Выбор правильного решения для управления ключами Azure

Azure предлагает несколько решений для хранения криптографических ключей и управления ими в облаке: Azure Key Vault (предложения ценовой категории "Стандартный" и "Премиум"), Azure Key Vault Управляемый HSM, Azure Cloud HSM и Azure HSM для оплаты. Эта статья поможет вам выбрать подходящее решение на основе ваших сценариев, требований и отрасли.

Общие сведения о концепциях управления ключами и подробных описаниях каждого решения см. в разделе Key management in Azure.

Чтобы сузить решение по управлению ключами, следуйте блок-схеме на основе распространенных требований высокого уровня и сценариев управления ключами. Вы также можете использовать приведённую ниже таблицу, основанную на конкретных требованиях клиента. Если какой-либо из ресурсов предлагает несколько продуктов или вы хотите подтвердить свой выбор, используйте блок-схему и таблицу вместе для окончательного решения. Чтобы сравнить распространённые варианты для схожих организаций, см. таблицу распространённых решений по управлению ключами по сегментам отрасли.

Выбор решения по управлению ключами Azure по сценариям

На следующей диаграмме описываются распространенные требования и сценарии использования, а также рекомендуемое решение для управления ключами Azure.

Диаграмма относится к следующим общим требованиям:

  • FIPS-140 — это стандарт правительства США с различными уровнями требований к безопасности. Дополнительные сведения см. в статье "Федеральный стандарт обработки информации" (FIPS) 140.
  • Основной суверенитет заключается в том, что организация клиента имеет полный и эксклюзивный контроль над ключами, включая контроль над тем, какие пользователи и службы могут получить доступ к ключам и политикам управления ключами.
  • Однопользовательский режим относится к одной выделенной инстанции приложения, развернутой для каждого клиента, а не к общей инстанции среди нескольких клиентов. Потребность в продуктах с одним арендатором часто рассматривается как внутреннее требование соответствия в финансовых сферах.

Он также относится к этим различным вариантам использования ключевого управления:

  • Шифрование данных в состоянии покоя обычно включается в моделях IaaS, PaaS и SaaS в Azure. Такие приложения, как Microsoft 365 и Защита информации Microsoft Purview; службы платформы, где облако используется для хранения, аналитики и функций служебной шины; а также службы инфраструктуры, в которых операционные системы и приложения размещаются и развертываются в облаке, используют шифрование данных в состоянии покоя. Ключи, управляемые клиентом для шифрования в состоянии покоя, используются служба хранилища Azure и Microsoft Entra. Для максимальной безопасности ключи должны быть поддерживаемыми HSM, 3072-битными или 4096-битными RSA-ключами. Для сценариев с ключами, управляемыми клиентом, рекомендуемым минимальным вариантом является Azure Key Vault Premium; для обеспечения суверенитета ключей требуется Azure Key Vault Managed HSM. Если нормативные или договорные требования предписывают, чтобы ключи шифрования ключей (KEK) физически находились вне инфраструктуры Microsoft, внешнее управление ключами для Managed HSM (предварительная версия) может делегировать операции обертывания и снятия обертки прокси-серверу внешнего управления ключами (EKM), который запускается клиентом и находится перед принадлежащим клиенту и управляемым им HSM за пределами Azure. Используйте внешнее управление ключами только в тех случаях, когда физический контроль над ключами за пределами инфраструктуры Microsoft является обязательным; поддерживаются только операции обёртывания и развёртывания ключей, и на эту функцию не распространяется соглашение об уровне обслуживания (SLA) для Managed HSM. Дополнительные сведения о неактивных шифрованиях см. в разделе Azure Шифрование неактивных данных.
  • SSL/TLS offload поддерживается на Azure Key Vault Managed HSM и Azure Cloud HSM. Azure Cloud HSM поддерживает традиционную разгрузку SSL/TLS с Apache, NGINX и F5 BIG-IP, работающими в Виртуальные машины Azure. Azure Key Vault Managed HSM обеспечивает высокую доступность и безопасность для Keyless TLS с помощью F5 и NGINX.
  • Lift and shift относится к сценариям, когда локальное приложение PKCS#11 мигрируется в Виртуальные машины Azure и запускает программное обеспечение, такое как Oracle transparent data encryption (TDE) в Виртуальные машины Azure. Отмена и смена, требующая обработки ПИН-кода оплаты, поддерживается Azure платной HSM. Все остальные сценарии поддерживаются Azure Cloud HSM. Полная поддержка PKCS#11, JCA/JCE и CNG/KSP доступна только в Azure Cloud HSM. Azure Key Vault Managed HSM предлагает ограниченную поддержку PKCS#11 для сценариев разгрузки TLS с помощью F5 и NGINX.
  • Обработка платёжного ПИН-кода включает в себя разрешение авторизации карт и мобильных платежей, а также 3D-Secure аутентификации; создание, управление и проверка ПИН-кодов; выдача платёжных учетных данных для карт, носимых и подключённых устройств; защита ключей и данных аутентификации; и защита конфиденциальных данных для сквозного шифрования, токенизации маркеров безопасности и EMV токенизации платежей. Сюда также входят сертификаты, такие как PCI DSS, PCI 3DS и ПИН-код PCI. Они поддерживаются только Azure Payment HSM.

Блок-схема для выбора подходящего решения для управления ключами Azure на основе требований и сценариев использования.

Результат блок-схемы — это отправная точка для определения решения, которое лучше всего соответствует вашим потребностям.

Сравните решения для управления ключами

Azure предоставляет несколько решений для управления ключами, чтобы позволить клиентам выбирать продукт на основе как высоких требований, так и обязанностей по управлению.

Подготовка и размещение управляются корпорацией Майкрософт во всех решениях. Создание ключей и управление, роли и разрешения, а также мониторинг и аудит являются ответственностью клиента во всех решениях.

Характеристики и обязанности службы

Используйте следующую таблицу, чтобы сравнить, как работает каждая служба и кто управляет тем, что. Этот компромисс в управлении ответственностью варьируется от Azure Key Vault с наименьшей ответственностью клиента до Azure Payment HSM с наибольшей.

Azure Key Vault Standard Azure Key Vault Premium Azure Key Vault Управляемый модуль безопасности HSM Azure Cloud HSM HSM для оплаты Azure
Модель службы PaaS (платформа как услуга) PaaS (платформа как услуга) PaaS (платформа как услуга) Служба HSM в стиле IaaS Служба HSM в стиле IaaS
Аутентификация Майкрософт Ентра айди Майкрософт Ентра айди Майкрософт Ентра айди Аутентификация аппаратного модуля безопасности (HSM) (пароль) Аутентификация аппаратного модуля безопасности (HSM) (пароль)
Административное управление HSM Корпорация Майкрософт Корпорация Майкрософт Клиент Клиент Клиент
Патчинг и обслуживание Корпорация Майкрософт Корпорация Майкрософт Корпорация Майкрософт Корпорация Майкрософт Клиент
Работоспособность службы и переключение оборудования на резерв Корпорация Майкрософт Корпорация Майкрософт Совместный Совместный Клиент
Непрерывность бизнес-процессов (внутри региона) Автоматически Автоматически Автоматически Автоматически Клиент
Аварийное восстановление (между регионами) Автоматически Автоматически Руководство Руководство Руководство
Резервное копирование и восстановление Встроенная резервная копия службы Встроенная резервная копия службы Управляемые службами Резервное копирование HSM вручную Резервное копирование HSM вручную

Условия принятия решений

Используйте следующую таблицу для сравнения всех решений параллельно. Ответьте на каждый вопрос, чтобы определить решение, соответствующее вашим требованиям.

Azure Key Vault Standard Azure Key Vault Premium Azure Key Vault Управляемый модуль безопасности HSM Azure Cloud HSM HSM для оплаты Azure
Какой уровень соответствия вам нужен? Уровень 1 по стандарту FIPS 140-2 FIPS 140-3 уровень 3† FIPS 140-3 Уровень 3, PCI DSS, PCI 3DS Уровень 3 FIPS 140-3 FIPS 140-2 уровень 3, PCI HSM v3, PCI PTS HSM v3, PCI DSS, PCI 3DS, PCI PIN
Вам нужен ключевой суверенитет? Нет Нет Да Да Да
Требуется ли единое размещение? Нет Нет Да Да Да
Каковы ваши сценарии использования? Шифрование в состоянии покоя, ключи, управляемые клиентом, пользовательские приложения Шифрование в состоянии покоя, ключи, управляемые клиентом, пользовательские приложения Шифрование в состоянии покоя, разгрузка SSL/TLS, ключи, управляемые клиентом, управление внешними ключами (предпросмотр; только обмотка/размотка), пользовательские приложения Lift and shift, PKCS#11, разгрузка SSL/TLS, TDE, подпись кода Обработка PIN-кодов платежей, пользовательские приложения
Нужна ли защита оборудования HSM? Нет Да Да Да Да
Какие объекты нужно хранить? Асимметричные ключи, секреты, сертификаты Асимметричные ключи, секреты, сертификаты Только асимметричные и симметричные ключи‡ Асимметричные и симметричные ключи, сертификаты Keys
Нужна ли выделенная емкость? Нет Нет Да Да Да
Требуется ли клиентский контроль над корнем доверия? Нет Нет Да Да Да
Что такое ваш бюджет? $ $$ $$$ $$$ $$$$

Общее решение по управлению ключами, которое используется отраслевыми сегментами

В следующей таблице приведены распространённые решения по управлению ключами по отраслевым сегментам.

Промышленность Предложенное решение Azure Рекомендации по предлагаемым решениям
Предприятие или организация с строгими требованиями к безопасности и комплаенсу, например, банковская, государственная или другие строго регулируемые отрасли. Управляемый HSM в Azure Key Vault Azure Key Vault Managed HSM обеспечивает соответствие FIPS 140-3 Level 3 и является решением, совместимым с PCI для электронной коммерции. Он поддерживает шифрование для PCI DSS 4.0. Она предоставляет ключи, поддерживаемые HSM, и предоставляет клиентам суверенитет ключей и единую аренду.
Интернет-продавец, работающий напрямую с потребителем, которому необходимо хранить, обрабатывать и передавать данные кредитных карт клиентов внешнему платёжному процессору или шлюзу и которому требуется решение, соответствующее требованиям PCI. Управляемый HSM в Azure Key Vault Azure Key Vault Managed HSM обеспечивает соответствие FIPS 140-3 Level 3 и является решением, совместимым с PCI для электронной коммерции. Он поддерживает шифрование для PCI DSS 4.0. Она предоставляет ключи, поддерживаемые HSM, и предоставляет клиентам суверенитет ключей и единую аренду.
Поставщик услуг финансовых услуг, эмитент, эквайер карт, сеть карт, платежный шлюз/PSP или поставщик решений для 3DS, ищущий сервис для одного арендатора, соответствующий PCI и нескольким основным стандартам соответствия. Azure Payment HSM Azure Платежный HSM обеспечивает соответствие стандартам FIPS 140-2 уровня 3, PCI HSM версии 3, PCI DSS, PCI 3DS и PCI PIN. Он обеспечивает ключевой суверенитет и единую аренду, что является распространёнными внутренними требованиями соответствия для обработки платежей. Azure HSM для оплаты предоставляет полную поддержку транзакций оплаты и обработки ПИН-кода.
Стартап на ранней стадии, который хочет создать прототип облачного приложения. Azure Key Vault уровня "Стандартный" Azure Key Vault Standard предоставляет программно поддерживаемые ключи по доступной цене.
Стартап, который хочет вывести облачно-нативное приложение в продакшн. Azure Key Vault Premium, Azure Key Vault Управляемый HSM И Azure Key Vault Premium, и Azure Key Vault Managed HSM предоставляют ключи с поддержкой HSM* и хорошо подходят для создания облачных приложений.
Клиент IaaS, который хочет перенести приложение на Виртуальные машины Azure и HSM. Azure Cloud HSM Azure Cloud HSM предназначен специально для сценариев IaaS и обеспечивает соответствие FIPS 140-3 уровня 3 требованиям к суверенитету ключей и единой аренде. Он идеально подходит для миграций типа lift-and-shift, требующих поддержки PKCS#11, таких как миграция с локальных HSM, Выделенное устройство HSM Azure или AWS CloudHSM. Azure Cloud HSM не интегрируется с Azure PaaS/SaaS services; для таких сценариев используйте Azure Key Vault Managed HSM.

Замечание

* Azure Key Vault Premium позволяет создавать как защищенные программным обеспечением, так и защищенные HSM ключи. Если вы используете Azure Key Vault Premium, убедитесь, что созданный вами ключ защищён HSM.

† Azure Key Vault ключи Premium, созданные на платформе HSM 2, — FIPS 140-3 уровень 3. Ключи, созданные на старой платформе HSM 1, соответствуют спецификации FIPS 140-2 уровня 2. Дополнительные сведения см. в разделе "Сведения о ключах".

• Azure Key Vault Управляемое устройство HSM хранит только криптографические ключи. В отличие от хранилищ Key Vault, он не поддерживает секреты или сертификаты.

Подробные сведения о каждом решении управления ключами Azure, включая технические спецификации и варианты использования, см. в разделе Key management in Azure.

Дальнейшие действия