vault Premium, verificare che la chiave creata sia protetta da HSM.