Como escolher a solução certa de gerenciamento de chaves
O Azure oferece várias soluções para armazenamento e gerenciamento de chaves criptográficas na nuvem: Azure Key Vault (ofertas padrão e premium), Azure Managed HSM, Azure Dedicated HSM e Azure Payment HSM. Pode ser difícil para os clientes decidir qual solução de gerenciamento de chaves é correta para eles. Este documento tem como objetivo ajudar os clientes a navegar nesse processo de tomada de decisão, apresentando a gama de soluções com base em três considerações diferentes: cenários, requisitos e indústria.
Para começar a restringir uma solução de gerenciamento de chaves, siga o fluxograma com base em requisitos comuns de alto nível e cenários-chave de gerenciamento. Como alternativa, use a tabela com base nos requisitos específicos do cliente que a seguem diretamente. Se ambos fornecerem vários produtos como soluções, use uma combinação do fluxograma e da tabela para ajudar na tomada de uma decisão final. Se estiver curioso sobre o que outros clientes do mesmo setor estão usando, leia a tabela de soluções de gerenciamento de chaves comuns por segmento de indústria. Para saber mais sobre uma solução específica, use os links no final do documento.
Escolha uma solução de gerenciamento de chaves por cenário
O gráfico a seguir descreve os requisitos comuns e os cenários de caso de uso e a solução recomendada de gerenciamento de chaves do Azure.
O gráfico refere-se a estes requisitos comuns:
- FIPS-140 é um padrão do governo dos EUA com diferentes níveis de requisitos de segurança. Para obter mais informações, consulte Federal Information Processing Standard (FIPS) 140.
- A soberania de chaves é quando a organização do cliente tem controle total e exclusivo de suas chaves, incluindo controle sobre quais usuários e serviços podem acessar as chaves e políticas de gerenciamento de chaves.
- Locação única refere-se a uma única instância dedicada de um aplicativo implantado para cada cliente, em vez de uma instância compartilhada entre vários clientes. A necessidade de produtos de inquilino único é frequentemente encontrada como um requisito de conformidade interno em setores de serviços financeiros.
Também se refere a estes vários casos de uso de gerenciamento de chaves:
- A criptografia em repouso normalmente é habilitada para modelos IaaS, PaaS e SaaS do Azure. Aplicações como o Microsoft 365; Proteção de Informações Microsoft Purview; serviços de plataforma em que a nuvem é usada para armazenamento, análise e funcionalidade de barramento de serviço; e os serviços de infraestrutura em que os sistemas operacionais e aplicativos são hospedados e implantados na nuvem usam criptografia em repouso. As chaves gerenciadas pelo cliente para criptografia em repouso são usadas com o Armazenamento do Azure e a ID do Microsoft Entra. Para maior segurança, as chaves devem ser apoiadas por HSM, chaves RSA 3k ou 4k. Para obter mais informações sobre criptografia em repouso, consulte Criptografia de dados do Azure em repouso.
- O descarregamento de SSL/TLS é suportado no HSM Gerenciado do Azure e no HSM Dedicado do Azure. Os clientes melhoraram a alta disponibilidade, a segurança e o melhor preço no Azure Managed HSM para F5 e Nginx.
- Lift and shift referem-se a cenários em que um aplicativo PKCS11 local é migrado para Máquinas Virtuais do Azure e executa software como Oracle TDE em Máquinas Virtuais do Azure. O processamento de PIN de elevação e deslocamento é suportado pelo HSM de Pagamento do Azure. Todos os outros cenários são suportados pelo HSM Dedicado do Azure. APIs e bibliotecas herdadas, como PKCS11, JCA/JCE e CNG/KSP, só são suportadas pelo HSM Dedicado do Azure.
- O processamento do PIN de pagamento inclui a permissão de autorização de pagamento por cartão e celular e autenticação 3D-Secure; Geração, gestão e validação de PIN; emissão de credenciais de pagamento para cartões, wearables e dispositivos conectados; proteger chaves e dados de autenticação; e proteção de dados confidenciais para criptografia ponto-a-ponto, tokenização de segurança e tokenização de pagamento EMV. Isso também inclui certificações como PCI DSS, PCI 3DS e PCI PIN. Estes são suportados pelo Azure Payment HSM.
O resultado do fluxograma é um ponto de partida para identificar a solução que melhor se adequa às suas necessidades.
Compare outros requisitos do cliente
O Azure fornece várias soluções de gerenciamento de chaves para permitir que os clientes escolham um produto com base em requisitos de alto nível e responsabilidades de gerenciamento. Há um espectro de responsabilidades de gerenciamento que vão desde o Azure Key Vault e o Azure Managed HSM com menos responsabilidade do cliente, seguido pelo HSM Dedicado do Azure e pelo HSM de Pagamento do Azure com a maior responsabilidade do cliente.
Esse trade-off de responsabilidade de gerenciamento entre o cliente e a Microsoft e outros requisitos é detalhado na tabela abaixo.
O provisionamento e a hospedagem são gerenciados pela Microsoft em todas as soluções. A geração e o gerenciamento de chaves, a concessão de funções e permissões, o monitoramento e a auditoria são de responsabilidade do cliente em todas as soluções.
Use a tabela para comparar todas as soluções lado a lado. Comece de cima para baixo, respondendo a cada pergunta encontrada na coluna mais à esquerda para ajudá-lo a escolher a solução que atende a todas as suas necessidades, incluindo despesas gerais de gerenciamento e custos.
| Padrão AKV | AKV Premium | Azure Managed HSM | Azure Dedicated HSM | Azure Payment HSM | |
|---|---|---|---|---|---|
| De que nível de conformidade precisa? | FIPS 140-2 nível 1 | FIPS 140-2 nível 3, PCI DSS, PCI 3DS** | FIPS 140-2 nível 3, PCI DSS, PCI 3DS | FIPS 140-2 nível 3, HIPPA, PCI DSS, PCI 3DS, eIDAS CC EAL4+, GSMA | FIPS 140-2 nível 3, PCI PTS HSM v3, PCI DSS, PCI 3DS, PIN PCI |
| Precisa de soberania fundamental? | No | No | Sim | Sim | Sim |
| Que tipo de arrendamento procura? | Multi-inquilino | Multi-inquilino | Inquilino Único | Inquilino Único | Inquilino Único |
| Quais são os seus casos de uso? | Criptografia em repouso, CMK, personalizada | Criptografia em repouso, CMK, personalizada | Criptografia em repouso, descarregamento de TLS, CMK, personalizado | PKCS11, descarregamento de TLS, assinatura de código/documento, personalizado | Processamento de PIN de pagamento, personalizado |
| Você quer proteção de hardware HSM? | Não | Sim | Sim | Sim | Sim |
| Qual é o seu orçamento? | $ | $$ | $$$ | $$$$ | $$$$ |
| Quem assume a responsabilidade pela aplicação de patches e manutenção? | Microsoft | Microsoft | Microsoft | Cliente | Cliente |
| Quem assume a responsabilidade pela integridade do serviço e pelo failover de hardware? | Microsoft | Microsoft | Partilhado | Cliente | Cliente |
| Que tipo de objetos você está usando? | Chaves assimétricas, segredos, certificados | Chaves assimétricas, segredos, certificados | Chaves assimétricas/simétricas | Chaves assimétricas/simétricas, Certs | Chave primária local |
| Raiz do controle de confiança | Microsoft | Microsoft | Cliente | Cliente | Cliente |
Usos comuns de soluções de gerenciamento de chaves por segmentos da indústria
Aqui está uma lista das principais soluções de gerenciamento que comumente vemos sendo utilizadas com base no setor.
| Setor | Solução sugerida do Azure | Considerações para as soluções sugeridas |
|---|---|---|
| Sou uma empresa ou organização com requisitos rigorosos de segurança e conformidade (ex: bancos, governo, setores altamente regulamentados). Sou um comerciante de comércio eletrônico direto ao consumidor que precisa armazenar, processar e transmitir os cartões de crédito dos meus clientes para o meu processador/gateway de pagamento externo e procurar uma solução compatível com PCI. |
Azure Managed HSM | O Azure Managed HSM fornece conformidade com FIPS 140-2 Nível 3 e é uma solução compatível com PCI para comércio eletrônico. Ele suporta criptografia para PCI DSS 4.0. Ele fornece chaves apoiadas por HSM e oferece aos clientes soberania de chaves e locação única. |
| Sou um provedor de serviços financeiros, um emissor, um adquirente de cartões, uma rede de cartões, um gateway de pagamento/PSP ou provedor de soluções 3DS procurando um único serviço de locatário que possa atender a PCI e várias estruturas de conformidade importantes. | Azure Payment HSM | O Azure Payment HSM fornece conformidade com FIPS 140-2 Nível 3, PCI HSM v3, PCI DSS, PCI 3DS e PCI PIN. Ele fornece soberania chave e locação única, requisitos internos comuns de conformidade em torno do processamento de pagamentos. O Azure Payment HSM fornece suporte total para transações de pagamento e processamento de PIN. |
| Sou um cliente iniciante em estágio inicial que deseja prototipar um aplicativo nativo da nuvem. | Azure Key Vault Standard | O Azure Key Vault Standard fornece chaves apoiadas por software a um preço económico. |
| Sou um cliente iniciante que procura produzir um aplicativo nativo da nuvem. | Azure Key Vault Premium, Azure Managed HSM | Tanto o Azure Key Vault Premium quanto o Azure Managed HSM fornecem chaves com suporte de HSM* e são as melhores soluções para criar aplicativos nativos da nuvem. |
| Sou um cliente IaaS que deseja mover meu aplicativo para usar VM/HSMs do Azure. | HSM Dedicado do Azure | O HSM Dedicado do Azure dá suporte a clientes de IaaS SQL. É a única solução que suporta PKCS11 e aplicações personalizadas não nativas da nuvem. |
Saiba mais sobre as soluções de gerenciamento de chaves do Azure
Azure Key Vault (Standard Tier): um serviço de gerenciamento de chaves na nuvem multilocatário validado pelo FIPS 140-2 Nível 1 que pode ser usado para armazenar chaves, segredos e certificados assimétricos e simétricos. As chaves armazenadas no Cofre de Chaves do Azure são protegidas por software e podem ser usadas para criptografia em repouso e aplicativos personalizados. O Azure Key Vault Standard fornece uma API moderna e uma variedade de implantações e integrações regionais com os Serviços do Azure. Para obter mais informações, consulte Sobre o Azure Key Vault.
Azure Key Vault (Nível Premium): uma oferta de HSM multilocatário validada pelo FIPS 140-2 Nível 3** que pode ser usada para armazenar chaves, segredos e certificados assimétricos e simétricos. As chaves são armazenadas em um limite de hardware seguro*. A Microsoft gerencia e opera o HSM subjacente, e as chaves armazenadas no Azure Key Vault Premium podem ser usadas para criptografia em repouso e aplicativos personalizados. O Azure Key Vault Premium também fornece uma API moderna e uma variedade de implantações e integrações regionais com os Serviços do Azure. Se você é um cliente AKV Premium que procura soberania de chave, locação única e/ou operações de criptografia mais altas por segundo, você pode considerar o HSM gerenciado. Para obter mais informações, consulte Sobre o Azure Key Vault.
Azure Managed HSM: uma oferta de HSM de inquilino único validada com FIPS 140-2 Nível 3, compatível com PCI, que dá aos clientes controlo total de um HSM para encriptação em repouso, descarregamento de SSL/TLS sem chave e aplicações personalizadas. O Azure Managed HSM é a única solução de gerenciamento de chaves que oferece chaves confidenciais. Os clientes recebem um pool de três partições HSM — juntas atuando como um dispositivo HSM lógico e altamente disponível — encabeçadas por um serviço que expõe a funcionalidade de criptografia por meio da API do Cofre de Chaves. A Microsoft lida com o provisionamento, patching, manutenção e failover de hardware dos HSMs, mas não tem acesso às chaves em si, porque o serviço é executado dentro da Infraestrutura de Computação Confidencial do Azure. O Azure Managed HSM está integrado com os serviços PaaS do Azure SQL, Armazenamento do Azure e Proteção de Informações do Azure e oferece suporte para TLS sem chave com F5 e Nginx. Para obter mais informações, consulte O que é o Azure Key Vault Managed HSM?
HSM Dedicado do Azure: uma oferta de HSM bare metal de inquilino único validada pelo FIPS 140-2 Nível 3 que permite aos clientes alugar um dispositivo HSM de uso geral que reside em datacenters da Microsoft. O cliente tem total propriedade sobre o dispositivo HSM e é responsável por corrigir e atualizar o firmware quando necessário. A Microsoft não tem permissões no dispositivo ou acesso ao material de chave e o HSM Dedicado do Azure não está integrado a nenhuma oferta de PaaS do Azure. Os clientes podem interagir com o HSM usando as APIs PKCS#11, JCE/JCA e KSP/CNG. Esta oferta é mais útil para cargas de trabalho legadas de elevação e mudança, PKI, SSL Offloading e Keyless TLS (as integrações suportadas incluem F5, Nginx, Apache, Palo Alto, IBM GW e muito mais), aplicações OpenSSL, Oracle TDE e Azure SQL TDE IaaS. Para obter mais informações, consulte O que é o HSM Dedicado do Azure?
Azure Payment HSM: uma oferta de HSM bare metal de inquilino único FIPS 140-2, PCI HSM v3, validada que permite aos clientes alugar um dispositivo HSM de pagamento em datacenters da Microsoft para operações de pagamento, incluindo processamento de PIN de pagamento, emissão de credenciais de pagamento, proteção de chaves e dados de autenticação e proteção de dados confidenciais. O serviço é compatível com PCI DSS, PCI 3DS e PCI PIN. O Azure Payment HSM oferece HSMs de locatário único para que os clientes tenham controle administrativo completo e acesso exclusivo ao HSM. Depois que o HSM é alocado a um cliente, a Microsoft não tem acesso aos dados do cliente. Da mesma forma, quando o HSM não é mais necessário, os dados do cliente são zerados e apagados assim que o HSM é liberado, para garantir total privacidade e segurança. Para obter mais informações, consulte Sobre o HSM de pagamento do Azure.
Nota
* O Azure Key Vault Premium permite a criação de chaves protegidas por software e HSM. Se estiver usando o Azure Key Vault Premium, verifique se a chave criada está protegida por HSM.
** Exceto regiões do Reino Unido que são FIPS 140-2 nível 2, PCI DSS.