Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure предлагает несколько решений для хранения криптографических ключей и управления ими в облаке: Azure Key Vault (стандартные и премиум-предложения), Управляемого HSM Azure Key Vault, выделенного HSM Azure и HSM для оплаты Azure. Клиентам может быть трудно определить, какое решение для управления ключами подходит для них. Эта статья помогает клиентам перемещаться по этому процессу принятия решений, предоставляя диапазон решений, основанных на трех аспектах: сценариях, требованиях и отрасли.
Общие сведения о концепциях управления ключами и подробных описаниях каждого решения см. в статье "Управление ключами" в Azure.
Чтобы сузить решение по управлению ключами, следуйте блок-схеме на основе распространенных требований высокого уровня и сценариев управления ключами. Кроме того, используйте таблицу на основе конкретных требований клиента, которые следуют за ней. Если в качестве решений предоставляется несколько продуктов или вы хотите убедиться в выборе правильного продукта, используйте сочетание блок-схемы и таблицы, чтобы принять окончательное решение. Если вам интересно узнать, какие другие клиенты в той же отрасли используют, ознакомьтесь с таблицей общих решений по управлению ключами по отраслевым сегментам.
Выбор решения по управлению ключами Azure по сценариям
На следующей диаграмме описаны распространенные требования и сценарии использования и рекомендуемое решение для управления ключами Azure.
Диаграмма относится к следующим общим требованиям:
- FIPS-140 — это стандарт правительства США с различными уровнями требований к безопасности. Дополнительные сведения см. в статье "Федеральный стандарт обработки информации" (FIPS) 140.
- Основной суверенитет заключается в том, что организация клиента имеет полный и эксклюзивный контроль над ключами, включая контроль над тем, какие пользователи и службы могут получить доступ к ключам и политикам управления ключами.
- Однопользовательский режим относится к одной выделенной инстанции приложения, развернутой для каждого клиента, а не к общей инстанции среди нескольких клиентов. Потребность в продуктах одного клиента часто встречается как внутреннее требование соответствия в отраслях финансовых услуг.
Он также относится к этим различным вариантам использования ключевого управления:
- Шифрование неактивных данных обычно включается для моделей Azure IaaS, PaaS и SaaS. Такие приложения, как Microsoft 365, Защита информации Microsoft Purview, службы платформы, в которых облако используется для хранения, аналитики и функциональности служебной шины, а также службы инфраструктуры, в которых операционные системы и приложения размещаются и развертываются в облаке, используют шифрование на уровне хранения. Ключи, управляемые клиентом для шифрования неактивных данных, используются в службе хранилища Azure и Microsoft Entra. Для обеспечения максимальной безопасности ключи должны поддерживаться HSM и быть 3k или 4k ключами RSA. Дополнительные сведения о шифровании данных в состоянии покоя см. в разделе Azure Data Encryption at Rest.
- Разгрузка SSL/TLS поддерживается в Управляемом HSM Azure и Облачном HSM Azure. Клиенты получают улучшенную доступность, безопасность и наиболее выгодные цены на Azure Managed HSM для F5 и Nginx.
- Перенос без изменений относится к сценариям, в которых локальное приложение PKCS11 переносится в виртуальные машины Azure и выполняет программное обеспечение, такое как Oracle TDE, в виртуальных машинах Azure. Перемещение и передача, требующие обработки платежных ПИН-кодов, поддерживаются модулем Azure Payment HSM. Все остальные сценарии поддерживаются Azure Cloud HSM. Устаревшие API и библиотеки, такие как PKCS11, JCA/JCE и CNG/KSP, поддерживаются только Облачным HSM Azure.
- Обработка платёжного ПИН-кода включает в себя разрешение авторизации карт и мобильных платежей, а также 3D-Secure аутентификации; создание, управление и проверка ПИН-кодов; выдача платёжных учетных данных для карт, носимых и подключённых устройств; защита ключей и данных аутентификации; и защита конфиденциальных данных для сквозного шифрования, токенизации маркеров безопасности и EMV токенизации платежей. Сюда также входят сертификаты, такие как PCI DSS, PCI 3DS и ПИН-код PCI. Они поддерживаются только HSM платежей Azure.
Результат блок-схемы — это отправная точка для определения решения, которое лучше всего соответствует вашим потребностям.
Сравнение других требований клиентов
Azure предоставляет несколько решений по управлению ключами, чтобы позволить клиентам выбирать продукт на основе как высоких требований, так и обязанностей по управлению. Существует спектр обязанностей по управлению, который начинается с Azure Key Vault и управляемого HSM Azure, где ответственность со стороны клиента минимальна, и заканчивается такими услугами, как Azure Cloud HSM и Azure HSM для платежей, где ответственность со стороны клиента максимальна.
Этот компромисс ответственности по управлению между клиентом и корпорацией Майкрософт и другими требованиями подробно описан в таблице ниже.
Подготовка и размещение управляются корпорацией Майкрософт во всех решениях. Создание ключей и управление, роли и разрешения, а также мониторинг и аудит являются ответственностью клиента во всех решениях.
Используйте таблицу для сравнения всех решений параллельно. Начинайте сверху вниз, отвечая на каждый вопрос, найденный в крайнем левом столбце, чтобы помочь выбрать решение, соответствующее всем вашим потребностям, включая управленческие расходы и затраты.
| AKV Standard | AKV Premium | Управляемый HSM в Azure Key Vault | Выделенный модуль HSM Azure | HSM для оплаты Azure | |
|---|---|---|---|---|---|
| Какой уровень соответствия вам нужен? | FIPS 140-2 уровень 1 | FIPS 140-2 уровня 2 | FIPS 140-2 уровня 3, PCI DSS, PCI 3DS | FIPS 140-2 уровня 3, HIPAA, PCI DSS, PCI 3DS, eIDAS | FIPS 140-2 уровня 3, PCI HSM v3, PCI PTS HSM v3, PCI DSS, PCI 3DS, PCI PIN |
| Вам нужен ключевой суверенитет? | Нет | Нет | Да | Да | Да |
| Какой тип аренды вы ищете? | Мультитенантные | Мультитенантные | Один клиент | Один клиент | Один клиент |
| Каковы ваши сценарии использования? | Шифрование неактивных данных, CMK, пользовательское | Шифрование неактивных данных, CMK, пользовательское | Шифрование неактивных данных, разгрузка TLS, CMK, настраиваемая | PKCS11, перенос обработки TLS, подписывание кода и документов, настройка | Процессы ПИН-кода оплаты, настраиваемые |
| Нужна ли вам защита оборудования HSM? | Нет | Да | Да | Да | Да |
| Что такое ваш бюджет? | $ | $$ | $$$ | $$$ | $$$$ |
| Кто несет ответственность за исправление и обслуживание? | Корпорация Майкрософт | Корпорация Майкрософт | Корпорация Майкрософт | Корпорация Майкрософт | Клиент |
| Кто несет ответственность за работоспособность служб и аварийное переключение оборудования? | Корпорация Майкрософт | Корпорация Майкрософт | Совмещаемая блокировка | Совмещаемая блокировка | Клиент |
| Какие объекты вы используете? | Асимметричные ключи, секреты, сертификаты | Асимметричные ключи, секреты, сертификаты | Клавиши Asym/Sym | Асимметричные/Симметричные ключи, Сертификаты | Локальный главный ключ |
| Корневой элемент управления доверием | Корпорация Майкрософт | Корпорация Майкрософт | Клиент | Клиент | Клиент |
Общее решение по управлению ключами, которое используется отраслевыми сегментами
Ниже приведен список основных управленческих решений, которые мы часто наблюдаем на примере различных отраслей.
| Промышленность | Предлагаемое решение Azure | Рекомендации по предлагаемым решениям |
|---|---|---|
| Я предприятие или организация со строгими требованиями к безопасности и соответствию (например, банки, правительственные учреждения, строго регулируемые отрасли). | Управляемый HSM в Azure Key Vault, выделенный HSM Azure | Управляемый HSM в Azure Key Vault предоставляет соответствие FIPS 140-2 уровня 3, и это решение, соответствующее стандарту PCI для электронной коммерции. Он поддерживает шифрование для PCI DSS 4.0. Он предоставляет ключи с поддержкой HSM и обеспечивает клиентам суверенитет над ключами и единоличное владение. Выделенный HSM Azure обеспечивает соответствие требованиям FIPS 140-2 уровня 3, владение клиентами кластеров HSM и поддержку PKCS#11 и других стандартных API для криптографических операций. |
| Я продавец электронной коммерции, непосредственно работающий с потребителями, который должен хранить, обрабатывать и передавать кредитные карты своих клиентов во внешний обработчик платежей или шлюз и ищу соответствующее решение PCI. | Управляемый модуль HSM в Azure Key Vault | Управляемый HSM в Azure Key Vault предоставляет соответствие FIPS 140-2 уровня 3, и это решение, соответствующее стандарту PCI для электронной коммерции. Он поддерживает шифрование для PCI DSS 4.0. Он предоставляет ключи с поддержкой HSM и обеспечивает клиентам суверенитет над ключами и единоличное владение. |
| Я ищу отдельный сервис, который может соответствовать требованиям PCI и нескольким крупным стандартам соответствия, как поставщик услуг в сфере финансовых услуг, эмитент, эквайер, карточная сеть, платёжный шлюз/поставщик платёжных услуг или поставщик решений 3DS. | Аппаратный модуль безопасности для платёжных операций Azure | Azure Payment HSM предоставляет FIPS 140-2 уровня 3, PCI HSM версии 3, PCI DSS, PCI 3DS и соответствие ПИН-кода PCI. Он обеспечивает основное управление и единое размещение, общие внутренние требования к соответствию при обработке платежей. Azure Payment HSM обеспечивает полную поддержку обработки транзакций и ПИН-кода. |
| Я являюсь клиентом начинающего стартапа и ищу возможности для создания прототипа облачного приложения. | Azure Key Vault типа "Standard" | Azure Key Vault Standard предоставляет ключи с поддержкой программного обеспечения по экономичной цене. |
| Я клиент стартапа, желающий создать облако-ориентированное приложение. | Azure Key Vault Premium, Azure Key Vault Управляемый HSM | Как Azure Key Vault Premium, так и Управляемый HSM Azure Key Vault предоставляют ключи с поддержкой HSM* и являются лучшими решениями для создания облачных нативных приложений. |
| Я клиент IaaS, желающий переместить приложение для использования виртуальных машин Azure или HSM. | Выделенный модуль HSM Azure | Выделенный HSM Azure поддерживает клиентов IaaS SQL. Это единственное решение, которое поддерживает PKCS11 и пользовательские собственные приложения, отличные от облака. |
Подробные сведения о каждом решении по управлению ключами Azure, включая технические спецификации и варианты использования, см. в статье "Управление ключами" в Azure.