كيفية اختيار حل إدارة المفتاح الصحيح
يقدم Azure حلولا متعددة لتخزين مفاتيح التشفير وإدارتها في السحابة: Azure Key Vault (العروض القياسية والمميزة) وAzure Managed HSM وAzure Dedicated HSM وAzure Payment HSM. قد يكون من الغامر للعملاء تحديد حل الإدارة الرئيسي الصحيح لهم. تهدف هذه الورقة إلى مساعدة العملاء على التنقل في عملية صنع القرار هذه من خلال تقديم مجموعة من الحلول بناء على ثلاثة اعتبارات مختلفة: السيناريوهات والمتطلبات والصناعة.
لبدء تضييق حل إدارة المفتاح، اتبع المخطط الانسيابي استنادا إلى المتطلبات عالية المستوى الشائعة وسيناريوهات الإدارة الرئيسية. بدلا من ذلك، استخدم الجدول استنادا إلى متطلبات العملاء المحددة التي تتبعه مباشرة. إذا كانت إما توفر منتجات متعددة كحلول، فاستخدم مزيجا من المخطط الانسيابي والجدول للمساعدة في اتخاذ قرار نهائي. إذا كنت مهتما بما يستخدمه العملاء الآخرون في نفس الصناعة، فاقرأ جدول حلول الإدارة الرئيسية الشائعة حسب قطاع الصناعة. لمعرفة المزيد حول حل معين، استخدم الارتباطات الموجودة في نهاية المستند.
اختيار حل إدارة المفاتيح حسب السيناريو
يصف المخطط التالي المتطلبات الشائعة وسيناريوهات حالة الاستخدام وحل إدارة مفتاح Azure الموصى به.
يشير المخطط إلى هذه المتطلبات الشائعة:
- FIPS-140 هو معيار للحكومة الأمريكية مع مستويات مختلفة من المتطلبات الأمنية. لمزيد من المعلومات، راجع معيار معالجة المعلومات الفيدرالية (FIPS) 140.
- السيادة الرئيسية هي عندما يكون لدى مؤسسة العميل سيطرة كاملة وحصرية على مفاتيحها، بما في ذلك التحكم في ما يمكن للمستخدمين والخدمات الوصول إلى المفاتيح وسياسات إدارة المفاتيح.
- يشير الإيجار الفردي إلى مثيل مخصص واحد لتطبيق تم نشره لكل عميل، بدلا من مثيل مشترك بين عملاء متعددين. غالبا ما يتم العثور على الحاجة إلى منتجات مستأجر واحد كمتطلب امتثال داخلي في صناعات الخدمات المالية.
كما يشير إلى حالات استخدام الإدارة الرئيسية المختلفة هذه:
- عادة ما يتم تمكين التشفير الثابت لنماذج Azure IaaS وPaaS وSaaS. تطبيقات مثل Microsoft 365؛ حماية البيانات في Microsoft Purview؛ وخدمات النظام الأساسي التي تستخدم فيها السحابة للتخزين والتحليلات ووظائف ناقل الخدمة؛ وخدمات البنية الأساسية التي تتم فيها استضافة أنظمة التشغيل والتطبيقات ونشرها في السحابة تستخدم التشفير في حالة الثبات. يتم استخدام المفاتيح المدارة من قبل العميل للتشفير الثابت مع Azure Storage ومعرف Microsoft Entra. للحصول على أعلى مستوى من الأمان، يجب أن تكون المفاتيح مدعومة من HSM أو مفاتيح 3k أو 4k RSA. لمزيد من المعلومات حول التشفير الثابت، راجع تشفير بيانات Azure في حالة الثبات.
- يتم دعم إلغاء تحميل SSL/TLS على Azure Managed HSM وAzure Dedicated HSM. حسن العملاء قابلية الوصول العالية والأمان وأفضل نقطة سعر على Azure Managed HSM ل F5 وNinx.
- يشير الرفع والإزاحة إلى السيناريوهات التي يتم فيها ترحيل تطبيق PKCS11 المحلي إلى أجهزة Azure الظاهرية وتشغيل برامج مثل Oracle TDE في أجهزة Azure الظاهرية. يتم دعم الرفع والإزاحة التي تتطلب معالجة رمز PIN للدفع بواسطة Azure Payment HSM. يتم دعم جميع السيناريوهات الأخرى بواسطة Azure Dedicated HSM. يتم دعم واجهات برمجة التطبيقات والمكتبات القديمة مثل PKCS11 وJCA/JCE وCNG/KSP فقط من قبل Azure Dedicated HSM.
- تتضمن معالجة رمز PIN للدفع السماح بتخويل الدفع بالبطاقة والهاتف المحمول والمصادقة ثلاثية الأبعاد الآمنة؛ إنشاء رقم التعريف الشخصي (PIN) وإدارته والتحقق من صحته؛ بيانات اعتماد الدفع التي تصدر للبطاقات والأدوات القابلة للارتداء والأجهزة المتصلة؛ تأمين المفاتيح وبيانات المصادقة؛ وحماية البيانات الحساسة للتشفير من نقطة إلى نقطة، ورمز الأمان المميز، ورمز الدفع EMV. يتضمن هذا أيضا شهادات مثل PCI DSS وPCI 3DS وPCI PIN. هذه مدعومة من قبل Azure Payment HSM.
نتيجة المخطط الانسيابي هي نقطة بداية لتحديد الحل الذي يطابق احتياجاتك على أفضل نحو.
مقارنة متطلبات العملاء الأخرى
يوفر Azure حلول إدارة رئيسية متعددة للسماح للعملاء باختيار منتج استنادا إلى كل من المتطلبات عالية المستوى ومسؤوليات الإدارة. هناك مجموعة من المسؤوليات الإدارية بدءا من Azure Key Vault وAzure Managed HSM ذات مسؤولية أقل للعملاء، متبوعة ب Azure Dedicated HSM وAzure Payment HSM التي تتحمل أكبر قدر من مسؤولية العميل.
يتم تفصيل هذه المفاضلة بين مسؤولية الإدارة بين العميل وMicrosoft والمتطلبات الأخرى في الجدول أدناه.
تتم إدارة التزويد والاستضافة من قبل Microsoft عبر جميع الحلول. إن إنشاء المفاتيح وإدارتها، والأدوار والأذونات الممنوحة، والمراقبة والتدقيق هي مسؤولية العميل عبر جميع الحلول.
استخدم الجدول لمقارنة جميع الحلول جنبا إلى جنب. ابدأ من أعلى إلى أسفل، والإجابة على كل سؤال موجود في العمود الموجود في أقصى اليسار لمساعدتك في اختيار الحل الذي يلبي جميع احتياجاتك، بما في ذلك النفقات العامة والتكاليف الإدارية.
| AKV Standard | AKV Premium | Azure Managed HSM | Azure Dedicated HSM | Azure Payment HSM | |
|---|---|---|---|---|---|
| ما مستوى التوافق الذي تحتاجه؟ | FIPS 140-2 المستوى 1 | FIPS 140-2 المستوى 3، PCI DSS، PCI 3DS** | FIPS 140-2 المستوى 3، PCI DSS، PCI 3DS | FIPS 140-2 المستوى 3، HIPPA، PCI DSS، PCI 3DS، eIDAS CC EAL4+، GSMA | FIPS 140-2 المستوى 3، PCI PTS HSM v3، PCI DSS، PCI 3DS، PCI PIN |
| هل تحتاج إلى سيادة رئيسية؟ | لا | لا | نعم | نعم | نعم |
| ما نوع الإيجار الذي تبحث عنه؟ | متعدد المستأجرين | متعدد المستأجرين | مستأجر واحد | مستأجر واحد | مستأجر واحد |
| ما هي حالات الاستخدام الخاصة بك؟ | التشفير في حالة الثبات، CMK، مخصص | التشفير في حالة الثبات، CMK، مخصص | التشفير في حالة الثبات، إلغاء تحميل TLS، CMK، مخصص | PKCS11, TLS Offload, code/document signing, custom | معالجة رمز PIN للدفع، مخصص |
| هل تريد حماية أجهزة HSM؟ | لا | نعم | نعم | نعم | نعم |
| ما هي ميزانيتك؟ | $ | $$ | $$$ | $$$$ | $$$$ |
| روبوت Who تتحمل مسؤولية التصحيح والصيانة؟ | Microsoft | Microsoft | Microsoft | العميل | العميل |
| روبوت Who تتحمل مسؤولية سلامة الخدمة وتجاوز فشل الأجهزة؟ | Microsoft | Microsoft | مشتركة | العميل | العميل |
| ما نوع الكائنات التي تستخدمها ؟ | مفاتيح غير متماثلة وأسرار وشهادات | مفاتيح غير متماثلة وأسرار وشهادات | مفاتيح متماثلة/غير متماثلة | مفاتيح غير متماثلة/متماثلة، Certs | المفتاح الأساسي المحلي |
| جذر التحكم في الثقة | Microsoft | Microsoft | العميل | العميل | العميل |
يستخدم حل إدارة المفاتيح الشائعة من قبل قطاعات الصناعة
فيما يلي قائمة بحلول الإدارة الرئيسية التي نراها شائعة الاستخدام استنادا إلى الصناعة.
| الصناعه | حل Azure المقترح | اعتبارات الحلول المقترحة |
|---|---|---|
| أنا مؤسسة أو مؤسسة ذات متطلبات أمنية وتوافق صارمة (على سبيل المثال: الخدمات المصرفية والحكومية والصناعات ذات التنظيم العالي). أنا تاجر تجارة إلكترونية مباشر إلى المستهلك يحتاج إلى تخزين ومعالجة ونقل بطاقات ائتمان عملائي إلى معالج الدفع الخارجي/ البوابة الخاصة بي والبحث عن حل متوافق مع PCI. |
Azure Managed HSM | يوفر Azure Managed HSM توافق FIPS 140-2 المستوى 3، وهو حل متوافق مع PCI للتجارة الإلكترونية. وهو يدعم التشفير ل PCI DSS 4.0. يوفر مفاتيح مدعومة من HSM ويعطي العملاء السيادة الرئيسية والإيجار الفردي. |
| أنا موفر خدمة للخدمات المالية أو جهة إصدار أو مكتسب بطاقة أو شبكة بطاقة أو بوابة دفع /PSP أو موفر حلول 3DS يبحث عن خدمة مستأجر واحدة يمكنها تلبية PCI وأطر التوافق الرئيسية المتعددة. | Azure Payment HSM | يوفر Azure Payment HSM توافق FIPS 140-2 المستوى 3 وPCI HSM v3 وPCI DSS وPCI 3DS وPCI PIN. ويوفر السيادة الرئيسية والإيجار الفردي، ومتطلبات الامتثال الداخلي المشتركة حول معالجة الدفع. يوفر Azure Payment HSM معاملة الدفع الكاملة ودعم معالجة رمز PIN. |
| أنا عميل شركة ناشئة في مرحلة مبكرة أبحث عن نموذج أولي لتطبيق سحابي أصلي. | Azure Key Vault قياسي | يوفر Azure Key Vault Standard مفاتيح مدعومة بالبرامج بسعر اقتصاد. |
| أنا عميل شركة ناشئة أتطلع إلى إنتاج تطبيق سحابي أصلي. | Azure Key Vault Premium، Azure Managed HSM | يوفر كل من Azure Key Vault Premium وAzure Managed HSM مفاتيح مدعومة من HSM* وهي أفضل الحلول لبناء التطبيقات الأصلية السحابية. |
| أنا عميل IaaS يريد نقل تطبيقي لاستخدام Azure VM/HSMs. | Azure Dedicated HSM | يدعم Azure Dedicated HSM عملاء SQL IaaS. إنه الحل الوحيد الذي يدعم PKCS11 والتطبيقات الأصلية المخصصة غير السحابية. |
تعرف على المزيد حول حلول إدارة مفاتيح Azure
Azure Key Vault (المستوى القياسي): تم التحقق من صحة خدمة إدارة مفاتيح السحابة متعددة المستأجرين FIPS 140-2 من المستوى 1 التي يمكن استخدامها لتخزين كل من المفاتيح والأسرار والشهادات غير المتماثلة والمتماثلة. المفاتيح المخزنة في Azure Key Vault محمية بالبرمجيات ويمكن استخدامها للتشفير في وضع الثبات (عدم تنقلها) والتطبيقات المخصصة. يوفر Azure Key Vault Standard واجهة برمجة تطبيقات حديثة واتساع عمليات التوزيع والتكامل الإقليمية مع خدمات Azure. لمزيد من المعلومات، راجع معلومات عن Azure Key Vault.
Azure Key Vault (المستوى المميز): تم التحقق من صحة عرض HSM متعدد المستأجرين FIPS 140-2 المستوى 3** الذي يمكن استخدامه لتخزين كل من المفاتيح والأسرار والشهادات غير المتماثلة والمتماثلة. يتم تخزين المفاتيح في حد جهاز آمن*. تقوم Microsoft بإدارة وتشغيل HSM الأساسي، ويمكن استخدام المفاتيح المخزنة في Azure Key Vault Premium للتشفير في وضع الثبات (عدم تنقلها) والتطبيقات المخصصة. يوفر Azure Key Vault Premium أيضا واجهة برمجة تطبيقات حديثة واتساع عمليات التوزيع والتكامل الإقليمية مع خدمات Azure. إذا كنت عميل AKV Premium يبحث عن السيادة الرئيسية و/أو الإيجار الفردي و/أو عمليات التشفير الأعلى في الثانية، فقد تحتاج إلى التفكير في HSM المدار بدلا من ذلك. لمزيد من المعلومات، راجع معلومات عن Azure Key Vault.
Azure Managed HSM: تم التحقق من صحة FIPS 140-2 المستوى 3، وعرض HSM متوافق مع PCI، ومستأجر واحد يمنح العملاء التحكم الكامل في HSM للتشفير في حالة الراحة، وإيقاف تحميل Keyless SSL/TLS، والتطبيقات المخصصة. Azure Managed HSM هو حل إدارة المفتاح الوحيد الذي يقدم مفاتيح سرية. يتلقى العملاء مجموعة من ثلاثة أقسام HSM - تعمل معا كجهاز HSM منطقي واحد ومتاح بشكل كبير - أمام خدمة تعرض وظائف التشفير من خلال واجهة برمجة تطبيقات Key Vault. تتعامل Microsoft مع التوفير والتصحيح والصيانة وتجاوز فشل الأجهزة ل HSMs، ولكن ليس لديها حق الوصول إلى المفاتيح نفسها، لأن الخدمة تنفذ داخل البنية الأساسية للحوسبة السرية في Azure. يتم دمج Azure Managed HSM مع خدمات Azure SQL وAzure Storage وAzure حماية البيانات PaaS ويوفر الدعم ل Keyless TLS مع F5 و Nginx. لمزيد من المعلومات، راجع ما هو Azure Key Vault Managed HSM؟
Azure Dedicated HSM: قام FIPS 140-2 المستوى 3 بالتحقق من صحة عرض HSM المجرد للمستأجر الفردي الذي يتيح للعملاء استئجار جهاز HSM للأغراض العامة موجود في مراكز بيانات Microsoft. يمتلك العميل ملكية كاملة على جهاز HSM وهو مسؤول عن تصحيح وتحديث البرنامج الثابت عند الحاجة. لا تملك Microsoft أذونات على الجهاز أو الوصول إلى المواد الرئيسية، ولا يتم دمج Azure Dedicated HSM مع أي عروض Azure PaaS. يمكن للعملاء التفاعل مع HSM باستخدام واجهات برمجة تطبيقات PKCS # 11 وJCE/JCA وKSP/CNG. يعتبر هذا العرض أكثر فائدة لأحمال العمل القديمة لرفع وتحويل، PKI، SSL Offloading وKeyless TLS (تشمل عمليات الدمج المدعومة F5 وNginx وApache وPalo Alto وIBM GW والمزيد) وتطبيقات OpenSSL وOracle TDE وAzure SQL TDE IaaS. لمزيد من المعلومات، راجع ما هو Azure Dedicated HSM؟
Azure Payment HSM: FIPS 140-2 المستوى 3، PCI HSM v3، تم التحقق من صحة عرض HSM بلا نظام تشغيل مستأجر واحد يسمح للعملاء بتأجير جهاز HSM للدفع في مراكز بيانات Microsoft لعمليات الدفع، بما في ذلك معالجة رمز PIN للدفع وإصدار بيانات اعتماد الدفع وتأمين المفاتيح وبيانات المصادقة وحماية البيانات الحساسة. الخدمة متوافقة مع PCI DSS وPCI 3DS وPCI PIN. يوفر Azure Payment HSMs HSM للمستأجر الفردي للعملاء للحصول على تحكم إداري كامل ووصول حصري إلى HSM. بمجرد تخصيص HSM للعميل، لن يكون لدى Microsoft حق الوصول إلى بيانات العميل. وبالمثل، عندما لم تعد هناك حاجة إلى HSM، يتم تصفير بيانات العميل ومسحها بمجرد إصدار HSM، لضمان الحفاظ على الخصوصية والأمان الكاملين. لمزيد من المعلومات، راجع معلومات عن Azure Payment HSM.
إشعار
* يسمح Azure Key Vault Premium بإنشاء كل من المفاتيح المحمية بالبرامج والمفاتيح المحمية ب HSM. إذا كنت تستخدم Azure Key Vault Premium، فتحقق للتأكد من أن المفتاح الذي تم إنشاؤه محمي بواسطة HSM.
** باستثناء مناطق المملكة المتحدة التي هي FIPS 140-2 المستوى 2، PCI DSS.