如何選擇正確的金鑰管理解決方案
Azure 可為在雲端中儲存和管理密碼編譯金鑰提供多個解決方案:Azure Key Vault (標準和進階供應項目)、Azure 受控 HSM、Azure 專用 HSM 和 Azure 付款 HSM。 客戶可能難以決定哪個金鑰管理解決方案適合他們。 本文旨在根據三種不同的考量提出一系列解決方案,以協助客戶通過此決策流程:案例、需求及產業。
若要開始縮小金鑰管理解決方案的範圍,請遵循以常見高階需求和金鑰管理案例為基礎的流程圖。 或者,也可以根據緊接其後的特定客戶需求使用該表格。 如果有任一項提供多個產品作為解決方案,則使用流程圖和表格的組合來協助做出最終決策。 如果想要了解同一個產業中的其他客戶正在使用什麼,請閱讀依產業區隔的常見金鑰管理解決方案表格。 若要深入了解特定解決方案,可使用文件結尾的連結。
依案例選擇金鑰管理解決方案
下列圖表描述常見的需求和使用案例,以及建議的 Azure 金鑰管理解決方案。
該圖表將提及下列常見需求:
- 「FIPS-140」是一項美國政府標準,具有不同等級的安全性需求。 如需詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 140。
- 「金鑰主權」是客戶的組織可對其金鑰進行完整且獨佔的控制,包括控制哪些使用者和服務可以存取金鑰和金鑰管理原則。
- 「單一租用」是指針對每個客戶所部署之應用程式的單一專用執行個體,而不是多個客戶之間的共用執行個體。 對於單一租用戶產品的需求,通常可視為金融服務業中的內部合規性需求。
其也會提及下列各種金鑰管理使用案例:
- 「待用加密」通常會針對 Azure IaaS、PaaS 和 SaaS 模型啟用。 Microsoft 365 等應用程式;Microsoft Purview 資訊保護;將雲端用於儲存體、分析和服務匯流排功能的平台服務;以及在雲端中裝載與部署作業系統和應用程式的基礎結構服務,會使用待用加密。 「用於待用加密的客戶自控金鑰」會與 Azure 儲存體和 Microsoft Entra ID 搭配使用。 為了獲得最高安全性,金鑰應該是硬體安全模組 (HSM) 支援的 3K 或 4K RSA 金鑰。 如需待用加密的詳細資訊,請參閱 Azure 待用資料加密。
- Azure 受控 HSM 和 Azure 專用 HSM 支援「SSL/TLS 卸載」。 客戶在適用於 F5 和 Nginx 的 Azure 受控 HSM 上提高了高可用性、安全性及最佳價格點。
- 「隨即轉移」是指將內部部署的 PKCS11 應用程式移轉至 Azure 虛擬機器,以及在 Azure 虛擬機器中執行之軟體 (例如 Oracle TDE) 的案例。 Azure 付款 HSM 支援需要付款 PIN 處理的隨即轉移。 Azure 專用 HSM 支援所有其他案例。 只有 Azure 專用 HSM 才支援 PKCS11、JCA/JCE 及 CNG/KSP 等舊版 API 和程式庫。
- 「付款 PIN 處理」包括允許卡片與行動付款授權和 3D 認證 (3D-Secure) 驗證;PIN 產生、管理和驗證;卡片、穿戴式裝置和連線裝置的付款認證發行;保護金鑰和驗證資料;以及適用於點對點加密、安全性 Token 化及 EMV 付款 Token 化的敏感性資料保護。 這也包括 PCI DSS、PCI 3DS 和 PCI PIN 等認證。 Azure 付款 HSM 支援這些認證。
流程圖的結果是識別最符合您需求之解決方案的起點。
比較其他客戶需求
Azure 提供多個金鑰管理解決方案,讓客戶能夠根據高階需求和管理責任來選擇產品。 管理責任的範圍很廣泛,可從客戶責任較低的 Azure Key Vault 和 Azure 受控 HSM 到客戶責任最高的 Azure 專用 HSM 和 Azure 付款 HSM。
下表詳述客戶與 Microsoft 之間管理責任的權衡取捨及其他需求。
所有解決方案中的佈建和裝載均由 Microsoft 管理。 在所有解決方案中,金鑰的產生和管理、角色和權限授與,以及監視與稽核均為客戶的責任。
使用表格來並排比較所有解決方案。 從上到下回答在最左邊資料行上找到的每個問題,以協助選擇符合您所有需求的解決方案,包括管理額外負荷和成本。
| AKV 標準 | AKV 進階 | Azure 受控 HSM | Azure 專用 HSM | Azure 付款 HSM | |
|---|---|---|---|---|---|
| 您需要哪種等級的合規性? | FIPS 140-2 層級 1 | FIPS 140-2 等級 3、PCI DSS、PCI 3DS** | FIPS 140-2 等級 3、PCI DSS、PCI 3DS | FIPS 140-2 等級 3、HIPPA、PCI DSS、PCI 3DS、eIDAS CC EAL4+、GSMA | FIPS 140-2 等級 3、PCI PTS HSM v3、PCI DSS、PCI 3DS、PCI PIN |
| 您需要金鑰主權嗎? | No | 無 | .是 | .是 | Yes |
| 您正在尋找哪種租用? | 多租用戶 | 多租用戶 | 單一租用戶 | 單一租用戶 | 單一租用戶 |
| 您的使用案例為何? | 待用加密、CMK、自訂 | 待用加密、CMK、自訂 | 待用加密、TLS 卸載、CMK、自訂 | PKCS11、TLS 卸載、程式碼/文件簽署、自訂 | 付款 PIN 處理、自訂 |
| 您想要 HSM 硬體保護嗎? | No | .是 | .是 | .是 | Yes |
| 您的預算有多少? | $ | $$ | $$$ | $$$$ | $$$$ |
| 誰負責修補與維修? | Microsoft | Microsoft | Microsoft | 客戶 | 客戶 |
| 誰負責服務健康情況與硬體容錯移轉? | Microsoft | Microsoft | 共用 | 客戶 | 客戶 |
| 您使用的是哪種物件? | 非對稱金鑰、祕密、憑證 | 非對稱金鑰、祕密、憑證 | 非對稱/對稱金鑰 | 非對稱/對稱金鑰、憑證 | 本機主要金鑰 |
| 信任根目錄控制 | Microsoft | Microsoft | 客戶 | 客戶 | 客戶 |
依產業區隔使用的常見金鑰管理解決方案
以下是我們根據產業所使用的常見金鑰管理解決方案清單。
| 產業 | 建議的 Azure 解決方案 | 建議解決方案的考量 |
|---|---|---|
| 我是具有嚴格安全性和合規性需求的企業或組織 (例如:銀行、政府、高度監理的行業)。 我是直接面向消費者的電子商務商家,需要儲存和處理客戶的信用卡並傳輸到我的外部付款處理器/閘道,目前正在尋找符合 PCI 規範的解決方案。 |
Azure 受控 HSM | Azure 受控 HSM 提供 FIPS 140-2 等級 3 合規性,其為適用於電子商務且符合 PCI 規範的解決方案。 其支援 PCI DSS 4.0 加密。 其提供 HSM 支援的金鑰,並為客戶提供金鑰主權和單一租用。 |
| 我是金融服務、發卡機構、卡片收單機構、國際卡組織、付款閘道/PSP 或 3DS 解決方案提供者的服務提供者,目前正在尋找可符合 PCI 和多個主要合規性架構的單一租用戶服務。 | Azure 付款 HSM | Azure 付款 HSM 提供 FIPS 140-2 等級 3、PCI HSM v3、PCI DSS、PCI 3DS 和 PCI PIN 合規性。 其提供金鑰主權和單一租用,以及付款處理方面的常見內部合規性需求。 Azure 付款 HSM 提供完整的付款交易和 PIN 處理支援。 |
| 我是早期新創公司客戶,希望建立雲端原生應用程式的原型。 | Azure Key Vault 標準 | Azure Key Vault 標準會以經濟實惠的價格提供軟體支援的金鑰。 |
| 我是新創公司客戶,希望產生雲端原生應用程式。 | Azure Key Vault 進階、Azure 受控 HSM | Azure Key Vault 進階和 Azure 受控 HSM 均提供 HSM 支援的金鑰*,且都是用於建置雲端原生應用程式的最佳解決方案。 |
| 我是 IaaS 客戶,想要推動我的應用程式使用 Azure VM/HSM。 | Azure 專用 HSM | Azure 專用 HSM 支援 SQL IaaS 客戶。 其是唯一支援 PKCS11 和自訂非雲端原生應用程式的解決方案。 |
深入了解 Azure 金鑰管理解決方案
Azure Key Vault (標準層):通過 FIPS 140-2 等級 1 驗證的多租用戶雲端金鑰管理服務,可用來儲存非對稱和對稱金鑰、祕密及憑證。 儲存在 Azure Key Vault 中的金鑰受到軟體保護,可用於待用加密和自訂應用程式。 Azure Key Vault 標準提供新式 API,以及廣泛的區域部署和與 Azure 服務的整合。 如需詳細資訊,請參閱關於 Azure Key Vault (機器翻譯)。
Azure Key Vault (進階層):通過 FIPS 140-2 等級 3** 驗證的多租用戶 HSM 供應項目,可用來儲存非對稱和對稱金鑰、祕密及憑證。 金鑰會儲存在安全硬體界限*中。 Microsoft 會管理及操作基礎 HSM,而儲存在 Azure Key Vault 進階版中的金鑰可用於待用加密和自訂應用程式。 Azure Key Vault 進階也提供新式 API,以及廣泛的區域部署和與 Azure 服務的整合。 如果您是 AKV 進階客戶,且目前正在尋找金鑰主權、單一租用和/或每秒更高的密碼編譯作業,建議您改用受控 HSM。 如需詳細資訊,請參閱關於 Azure Key Vault (機器翻譯)。
Azure 受控 HSM:通過 FIPS 140-2 等級 3 驗證、符合 PCI 規範的單一租用戶 HSM 供應項目,可讓客戶完全控制 HSM,以用於待用加密、無金鑰 SSL/TLS 卸載和自訂應用程式。 Azure 受控 HSM 是唯一提供機密金鑰的金鑰管理解決方案。 客戶會收到三個 HSM 分割區的集區,共同做為一個高可用性的邏輯 HSM 設備,由透過 Key Vault API 公開密碼編譯功能的服務進行前端處理。 Microsoft 會處理 HSM 的佈建、修補、維護和硬體容錯移轉,但無法存取金鑰本身,因為服務會在 Azure 的機密計算基礎結構內執行。 Azure 受控 HSM 已與 Azure SQL、Azure 儲存體及 Azure 資訊保護 PaaS 服務整合,並提供對 F5 和 Nginx 的無金鑰 TLS 支援。 如需詳細資訊,請參閱什麼是 Azure Key Vault 受控 HSM?(機器翻譯)
Azure 專用 HSM:通過 FIPS 140-2 等級 3 驗證的單一租用戶裸機 HSM 供應項目,可讓客戶租用位於 Microsoft 資料中心的一般用途 HSM 設備。 客戶擁有 HSM 裝置的完整所有權,並負責在必要時修補和更新韌體。 Microsoft 不具有裝置權限或金鑰資料存取權,而且 Azure 專用 HSM 並未與任何 Azure PaaS 供應項目整合。 客戶可以使用 PKCS#11、JCE/JCA 和 KSP/CNG API 與 HSM 互動。 此供應項目最適用於舊版隨即轉移工作負載、PKI、SSL 卸載和無金鑰 TLS (支援的整合包括 F5、Nginx、Apache、Palo Alto、IBM GW 等)、OpenSSL 應用程式、Oracle TDE 以及 Azure SQL TDE IaaS。 如需詳細資訊,請參閱什麼是 Azure 專用 HSM?
Azure 付款 HSM:通過 FIPS 140-2 等級 3、PCI HSM v3 驗證的單一租用戶裸機 HSM 供應項目,可讓客戶在 Microsoft 資料中心租用付款 HSM 設備以進行付款作業,包括付款 PIN 處理、付款認證發行、保護金鑰和驗證資料,以及敏感性資料保護。 此服務符合 PCI DSS、PCI 3DS 及 PCI PIN 的規範。 Azure 付款 HSM 提供單一租用戶 HSM,讓客戶擁有 HSM 的完整管理控制和獨佔存取權。 將 HSM 配置給客戶之後,Microsoft 便無法存取客戶資料。 同樣地,當不再需要 HSM 時,客戶資料會在 HSM 發行後立即歸零並清除,以確保維護完整的隱私權和安全性。 如需詳細資訊,請參閱關於 Azure 付款 HSM (機器翻譯)。
注意
* Azure Key Vault 進階允許建立受軟體保護和受 HSM 保護的金鑰。 如果使用 Azure Key Vault 進階,請檢查以確定建立的金鑰會受到 HSM 保護。
** 符合 FIPS 140-2 等級 2、PCI DSS 的英國區域除外。