Azure Key Vault de Microsoft protege las claves criptográficas más importantes que se utilizan en la nube para mantener sus datos seguros.

Un número creciente de servicios de Microsoft y aplicaciones de proveedores ahora consumen Azure Key Vault y pueden beneficiarse de BYOK.

Desplegados en centros de datos Azure de todo el mundo, los módulos de seguridad hardware (HSM) Entrust nShield protegen y administran sus claves en la nube. Para brindarle un mayor control, Entrust le permite crear, retener y transferir sus propias claves. De este modo, puede usarlas en la nube con Azure Key Vault o en sus propias instalaciones.

Controle sus aplicaciones y datos confidenciales en la nube con nShield BYOK para Azure.

Mire nuestro video de descripción general rápida para aprender cómo funciona.

    Validación

    Una garantía de Entrust (certificado digital) identifica cada HSM nShield

    Utilice este valor hash y la herramienta que le proporcionó Microsoft para validar la cadena de garantía y el certificado de generación de claves, y afirmar que toda la información de firma se creó dentro de un HSM nShield certificado.

    Clave de firma de garantía de hash de clave nCore nShield (v0):
    59178a47 de508c3f 291277ee 184f46c4 f1d9c639

    Nube

    Controle las claves críticas que protegen sus datos confidenciales en la nube

    Como servicio en la nube, puede ejecutar Azure Key Vault a pedido sin una infraestructura de TI incremental y asegurarse de que sus datos estén protegidos dentro de los límites de la organización. Azure Key Vault emplea criptografía para brindar acceso controlado y protección persistente para sus datos. La seguridad depende del nivel de protección otorgado a la clave criptográfica fundamental. La exposición de la clave criptográfica puede comprometer sus datos confidenciales. Para garantizar la seguridad, puede optar por proteger su clave dentro de un límite sólido utilizando HSM Entrust nShield. Los HSM nShield generan, protegen y administran la clave independientemente del entorno de software.

    Seguridad mejorada: nShield BYOK para Azure Key Vault

    Entrust nShield tiene un historial incomparable de veinte años en la entrega de soluciones de protección de datos a empresas, gobiernos y proveedores de tecnología preocupados por la seguridad, incluidas soluciones de administración de claves fundamentales para algunas de las organizaciones de seguridad más exigentes del mundo. Como expertos en el campo, los productos y servicios de Entrust brindan alta seguridad para que los clientes puedan hacer un uso efectivo de la protección criptográfica.

    Entrust facilita la forma en que retiene el control de sus claves. Si bien las claves se pueden generar en la nube, para mayor seguridad al usar Azure Key Vault, las claves se generan en su propio HSM nShield (físicamente en las instalaciones o como un servicio). Las claves generadas de esta manera se comparten de forma segura con otros HSM nShield en la nube de Azure, pero nunca abandonan el límite de seguridad de HSM nShield. Microsoft ha utilizado los HSM nShield validados de Entrust FIPS 140-2 Nivel 2 para proteger las claves desde el inicio de Azure Key Vault.

    ¿Qué son los HSM?

    Los HSM son dispositivos criptográficos de alto rendimiento diseñados para generar, proteger y administrar material clave confidencial. Los HSM Entrust nShield mantienen sus claves seguras y utilizables solo dentro del límite protegido. De este modo, preserva la custodia de sus claves y la visibilidad sobre su uso.

    ilustración del límite de seguridad

    ¿Por qué utilizar HSM Entrust nShield con Azure Key Vault?

    Los HSM Entrust nShield garantizan que sus claves estén siempre bajo su control y nunca sean visibles para Microsoft. La capacidad mitiga la percepción de que los datos confidenciales que se mantienen en la nube son vulnerables. 

    Azure Key Vault le ofrece varios niveles de control. Las claves de Azure Key Vault se convierten en sus claves de inquilino y puede administrar el nivel de control deseado frente al costo y el esfuerzo.

    • De forma predeterminada, Azure Key Vault genera y administra el ciclo de vida de sus claves de inquilino
    • BYOK le permite generar claves de inquilino en su propia instalación física o como un servicio HSM Entrust nShield.
    • Los registros de uso casi en tiempo real mejoran la seguridad, lo que le permite ver exactamente cómo y cuándo se utilizan sus claves

    Cómo funciona

    Los HSM Entrust nShield crean una caja cerrada para proteger las claves de su inquilino. Puede almacenar en caché las claves de inquilino de forma segura desde su HSM nShield de Entrust en el sitio a un HSM Entrust nShield en el centro de datos de Azure de Microsoft, sin salir del límite de seguridad compatible con FIPS creado por los HSM. Las claves de inquilino están protegidas mientras se encuentran en los centros de datos de Microsoft, aseguradas dentro de un límite criptográfico cuidadosamente diseñado que emplea mecanismos de control de acceso robustos para permitirle hacer cumplir la separación de tareas y garantizar que las claves solo se utilicen para su propósito autorizado.

    BYOK

    BYOK para Azure Key Vault le permite cumplir las propiedades de seguridad de un entorno local. Le permite generar sus claves de inquilino en su HSM nShield (local o basado en la nube) según sus políticas de TI. También le permite transferir sus claves de inquilino a la nube de HSM nShield para Azure alojada por Microsoft.

    ilustración de HSM

    Validación de HSM alojado

    Para asegurarse de que el HSM alojado sea un HSM Entrust nShield autorizado, Azure Key Vault con BYOK le proporciona un mecanismo para validar su certificado. La capacidad, SOLO disponible con Entrust BYOK, le permite verificar que la clave de cifrado de clave utilizada para asegurar la carga de su clave de inquilino se generó efectivamente en un HSM Entrust nShield.

    In situ

    Proteja y administre sus claves de Azure Information Protection (AIP) con hardware de alta seguridad

    Si bien la mayor parte del contenido se puede entregar mediante claves almacenadas de forma segura en Azure Key Vault, parte del contenido confidencial nunca se puede compartir o transmitir fuera de su propio perímetro de seguridad. La seguridad de este contenido sensible debe ser físicamente local, con acceso y uso compartido muy limitados. Para administrar sus datos más confidenciales dentro de su propio perímetro de seguridad, AIP ofrece mantener su propia clave (HYOK) que está habilitada por un componente físico local, con administración de claves proporcionada a través de HSM nShield.

    ¿Qué son los HSM?

    Los HSM son dispositivos criptográficos de alto rendimiento diseñados para generar, proteger y administrar material clave confidencial. Los HSM nShield mantienen sus claves bloqueadas de forma segura y solo se pueden usar dentro de los límites protegidos. Esto le permite mantener la custodia de sus claves y la visibilidad sobre su uso.

    ilustración del límite de seguridad

    ¿Por qué utilizar HSM nShield con AIP?

    Los HSM nShield brindan una protección reforzada para las claves utilizadas por AIP para proteger sus datos más importantes. nShield genera, protege y administra las claves de forma completamente independiente del entorno del software.

    Cómo funciona

    Los HSM nShield crean una caja cerrada para proteger las claves de su inquilino. Las claves están protegidas dentro de un límite criptográfico cuidadosamente diseñado que emplea mecanismos de control de acceso robustos que le permiten hacer cumplir la separación de funciones para garantizar que las claves solo se utilicen para su propósito autorizado. nShield utiliza funciones de administración, almacenamiento y redundancia de claves para garantizar que sus claves estén siempre accesibles cuando sea necesario.

    HYOK

    Los HSM nShield brindan una solución de hardware para proteger sus claves más importantes. nShield protege y administra las claves de forma completamente independiente del entorno del software, lo que le permite mantener su propia clave cuando el acceso a su contenido más sensible deba permanecer físicamente solo en las instalaciones.

    logo de mantener su propia clave

    Cómo comprar

    Entrust es el único proveedor de HSM que admite las dos versiones de BYOK que ofrece Microsoft:

    • BYOK de nShield
    • BYOK de Microsoft

    nShield BYOK ofrece una sólida certificación para la importación de claves y la validación de HSM nShield. Microsoft BYOK es compatible con el paquete de opciones de integración en la nube de nShield.

    Qué comprar para generar y proteger sus claves de Azure Key Vault de Microsoft usando BYOK de nShield

    nShield Edge

    Para la generación local de bajos volúmenes de claves físicas, nShield Edge proporciona seguridad hardware con conexión USB. La integración recomendada utiliza dos HSM nShield Edge para una redundancia total.

    nShield Solo+ y Solo XC

    Para la generación de claves físicas en las instalaciones, la tarjeta PCIe integrada de nShield Solo+ y Solo XC proporciona generación y administración de claves basadas en hardware de alto volumen.

    nShield Connect+ y Connect XC

    Si necesita la generación de claves físicas con mayor rendimiento en las instalaciones, los dispositivos dependientes de la red con nShield Connect+ y Connect XC proporcionan generación y administración de claves basadas en hardware de alto volumen.

    Entrust nShield como servicio

    Si necesita una generación de claves local de mayor rendimiento, también puede suscribirse a su propio HSM nShield Connect utilizando nShield como servicio. Entrust nShield como servicio proporciona gestión y generación de claves basadas en hardware de alto volumen.

    Qué comprar para generar y proteger sus claves de Azure Key Vault de Microsoft usando BYOK de Microsoft

    Para generar y proteger sus claves mediante BYOK de Microsoft necesitará uno de los modelos HSM nShield enumerados anteriormente y el paquete nShield de integración en la nube.

    Paquete nShield para integración en la nube

    Con este paquete de opciones, usuarios de los principales servicios en la nube generan claves localmente y las exportan para usarlas en la nube. Todo ello con la confianza de que su clave se ha generado de forma segura con entropía fuerte. El almacenamiento a largo plazo de su clave está protegido por un HSM certificado FIPS.

    Junto con estos productos, Entrust ofrece programas de servicio, mantenimiento y capacitación de expertos para garantizar el éxito de su integración en el presente y en el futuro a medida que cambien sus necesidades.

    Paquete de servicios para traer su clave a la nube

    Si necesita una generación de claves local de bajo volumen para Azure y es nuevo en la tecnología HSM, este servicio empaquetado personalizado incluye un HSM nShield Edge, instrucciones e instalación. Un consultor de Entrust le enseñará cómo crear y transferir sus claves, y le proporcionará un proceso detallado y una lista de verificación. La integración recomendada con Azure utiliza dos HSM nShield Edge para una redundancia total.

    El personal experto estará encantado de ayudarle con su compra y aconsejarle sobre las opciones de formación y mantenimiento que se adapten a sus necesidades específicas.

    Recursos adicionales