Auswählen der richtigen Schlüsselverwaltungslösung
Azure bietet mehrere Lösungen für die Speicherung und Verwaltung kryptografischer Schlüssel in der Cloud: Azure Key Vault (Standard- und Premium-Angebote), Azure Managed HSM, Azure Dedicated HSM und Azure Payment HSM. Die Entscheidung, welche Schlüsselverwaltungslösung die richtige ist, kann Kunden überfordern. Dieses Dokument soll Kunden dabei helfen, diesen Entscheidungsprozess zu steuern, indem das Lösungsspektrum basierend auf drei verschiedenen Überlegungen vorgestellt wird: Szenarien, Anforderungen und Branche.
Um mit der Eingrenzung einer Schlüsselverwaltungslösung zu beginnen, befolgen Sie das Flussdiagramm basierend auf allgemeinen Anforderungen und Schlüsselverwaltungsszenarien. Alternativ können Sie die Tabelle basierend auf bestimmten Kundenanforderungen verwenden, die direkt darauf folgen. Wenn sie mehrere Produkte als Lösungen anbieten, verwenden Sie eine Kombination aus Flussdiagramm und Tabelle, um das Treffen einer endgültigen Entscheidung zu unterstützen. Wenn Sie wissen wollen, was andere Kunden in derselben Branche verwenden, lesen Sie die Tabelle der allgemeinen Schlüsselverwaltungslösungen nach Branchensegment. Um mehr über eine bestimmte Lösung zu erfahren, verwenden Sie die Links am Ende des Dokuments.
Auswählen einer Schlüsselverwaltungslösung nach Szenario
Im folgenden Diagramm werden allgemeine Anforderungen und Anwendungsfälle sowie die empfohlene Azure-Schlüsselverwaltungslösung beschrieben.
Das Diagramm bezieht sich auf diese allgemeinen Anforderungen:
- FIPS-140 ist ein US-amerikanischer Standard mit unterschiedlichen Niveaus von Sicherheitsanforderungen. Weitere Informationen finden Sie unter Federal Information Processing Standard (FIPS) 140.
- Schlüsselhoheit ist, wenn die Organisation des Kunden die vollständige und exklusive Kontrolle über ihre Schlüssel hat, einschließlich der Kontrolle darüber, welche Benutzende und Dienste auf die Schlüssel und Schlüsselverwaltungsrichtlinien zugreifen können.
- Einzelner Mandant bezieht sich auf eine einzelne dedizierten Instanz einer Anwendung, die für jeden Kunden bereitgestellt wird, und nicht auf eine von mehreren Kunden gemeinsam benutzte Instanz. In Finanzdienstleistungsbranchen wird die Notwendigkeit von Einzelmandantenprodukten häufig als interne Complianceanforderung erkannt.
Es bezieht sich auch auf diese verschiedenen Anwendungsfälle für die Schlüsselverwaltung:
- Die Verschlüsselung im Ruhezustand ist in der Regel für Azure IaaS-, PaaS- und SaaS-Modelle aktiviert. Anwendungen wie Microsoft 365, Microsoft Purview Information Protection, Plattformdienste, in denen die Cloud für Speicher, Analysen und Service-Bus-Funktionen verwendet wird, und Infrastrukturdienste, in denen Betriebssysteme und Anwendungen gehostet und in der Cloud bereitgestellt werden, verwenden die Verschlüsselung im Ruhezustand. Kundenseitig verwaltete Schlüssel für die Verschlüsselung im Ruheszustand werden mit Azure Storage und Microsoft Entra ID verwendet. Für höchste Sicherheit sollten Schlüssel HSM-gestützte, 3.072 oder 4.096 Bit lange RSA-Schlüssel sein. Weitere Informationen zur Verschlüsselung finden Sie unter Azure-Datenverschlüsselung im Ruheszustand.
- SSL/TLS-Auslagerung wird für Azure Managed HSM und Azure Dedicated HSM unterstützt. Kunden profitieren von verbesserter Hochverfügbarkeit, Sicherheit und dem besten Preispunkt für Azure Managed HSM für F5 und Nginx.
- Lift-and-Shift bezieht sich auf Szenarien, in denen eine lokale PKCS11-Anwendung zu Azure Virtual Machines migriert wird und Software wie Oracle TDE in Azure Virtual Machines ausgeführt wird. Das Lift-and-Shift, das eine PIN-Zahlungsverarbeitung erfordert, wird von Azure Payment HSM unterstützt. Alle anderen Szenarien werden von Azure Dedicated HSM unterstützt. Legacy-APIs und -Bibliotheken wie PKCS11, JCA/JCE und CNG/KSP werden nur von Azure Dedicated HSM unterstützt.
- Die Zahlungs-PIN-Verarbeitung umfasst das Zulassen von Zahlungsautorisierung per Karte oder Mobilgerät und 3D-Secure-Authentifizierung; PIN-Generierung, -Verwaltung und -Validierung; Ausstellen von Zahlungsanmeldeinformationen für Karten, Wearables und verbundene Geräte; Schützen von Schlüsseln und Authentifizierungsdaten; und Schutz vertraulicher Daten für Punkt-zu-Punkt-Verschlüsselung, Sicherheitstokenisierung und EMV-Zahlungstokenisierung. Dazu gehören auch Zertifizierungen wie PCI-DSS, PCI-3DS und PCI-PIN. Diese werden von Azure Payment HSM unterstützt.
Das Ergebnis des Flussdiagramms ist ein Ausgangspunkt, um die Lösung zu identifizieren, die Ihren Anforderungen am besten entspricht.
Vergleichen anderer Kundenanforderungen
Azure bietet mehrere Schlüsselverwaltungslösungen, mit denen Kunden ein Produkt basierend auf allgemeinen Anforderungen und Verwaltungsaufgaben auswählen können. Es gibt ein Spektrum an Verwaltungsaufgaben, die von Azure Key Vault und Azure Managed HSM mit weniger Kundenverantwortung reichen, gefolgt von Azure Dedicated HSM und Azure Payment HSM mit der größten Kundenverantwortung.
Dieser Kompromiss zur Verwaltungsverantwortung zwischen dem Kunden und Microsoft sowie andere Anforderungen sind in der folgenden Tabelle aufgeführt.
Bereitstellung und Hosting werden in allen Lösungen von Microsoft verwaltet. Schlüsselgenerierung und -verwaltung, Rollen- und Berechtigungsvergabe sowie die Überwachung liegen für alle Lösungen in der Verantwortung des Kunden.
Verwenden Sie die Tabelle, um alle Lösungen nebeneinander zu vergleichen. Beginnen Sie oben und arbeiten Sie sich nach unten vor, indem Sie jede Frage in der linken Spalte beantworten. Dies hilft Ihnen bei der Auswahl der Lösung, die alle Ihre Anforderungen erfüllt, einschließlich des Verwaltungsaufwands und der Kosten.
| AKV Standard | AKV Premium | Verwaltetes Azure-HSM | Dediziertes HSM von Azure | Azure Payment HSM | |
|---|---|---|---|---|---|
| Welches Niveau von Compliance benötigen Sie? | FIPS 140-2 Level 1 | FIPS 140-2 Level 3, PCI-DSS, PCI 3DS** | FIPS 140-2 Level 3, PCI-DSS, PCI 3DS | FIPS 140-2 Level 3, HIPPA, PCI-DSS, PCI 3DS, eIDAS CC EAL4+, GSMA | FIPS 140-2 Level 3, PCI PTS HSM v3, PCI-DSS, PCI 3DS, PCI-PIN |
| Brauchen Sie Schlüsselhoheit? | Nein | Nein | Ja | Ja | Ja |
| Welche Art von Mandantfähigkeit suchen Sie? | Mehrere Mandanten | Mehrere Mandanten | Einzelmandant | Einzelmandant | Einzelmandant |
| Welches sind Ihre Anwendungsfälle? | Verschlüsselung im Ruhezustand, CMK, benutzerdefiniert | Verschlüsselung im Ruhezustand, CMK, benutzerdefiniert | Verschlüsselung im Ruhezustand, TLS-Auslagerung, CMK, benutzerdefiniert | PKCS11, TLS-Auslagerung, Code-/Dokumentsignatur, benutzerdefiniert | Zahlungs-PIN-Verarbeitung, benutzerdefiniert |
| Möchten Sie HSM-Hardwareschutz? | Nein | Ja | Ja | Ja | Ja |
| Wie groß ist Ihr Budget? | $ | $$ | $$$ | $$$$ | $$$$ |
| Wer übernimmt die Verantwortung für Patchen und Wartung? | Microsoft | Microsoft | Microsoft | Kunde | Kunde |
| Wer übernimmt die Verantwortung für Dienstintegrität und Hardwarefailover? | Microsoft | Microsoft | Shared | Kunde | Kunde |
| Welche Art von Objekten verwenden Sie? | Asymmetrische Schlüssel, Geheimnisse, Zertifikate | Asymmetrische Schlüssel, Geheimnisse, Zertifikate | Asymmetrische/symmetrische Schlüssel | Asymmetrische/symmetrische Schlüssel, Zertifikate | Lokaler Primärschlüssel |
| Stamm der Vertrauensstellungskontrolle | Microsoft | Microsoft | Kunde | Kunde | Kunde |
Gängige Schlüsselverwaltungslösung, die von Branchensegmenten verwendet wird
Im Folgenden finden Sie eine Liste der wichtigsten Verwaltungslösungen, die üblicherweise in den verschiedenen Branchen eingesetzt werden.
| Branche | Vorgeschlagene Azure-Lösung | Aspekte der vorgeschlagenen Lösungen |
|---|---|---|
| Ich bin ein Unternehmen oder ein Organisation mit strengen Sicherheits- und Complianceanforderungen (z. B. Banken, Behörden, stark regulierte Branchen). Ich bin ein Direct-to-Consumer-E-Commerce-Händler, der die Kreditkarten meiner Kunden speichern, verarbeiten und an meinen externen Zahlungsprozessor/Gateway übermitteln muss und nach einer PCI-konformen Lösung sucht. |
Verwaltetes Azure-HSM | Azure Managed HSM bietet FIPS 140-2 Level 3-Compliance und ist eine PCI-konforme Lösung für den E-Commerce. Es unterstützt die Verschlüsselung für PCI DSS 4.0. Es bietet HSM-gestützte Schlüssel und ermöglicht den Kunden Schlüsselhoheit und Einzelmandantenfähigkeit. |
| Ich bin ein Dienstanbieter für Finanzdienstleistungen, ein Aussteller, ein Kartenerwerber, ein Karten-Netzwerk, ein Zahlungsgateway/PSP oder ein 3DS-Lösungsanbieter, der nach einem einzelnen Mandantendienst sucht, der PCI und mehrere wichtige Compliance-Frameworks erfüllt. | Azure Payment HSM | Azure Payment HSM bietet Konformität mit FIPS 140-2 Level 3, PCI HSM v3, PCI DSS, PCI 3DS und PCI PIN. Es bietet Schlüsselhoheit und Einzelmandantenfähigkeit und efüllt gängige interne Complianceanforderungen rund um das Thema Zahlungsverarbeitung. Azure Payment HSM bietet vollständige Unterstützung für Zahlungstransaktions- und PIN-Verarbeitung. |
| Ich bin ein Startup-Kunde in der Frühphase, der einen Prototyp für eine cloudnative Anwendung entwickeln möchte. | Azure Key Vault Standard | Azure Key Vault Standard bietet softwaregestützte Schlüssel zu einem günstigen Preis. |
| Ich bin ein Startup-Kunde, der eine cloudnative Anwendung erstellen möchte. | Azure Key Vault Premium und Azure Managed HSM | Sowohl Azure Key Vault Premium als auch Azure Managed HSM bieten HSM-gestützte Schlüssel* und sind die besten Lösungen für die Erstellung cloudnativer Anwendungen. |
| Ich bin ein IaaS-Kunde und ich möchte meine Anwendung auf die Verwendung von Azure-VMs/HSMs umstellen. | Dediziertes HSM von Azure | Azure Dedicated HSM unterstützt SQL-IaaS-Kunden. Es ist die einzige Lösung, die PKCS11 und benutzerdefinierte, nicht cloudnative Anwendungen unterstützt. |
Weitere Informationen zu Azure-Schlüsselverwaltungslösungen
Azure Key Vault (Standard-Tarif): Ein mehrmandantenfähiger Schlüsselverwaltungsdienst in der Cloud mit FIPS 140-2 Level 1-Zertifizierung,der für die Speicherung von asymmetrischen und symmetrischen Schlüsseln, Geheimnissen und Zertifikaten verwendet werden kann. Schlüssel, die in Azure Key Vault gespeichert sind, sind softwaregeschützt und können für die Verschlüsselung ruhender Daten und benutzerdefinierte Anwendungen verwendet werden. Azure Key Vault Standard bietet eine moderne API und die größte Bandbreite an regionalen Bereitstellungen und Integrationen in Azure-Dienste. Weitere Informationen finden Sie unter Informationen zu Azure Key Vault.
Azure Key Vault (Premium-Tarif): Ein mehrmandantenfähiges HSM-Angebot mit FIPS 140-2 Level 3-Zertifizierung**,das für die Speicherung von asymmetrischen und symmetrischen Schlüsseln, Geheimnissen und Zertifikaten verwendet werden kann. Schlüssel werden in einer sicheren Hardwaregrenze* gespeichert. Microsoft verwaltet und betreibt das zugrunde liegende HSM, und Schlüssel, die in Azure Key Vault Premium gespeichert sind, können für die Verschlüsselung ruhender Daten und benutzerdefinierte Anwendungen verwendet werden. Azure Key Vault Premium bietet ebenfalls eine moderne API und die größte Bandbreite an regionalen Bereitstellungen und Integrationen in Azure-Dienste. Wenn Sie als AKV Premium-Kunde auf der Suche nach Schlüsselhoheit, Einzelmandantenfähigkeit und/oder höheren Werten für Kryptovorgänge pro Sekunde sind, sollten Sie stattdessen Managed HSM in Betracht ziehen. Weitere Informationen finden Sie unter Informationen zu Azure Key Vault.
Azure Managed HSM: Ein HSM-Angebot mit Einzelmandantenfähigkeit und FIPS 140-2 Level 3-Zertifizierung, PCI-konform, das Kunden die vollständige Kontrolle über ein HSM für die Verschlüsselung im Ruhezustand, schlüssellose SSL-/TLS-Auslagerung und benutzerdefinierte Anwendungen bietet. Azure Managed HSM ist die einzige Schlüsselverwaltungslösung, die vertrauliche Schlüssel bietet. Kunden erhalten einen Pool von drei HSM-Partitionen, die zusammen als eine logische, hochverfügbare HSM-Appliance agieren und denen ein Dienst vorgelagert ist, der Kryptografiefunktionen über die Key Vault-API zur Verfügung stellt. Microsoft übernimmt die Bereitstellung, das Patchen, die Wartung und das Hardwarefailover der HSMs, hat aber keinen Zugriff auf die Schlüssel selbst, da der Dienst innerhalb der Confidential Compute-Infrastruktur von Azure ausgeführt wird. Azure Managed HSM ist in die PaaS-Dienste von Azure SQL, Azure Storage und Azure Information Protection integriert und bietet Unterstützung für schlüsselloses TLS mit F5 und Nginx. Weitere Informationen finden Sie unter Was ist verwaltetes HSM von Azure Key Vault?
Azure Dedicated HSM: Ein Bare-Metal-HSM-Angebot mit FIPS 140-2 Level 3-Zertifizierung, mit dem Kunden eine allgemeine HSM-Appliance leasen können, die sich in Microsoft-Rechenzentren befindet. Der Kunde ist im vollständigen Besitz des HSM-Geräts und, falls erforderlich, für das Patchen und Aktualisieren der Firmware verantwortlich. Microsoft hat weder Berechtigungen auf dem Gerät noch Zugriff auf das Schlüsselmaterial, und Azure Dedicated HSM ist nicht in Azure PaaS-Angebote integriert. Kunden können mithilfe der PKCS#11-, JCE/JCA- und KSP/CNG-APIs mit dem HSM interagieren. Dieses Angebot ist besonders nützlich für ältere Lift-&-Shift-Workloads, PKI, SSL-Abladung und schlüsselloses TLS (unterstützte Integrationen umfassen F5, Nginx, Apache, Palo Alto, IBM GW und mehr), OpenSSL-Anwendungen, Oracle-TDE und IaaS für Azure SQL-TDE. Weitere Informationen finden Sie unter Was ist das Azure Dedicated HSM?
Azure Payment HSM: Ein Bare-Metal-Angebot mit FIPS 140-2 Level 3- und PCI HSM v3-Zertifizierung, mit dem Kunden eine Zahlungs-HSM-Appliance in Microsoft-Rechenzentren für Zahlungsvorgänge leasen können, einschließlich Zahlungs-PIN-Verarbeitung, Ausstellung von Anmeldeinformationen für Zahlungen, Sichern von Schlüsseln und Authentifizierungsdaten sowie Schutz vertraulicher Daten. Der Dienst ist PCI-DSS- und PCI-3DS-konform. Azure Payment HSM bietet HSMs mit nur einem Mandanten, damit Kunden vollständige administrative Kontrolle und exklusiven Zugriff auf das HSM haben. Sobald das HSM einem Kunden zugeordnet ist, hat Microsoft keinen Zugriff auf Kundendaten. Außerdem werden Kundendaten, wenn das HSM nicht mehr benötigt wird, auf Null zurückgesetzt und gelöscht, sobald das HSM freigegeben wird, um vollständigen Datenschutz und Sicherheit zu gewährleisten. Weitere Informationen finden Sie unter Informationen zu Azure Payment HSM.
Hinweis
* Azure Key Vault Premium ermöglicht die Erstellung von software- und HSM-geschützten Schlüsseln. Wenn Sie Azure Key Vault Premium verwenden, überprüfen Sie, ob der erstellte Schlüssel HSM-geschützt ist.
** Ausgenommen Regionen des Vereinigten Königreichs (UK), für die FIPS 140-2 Level 2, PCI-DSS gilt.