你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
如何选择合适的密钥管理解决方案
Azure 提供多种用于在云中存储和管理加密密钥的解决方案:Azure Key Vault(标准和高级产品/服务)、Azure 托管 HSM、Azure 专用 HSM 和 Azure 付款 HSM。 对于客户来说,确定哪种密钥管理解决方案适合他们可能会让他们不知所措。 本文旨在基于三个不同的考量(场景、要求和行业)展示一系列解决方案,帮助客户完成这一决策过程。
若要开始缩小密钥管理解决方案的范围,请根据常见的大致要求和密钥管理场景,按照流程图进行选择。 或者,根据直接遵循的特定客户需求,按照表进行选择。 如果这两种方法都提供多款产品作为解决方案,请结合使用流程图和表,来帮助作出最终决策。 如果好奇同行业中其他客户正在使用什么,请阅读按行业细分排列的常见密钥管理解决方案的表格。 若要了解有关特定解决方案的详细信息,请使用文档末尾的链接。
按照场景选择密钥管理解决方案
以下图表描述了常见的要求和用例场景,以及推荐的 Azure 密钥管理解决方案。
该图表参考了以下常见要求:
- FIPS-140 是一项美国政府标准,具有不同级别的安全要求。 有关详细信息,请参阅美国联邦信息处理标准 (FIPS) 140。
- 密钥主权是指客户所在组织对其密钥拥有完全和独占控制权,包括控制哪些用户和服务可以访问密钥和密钥管理策略。
- 单租户是指为每位客户部署的应用程序的单个专用实例,而不是每位客户之间的共享实例。 在金融服务行业,对单租户产品的需求通常是一项内部合规性要求。
该图表还参考了下列各种密钥管理用例:
- 通常为 Azure IaaS、PaaS 和 SaaS 模型启用了静态加密。 Microsoft 365 等应用程序,Microsoft Purview 信息保护,云用于存储、分析和服务总线功能的平台服务,以及在云中托管和部署操作系统和应用程序的基础结构服务会使用静态加密。 静态加密使用的客户管理的密钥用于 Azure 存储和 Microsoft Entra ID。 为了获得最高安全性,密钥应为 HSM 支持的 3k 或 4k RSA 密钥。 有关静态加密的详细信息,请参阅 Azure 数据静态加密。
- Azure 托管 HSM 和 Azure 专用 HSM 支持 SSL/TLS 卸载。 在适用于 F5 和 Nginx 的 Azure 托管 HSM 上,客户获得了更优的高可用性、安全性和最佳价格点。
- 直接迁移是指将本地 PKCS11 应用程序迁移到 Azure 虚拟机和其中正在运行的软件(例如 Oracle TDE)的场景。 Azure 付款 HSM 支持需要支付 PIN 处理的直接迁移。 Azure 专用 HSM 支持所有其他场景。 只有 Azure 专用 HSM 支持旧版 API 和库,例如 PKCS11、JCA/JCE 和 CNG/KSP。
- 支付 PIN 处理包括允许卡支付和移动支付授权及 3D-Secure 身份验证,PIN 生成、管理和验证,为银行卡、可穿戴设备和连接的设备发放支付凭据,保护密钥和身份验证数据,以及针对点到点加密、安全令牌化和 EMV 支付令牌化进行敏感数据保护。 这还包括 PCI DSS、PCI 3DS 和 PCI PIN 等认证。 这些受 Azure 付款 HSM 支持。
以流程图结果为起点来确定最符合你的需求的解决方案。
比较其他客户需求
Azure 提供了多种密钥管理解决方案,让客户能够根据大致要求和管理职责选择产品。 存在一系列的管理责任,首先是 Azure Key Vault 和 Azure 托管 HSM,它们的客户责任较小,接着是 Azure 专用 HSM 和 Azure 付款 HSM,它们承担的客户责任最大。
下表详细说明了客户和 Microsoft 间的管理责任与其他要求之间这种权衡。
所有解决方案中的预配和托管由 Microsoft 进行管理。 所有解决方案中的密钥生成和管理、角色和权限授予以及监视和审核由客户负责。
请使用下表并排比较所有解决方案。 按从上到下的顺序,开始回答最左侧列上的每个问题,以帮助你选择符合你的所有需求(包括管理开销和成本)的解决方案。
| AKV 标准层 | AKV 高级层 | Azure 托管 HSM | Azure 专用 HSM | Azure 付款 HSM | |
|---|---|---|---|---|---|
| 你需要哪种级别的合规性? | FIPS 140-2 级别 1 | FIPS 140-2 级别 3、PCI DSS、PCI 3DS** | FIPS 140-2 级别 3、PCI DSS、PCI 3DS | FIPS 140-2 级别 3、HIPPA、PCI DSS、PCI 3DS、eIDAS CC EAL4+、GSMA | FIPS 140-2 级别 3、PCI PTS HSM v3、PCI DSS、PCI 3DS、PCI PIN |
| 你是否需要密钥主权? | 否 | No | 是 | 是 | 是 |
| 你在寻找哪种类别的租赁? | 多租户 | 多租户 | 单租户 | 单租户 | 单租户 |
| 你的用例是什么? | 静态加密、CMK、自定义 | 静态加密、CMK、自定义 | 静态加密、TLS 卸载、CMK、自定义 | PKCS11、TLS 卸载、代码/文档签名、自定义 | 支付 PIN 处理,自定义 |
| 你是否需要 HSM 硬件保护? | 否 | 是 | 是 | 是 | 是 |
| 你的预算是多少? | $ | $$ | $$$ | $$$$ | $$$$ |
| 谁负责进行修补和维护? | Microsoft | Microsoft | Microsoft | 客户 | 客户 |
| 谁负责进行服务运行状况和硬件故障转移? | Microsoft | Microsoft | 共享 | 客户 | 客户 |
| 你正在使用哪种类型的对象? | 非对称密钥、机密、证书 | 非对称密钥、机密、证书 | 非对称/对称密钥 | 非对称/对称密钥、证书 | 本地主密钥 |
| 信任根控制 | Microsoft | Microsoft | 客户 | 客户 | 客户 |
按行业细分排列的常见密钥管理解决方案使用情况
以下列表列出了我们经常看到的根据行业使用的密钥管理解决方案。
| 行业 | 推荐的 Azure 解决方案 | 推荐的解决方案的注意事项 |
|---|---|---|
| 我是具有严格的安全性和合规性要求的企业或组织(例如:银行、政府、高度监管的行业)。 我是直接面向消费者的电子商务商家,需要存储、处理客户的信用卡并将其传输到外部支付处理商/网关,并寻找符合 PCI 的解决方案。 |
Azure 托管 HSM | Azure 托管 HSM 提供 FIPS 140-2 级别 3 合规性,是符合 PCI 的电子商务解决方案。 它支持 PCI DSS 4.0 加密。 它提供 HSM 支持的密钥,并为客户提供密钥主权和单一租户。 |
| 我是金融服务的服务提供商、发卡机构、收单机构、卡网络商、支付网关/PSP 或 3DS 解决方案提供商,正在寻找满足 PCI 和多个主要合规性框架的单租户服务。 | Azure 付款 HSM | Azure 付款 HSM 提供 FIPS 140-2 级别 3、PCI HSM v3、PCI DSS、PCI 3DS 和 PCI PIN 合规性。 它提供密钥主权和单一租户,还在支付处理方面具有常见的内部合规性要求。 Azure 付款 HSM 提供完整的支付交易和 PIN 处理支持。 |
| 我是一名早期初创公司客户,希望创建云原生应用程序原型。 | Azure 密钥保管库标准版 | Azure Key Vault 标准层以经济的价格提供软件支持的密钥。 |
| 我是一名初创公司客户,希望生成云原生应用程序。 | Azure Key Vault 高级层、Azure 托管 HSM | Azure Key Vault 高级层和 Azure 托管 HSM 都提供 HSM 支持的密钥*,它们是构建云原生应用程序的最佳解决方案。 |
| 我是一名 IaaS 客户,希望迁移我的应用程序来使用 Azure VM/HSM。 | Azure 专用 HSM | Azure 专用 HSM 为 SQL IaaS 客户提供支持。 它是唯一支持 PKCS11 和自定义非云原生应用程序的解决方案。 |
详细了解 Azure 密钥管理解决方案
Azure Key Vault(标准层):已通过 FIPS 140-2 级别 1 验证的多租户云密钥管理服务,可用于存储非对称和对称密钥、机密和证书。 Azure 密钥保管库中存储的密钥受软件保护,可用于静态加密和自定义应用程序。 Azure Key Vault 标准层提供新式 API 和广泛的区域部署,还提供与 Azure 服务的集成。 有关详细信息,请参阅关于 Azure 密钥保管库。
Azure Key Vault(高级层):已通过 FIPS 140-2 级别 3** 验证的多租户 HSM 产品/服务,可用于存储非对称和对称密钥、机密和证书。 密钥存储在安全硬件边界*中。 Microsoft 将管理和操作基础 HSM,存储在 Azure 密钥保管库高级层中的密钥可用于静态加密和自定义应用程序。 Azure Key Vault 高级层也提供新式 API 和广泛的区域部署,也提供与 Azure 服务的集成。 如果你是一名 AKV 高级层客户,希望获得密钥主权、单租户和/或更高的每秒加密操作数,那么你可能需要改为考虑托管 HSM。 有关详细信息,请参阅关于 Azure 密钥保管库。
Azure 托管 HSM:已通过 FIPS 140-2 级别 3 验证、PCI 合规的单租户 HSM 服务,让客户可以完全控制用于静态加密、无密钥 SSL/TLS 卸载和自定义应用程序的 HSM。 Azure 托管 HSM 是唯一提供机密密钥的密钥管理解决方案。 客户会收到由三个 HSM 分区组成的池,这些分区共同充当一个高度可用的逻辑 HSM 设备。池的前面有一个通过 Key Vault API 公开加密功能的服务。 Microsoft 将处理 HSM 的预配、修补、维护和硬件故障转移,但无权访问密钥本身,因为该服务在 Azure 的机密计算基础结构中执行。 Azure 托管 HSM 与 Azure SQL、Azure 存储和 Azure 信息保护 PaaS 服务集成,通过 F5 和 Nginx 提供对无密钥 TLS 的支持。 有关详细信息,请参阅什么是 Azure 密钥保管库托管 HSM?
Azure 专用 HSM:已通过 FIPS 140-2 级别 3 验证的单租户裸机 HSM 产品/服务,让客户可以租用驻留在 Microsoft 数据中心的常规用途 HSM 设备。 客户对该 HSM 设备拥有完全的所有权,并负责在需要时修补和更新固件。 Microsoft 对该设备没有任何权限,也无权访问密钥材料,并且 Azure 专用 HSM 不与任何 Azure PaaS 产品/服务集成。 客户可以使用 PKCS#11、JCE/JCA 和 KSP/CNG API 来与 HSM 交互。 此服务最适合用于传统的直接迁移工作负载、PKI、SSL 卸载和无密钥 TLS(支持的集成包括 F5、Nginx、Apache、Palo Alto、IBM GW 等)、OpenSSL 应用程序、Oracle TDE 和 Azure SQL TDE IaaS。 有关详细信息,请参阅什么是 Azure 专用 HSM?
Azure 付款 HSM:已通过 FIPS 140-2 级别 3、PCI HSM v3 验证的单租户裸机 HSM 产品/服务,让客户可以在 Microsoft 数据中心租用付款 HSM 设备用于支付操作,包括支付 PIN 处理、支付凭据颁发、密钥和身份验证数据保护,以及敏感数据保护。 该服务符合 PCI DSS、PCI 3DS 和 PCI PIN 标准。 Azure 付款 HSM 提供单租户 HSM,客户拥有完全管理控制权,并对该 HSM 拥有独占访问权限。 将 HSM 分配给客户后,Microsoft 无权访问客户数据。 同样,在不再需要 HSM 时,客户数据将在解除 HSM 后立即归零并擦除,以确保全面保持数据的隐私性和安全性。 有关详细信息,请参阅关于 Azure 付款 HSM。
注意
* 通过 Azure Key Vault 高级层,可创建受软件保护的密钥和受 HSM 保护的密钥。 如果使用 Azure Key Vault 高级层,请检查确保创建的密钥受到 HSM 保护。
** 属于 FIPS 140-2 级别 2、PCI DSS 的英国区域除外。