Doğru anahtar yönetimi çözümünü seçme
Azure, bulutta şifreleme anahtarı depolama ve yönetimi için birden çok çözüm sunar: Azure Key Vault (standart ve premium teklifler), Azure Yönetilen HSM, Azure Ayrılmış HSM ve Azure Ödeme HSM. Müşterilerin hangi anahtar yönetimi çözümünün kendileri için doğru olduğuna karar vermeleri zor olabilir. Bu makale, müşterilerin senaryolar, gereksinimler ve sektör olmak üzere üç farklı noktayı temel alan çözüm yelpazesini sunarak bu karar alma sürecinde gezinmelerine yardımcı olmayı amaçlamaktadır.
Bir anahtar yönetimi çözümünü daraltmaya başlamak için yaygın üst düzey gereksinimlere ve anahtar yönetimi senaryolarına göre akış çizelgesini izleyin. Alternatif olarak, tabloyu doğrudan izleyen belirli müşteri gereksinimlerine göre kullanın. Çözüm olarak birden çok ürün sağlıyorsanız, son kararı vermenize yardımcı olması için akış çizelgesi ve tablonun bir birleşimini kullanın. Aynı sektördeki diğer müşterilerin ne kullandığını merak ediyorsanız, sektör segmentlerine göre ortak anahtar yönetimi çözümleri tablosunu okuyun. Belirli bir çözüm hakkında daha fazla bilgi edinmek için belgenin sonundaki bağlantıları kullanın.
Senaryoya göre bir anahtar yönetimi çözümü seçme
Aşağıdaki grafikte yaygın gereksinimler ve kullanım örneği senaryoları ve önerilen Azure anahtar yönetimi çözümü açıklanmaktadır.
Grafik şu yaygın gereksinimleri ifade eder:
- FIPS-140 , farklı güvenlik gereksinimleri düzeyine sahip bir ABD kamu standardıdır. Daha fazla bilgi için bkz . Federal Bilgi İşleme Standardı (FIPS) 140.
- Temel egemenlik , müşterinin kuruluşunun anahtarlar üzerinde tam ve özel denetime sahip olmasıdır. Bu denetim, kullanıcıların ve hizmetlerin anahtarlara erişebilecekleri ve anahtar yönetimi ilkeleri de dahil olmak üzere geçerlidir.
- Tek kiracı, bir uygulamanın birden çok müşteri arasında paylaşılan bir örnek yerine her müşteri için dağıtılan tek bir ayrılmış örneğini ifade eder. Tek kiracılı ürünlere duyulan ihtiyaç genellikle finansal hizmet sektörlerinde iç uyumluluk gereksinimi olarak bulunur.
Ayrıca şu çeşitli anahtar yönetimi kullanım örneklerini de ifade eder:
- Bekleyen şifreleme genellikle Azure IaaS, PaaS ve SaaS modelleri için etkinleştirilir. Microsoft 365 gibi uygulamalar; Microsoft Purview Bilgi Koruması; bulutta depolama, analiz ve hizmet veri yolu işlevselliği için kullanılan platform hizmetleri ve işletim sistemlerinin ve uygulamaların bulutta barındırıldığı ve dağıtıldığı altyapı hizmetleri bekleyen şifrelemeyi kullanır. Bekleyen şifreleme için müşteri tarafından yönetilen anahtarlar Azure Depolama ve Microsoft Entra Id ile kullanılır. En yüksek güvenlik için anahtarlar HSM destekli, 3k veya 4k RSA anahtarları olmalıdır. Bekleyen şifreleme hakkında daha fazla bilgi için bkz . Bekleyen Azure Veri Şifrelemesi.
- SSL/TLS Boşaltma , Azure Yönetilen HSM ve Azure Ayrılmış HSM'de desteklenir. Müşteriler, F5 ve Nginx için Azure Yönetilen HSM'de yüksek kullanılabilirlik, güvenlik ve en iyi fiyat noktasını geliştirdi.
- Lift and shift, şirket içi bir PKCS11 uygulamasının Azure Sanal Makineler'a geçirildiği ve Azure Sanal Makineler'de Oracle TDE gibi yazılımları çalıştırdığı senaryolara başvurur. Ödeme PIN'i işleme gerektiren lift and shift, Azure Payment HSM tarafından desteklenir. Diğer tüm senaryolar Azure Ayrılmış HSM tarafından desteklenir. PKCS11, JCA/JCE ve CNG/KSP gibi eski API'ler ve kitaplıklar yalnızca Azure Ayrılmış HSM tarafından desteklenir.
- Ödeme PIN'i işleme , kart ve mobil ödeme yetkilendirmesine ve 3D-Secure kimlik doğrulamasına izin verilmesini içerir; PIN oluşturma, yönetim ve doğrulama; kartlar, giyilebilir cihazlar ve bağlı cihazlar için ödeme kimlik bilgileri verme; anahtarların ve kimlik doğrulama verilerinin güvenliğini sağlama; ve noktadan noktaya şifreleme, güvenlik belirteci oluşturma ve EMV ödeme belirteci oluşturma için hassas veri koruması. Bu, PCI DSS, PCI 3DS ve PCI PIN gibi sertifikaları da içerir. Bunlar Azure Ödeme HSM tarafından desteklenir.
Akış çizelgesi sonucu, gereksinimlerinize en uygun çözümü tanımlamak için bir başlangıç noktasıdır.
Diğer müşteri gereksinimlerini karşılaştırma
Azure, müşterilerin hem üst düzey gereksinimlere hem de yönetim sorumluluklarına göre bir ürün seçmesine olanak sağlayan birden çok anahtar yönetim çözümü sunar. Azure Key Vault ve Azure Yönetilen HSM'den daha az müşteri sorumluluğuna sahip azure ayrılmış HSM ve en fazla müşteri sorumluluğuna sahip Azure Ödeme HSM'den oluşan çeşitli yönetim sorumlulukları vardır.
Müşteri ve Microsoft ile diğer gereksinimler arasındaki yönetim sorumluluğunun bu şekilde dengelenmesi aşağıdaki tabloda ayrıntılı olarak açıklanmaktadır.
Sağlama ve barındırma tüm çözümlerde Microsoft tarafından yönetilir. Anahtar oluşturma ve yönetim, roller ve izin verme, izleme ve denetim tüm çözümlerde müşterinin sorumluluğundadır.
Tüm çözümleri yan yana karşılaştırmak için tabloyu kullanın. Yönetim yükü ve maliyetler dahil olmak üzere tüm ihtiyaçlarınızı karşılayan çözümü seçmenize yardımcı olmak için en soldaki sütunda bulunan her soruyu yanıtlayarak yukarıdan aşağıya doğru başlayın.
| AKV Standard | AKV Premium | Azure Yönetilen HSM | Azure Ayrılmış HSM | Azure Ödeme HSM | |
|---|---|---|---|---|---|
| Hangi uyumluluk düzeyine ihtiyacınız var? | FIPS 140-2 düzey 1 | FIPS 140-2 düzey 3, PCI DSS, PCI 3DS** | FIPS 140-2 düzey 3, PCI DSS, PCI 3DS | FIPS 140-2 düzey 3, HIPPA, PCI DSS, PCI 3DS, eIDAS CC EAL4+, GSMA | FIPS 140-2 düzey 3, PCI PTS HSM v3, PCI DSS, PCI 3DS, PCI PIN |
| Anahtar egemenliğe ihtiyacınız var mı? | Hayır | Hayı | Evet | Evet | Yes |
| Ne tür bir kiracı arıyorsun? | Çok Kiracılı | Çok Kiracılı | Tek Kiracı | Tek Kiracı | Tek Kiracı |
| Kullanım örnekleriniz nelerdir? | Bekleyen şifreleme, CMK, özel | Bekleyen şifreleme, CMK, özel | Bekleyen Şifreleme, TLS Boşaltma, CMK, özel | PKCS11, TLS Boşaltma, kod/belge imzalama, özel | Ödeme PIN'i işleme, özel |
| HSM donanım koruması istiyor musunuz? | Hayır | Evet | Evet | Evet | Yes |
| Bütçeniz nedir? | $ | $$ | $$$ | $$$$ | $$$$ |
| Düzeltme eki uygulama ve bakım sorumluluğunu kim üstlenir? | Microsoft | Microsoft | Microsoft | Müşteri | Müşteri |
| Hizmet durumu ve donanım yük devretme sorumluluğunu kimler üstlenir? | Microsoft | Microsoft | Paylaşılan | Müşteri | Müşteri |
| Ne tür nesneler kullanıyorsunuz? | Asimetrik Anahtarlar, Gizli Diziler, Sertifikalar | Asimetrik Anahtarlar, Gizli Diziler, Sertifikalar | Asimetrik/Simetrik anahtarlar | Asimetrik/Simetrik anahtarlar, Sertifikalar | Yerel Birincil Anahtar |
| Güven denetiminin kökü | Microsoft | Microsoft | Müşteri | Müşteri | Müşteri |
Sektör segmentleri tarafından kullanılan ortak anahtar yönetimi çözümü
Aşağıda, sektöre dayalı olarak yaygın olarak kullanılan temel yönetim çözümlerinin bir listesi yer alır.
| Sektör | Önerilen Azure çözümü | Önerilen çözümler için dikkat edilmesi gerekenler |
|---|---|---|
| Sıkı güvenlik ve uyumluluk gereksinimleri olan bir kuruluşum veya kuruluşum (örn. bankacılık, kamu, yüksek oranda düzenlenmiş sektörler). Müşterilerimin kredi kartlarını depolaması, işlemesi ve harici ödeme işlemcime/ağ geçidime iletmesi ve PCI uyumlu bir çözüm araması gereken doğrudan tüketiciye yönelik bir e-ticaret satıcısıyım. |
Azure Yönetilen HSM | Azure Yönetilen HSM, FIPS 140-2 Düzey 3 uyumluluğu sağlar ve e-ticaret için PCI uyumlu bir çözümdür. PCI DSS 4.0 için şifrelemeyi destekler. HSM destekli anahtarlar sağlar ve müşterilere anahtar hakimiyeti ve tek kiracılık sağlar. |
| PCI ve birden çok ana uyumluluk çerçevesini karşılayabilen tek bir kiracı hizmeti arayan finansal hizmetler, veren, kart edinen, kart ağı, ödeme ağ geçidi/PSP veya 3DS çözüm sağlayıcısı için hizmet sağlayıcısıyım. | Azure Ödeme HSM | Azure Ödeme HSM FIPS 140-2 Düzey 3, PCI HSM v3, PCI DSS, PCI 3DS ve PCI PIN uyumluluğu sağlar. Ödeme işlemeyle ilgili temel egemenlik ve tek kiracılık, ortak iç uyumluluk gereksinimleri sağlar. Azure Ödeme HSM tam ödeme işlemi ve PIN işleme desteği sağlar. |
| Buluta özel bir uygulama prototipi oluşturmak isteyen erken aşama bir başlangıç müşterisiyim. | Azure Key Vault Standard | Azure Key Vault Standard, yazılım destekli anahtarları ekonomik bir fiyata sağlar. |
| Buluta özel bir uygulama üretmek isteyen bir başlangıç müşterisiyim. | Azure Key Vault Premium, Azure Yönetilen HSM | Hem Azure Key Vault Premium hem de Azure Yönetilen HSM, HSM destekli anahtarlar* sağlar ve buluta özel uygulamalar oluşturmaya yönelik en iyi çözümlerdir. |
| Uygulamamı Azure VM/HSM'leri kullanacak şekilde taşımak isteyen bir IaaS müşterisiyim. | Azure Ayrılmış HSM | Azure Ayrılmış HSM, SQL IaaS müşterilerini destekler. PKCS11 ve özel bulut dışı yerel uygulamaları destekleyen tek çözümdür. |
Azure anahtar yönetimi çözümleri hakkında daha fazla bilgi edinin
Azure Key Vault (Standart Katman):FiPS 140-2 Düzey 1 doğrulanmış çok kiracılı bulut anahtarı yönetim hizmeti, hem asimetrik hem de simetrik anahtarları, gizli dizileri ve sertifikaları depolamak için kullanılabilir. Azure Key Vault'ta depolanan anahtarlar yazılım korumalıdır ve bekleyen şifreleme ve özel uygulamalar için kullanılabilir. Azure Key Vault Standard, modern bir API ve Azure Hizmetleri ile bölgesel dağıtımlar ve tümleştirmeler sunar. Daha fazla bilgi için bkz . Azure Key Vault hakkında.
Azure Key Vault (Premium Katman):FiPS 140-2 Düzey 3** hem asimetrik hem de simetrik anahtarları, gizli dizileri ve sertifikaları depolamak için kullanılabilen doğrulanmış çok kiracılı HSM teklifi. Anahtarlar güvenli bir donanım sınırında* depolanır. Microsoft, temel alınan HSM'yi yönetir ve çalıştırır ve Azure Key Vault Premium'da depolanan anahtarlar bekleyen şifreleme ve özel uygulamalar için kullanılabilir. Azure Key Vault Premium ayrıca modern bir API ve Azure Hizmetleri ile bölgesel dağıtımlar ve tümleştirmeler sunar. Anahtar egemenlik, tek kiracılık ve/veya saniyede daha yüksek şifreleme işlemleri arayan bir AKV Premium müşterisiyseniz, bunun yerine Yönetilen HSM'yi göz önünde bulundurmanız gerekebilir. Daha fazla bilgi için bkz . Azure Key Vault hakkında.
Azure Yönetilen HSM: Müşterilere bekleyen şifreleme, Anahtarsız SSL/TLS boşaltması ve özel uygulamalar için bir HSM'nin tam denetimini sağlayan BIR FIPS 140-2 Düzey 3 doğrulanmış, PCI uyumlu, tek kiracılı HSM teklifi. Azure Yönetilen HSM, gizli anahtarlar sunan tek anahtar yönetimi çözümüdür. Müşteriler, Anahtar Kasası API'si aracılığıyla şifreleme işlevselliğini kullanıma sunan bir hizmetin önünde mantıksal, yüksek oranda kullanılabilir bir HSM aleti işlevi görürken üç HSM bölümünden oluşan bir havuz alır. Microsoft, HSM'lerin sağlama, düzeltme eki uygulama, bakım ve donanım yük devretme işlemlerini gerçekleştirir, ancak hizmet Azure'ın Gizli İşlem Altyapısı içinde yürütür çünkü anahtarlara kendi kendilerine erişimi yoktur. Azure Yönetilen HSM, Azure SQL, Azure Depolama ve Azure Information Protection PaaS hizmetleriyle tümleşiktir ve F5 ve Nginx ile Anahtarsız TLS desteği sunar. Daha fazla bilgi için bkz. Azure Key Vault Yönetilen HSM nedir?
Azure Ayrılmış HSM: Müşterilerin Microsoft veri merkezlerinde bulunan genel amaçlı bir HSM aleti kiralamasına olanak tanıyan fips 140-2 Düzey 3 onaylı tek kiracılı çıplak HSM teklifi. Müşteri, HSM cihazı üzerinde tam sahiplik sahibidir ve gerektiğinde üretici yazılımına düzeltme eki uygulama ve güncelleştirme sorumluluğundadır. Microsoft'un cihaz üzerinde hiçbir izni veya anahtar malzemeye erişimi yoktur ve Azure Ayrılmış HSM hiçbir Azure PaaS teklifiyle tümleştirilmemiştir. Müşteriler PKCS#11, JCE/JCA ve KSP/CNG API'lerini kullanarak HSM ile etkileşimde bulunabilir. Bu teklif en çok eski lift-and-shift iş yükleri, PKI, SSL Boşaltma ve Anahtarsız TLS (desteklenen tümleştirmeler F5, Nginx, Apache, Palo Alto, IBM GW ve daha fazlası), OpenSSL uygulamaları, Oracle TDE ve Azure SQL TDE IaaS için kullanışlıdır. Daha fazla bilgi için bkz. Azure Ayrılmış HSM nedir?
Azure Payment HSM: FiPS 140-2 Düzey 3, PCI HSM v3, müşterilerin ödeme PIN'i işleme, ödeme kimlik bilgisi verme, anahtarların ve kimlik doğrulama verilerinin güvenliğini sağlama ve hassas veri koruması gibi ödeme işlemleri için Microsoft veri merkezlerinde bir ödeme HSM aleti kiralamasına olanak tanıyan doğrulanmış tek kiracılı çıplak HSM teklifi. Hizmet PCI DSS, PCI 3DS ve PCI PIN uyumludur. Azure Ödeme HSM, müşterilerin HSM'ye tam yönetim denetimi ve özel erişime sahip olması için tek kiracılı HSM'ler sunar. HSM bir müşteriye atandıktan sonra Microsoft'un müşteri verilerine erişimi olmaz. Benzer şekilde, HSM artık gerekli olmadığında, tam gizlilik ve güvenliğin korunması için müşteri verileri sıfırlanır ve HSM yayımlanır yayımlanmaz silinir. Daha fazla bilgi için bkz . Azure Payment HSM hakkında.
Not
* Azure Key Vault Premium, hem yazılım korumalı hem de HSM korumalı anahtarların oluşturulmasına olanak tanır. Azure Key Vault Premium kullanıyorsanız, oluşturulan anahtarın HSM korumalı olduğundan emin olun.
** FIPS 140-2 düzey 2, PCI DSS olan Birleşik Krallık Bölgeleri hariç.