Meteen naar de inhoud

webinar: Meld je aan voor ons aankomende webinar.

Aanmelden

  1. Blogs
    2. Cloud Key Management

AWS KMS versus Azure Key Vault versus GCP KMS

Posted byDivyansh Dwivedi 07 Minuten
Verschillen tussen AWS KMS Azure Key Vault en GCP KMS
Inhoudsopgave

De IT-wereld over de hele wereld wordt gedomineerd door het nieuws over wereldwijde datalekken en datalekken in de cloud. Van het onbedoeld openbaar maken van gevoelige gegevens tot gestolen kaartgegevens, het lijkt erop dat deze trend zich zal voortzetten en niemand weet nog hoe veilig hun gegevens zijn, vooral niet in de cloud. 

Hierdoor zagen we een aanhoudende stijging in het gebruik van encryptietechnologie in de IT-afdeling van elke organisatie. Het biedt namelijk een beveiligingslaag voor de kritieke bedrijfsgegevens en maakt deze onbruikbaar voor iedereen die niet over de bijbehorende sleutel beschikt, of het nu gaat om kwaadwillenden van binnen of van buitenaf.

Gebaseerd op de ervaring in de sector kunnen we simpelweg stellen dat de beveiliging die een crypto-entiteit biedt, niet zozeer afhangt van het gebruikte coderingsmechanisme, maar wel degelijk van de beveiliging van de bijbehorende sleutels. Je kunt elke codering met een goede sleutellengte gebruiken, maar dat garandeert geen bescherming, tenzij de sleutels beveiligd zijn.

Het handmatig beheren van één beveiligingssleutel is relatief eenvoudig, maar als er veel beveiligingssleutels in gebruik zijn, wordt het beheer ervan omslachtig. Daarom is er behoefte aan geautomatiseerde sleutelbeheer diensten voor gegevensversleuteling.

Tegenwoordig kan de sleutelbeheerservice voor elk cryptosysteem worden beschouwd als het beheer van de volledige levenscyclus van sleutels, inclusief generatie, opslag, activering, distributie, rotatie, vervaldatum, intrekking en vernietiging.

We kunnen de sleutelbeheersystemen in drie brede categorieën indelen:

  • Software-gebaseerde KMS

    Softwarematig KMS kan worden beschouwd als standalone software die in een fysieke of virtuele omgeving wordt geïnstalleerd. Vanuit kostenoogpunt zijn softwarematige KMS-oplossingen goedkoper en eenvoudiger te installeren dan hardwarematige KMS-oplossingen.

  • Hardware-gebaseerde KMS

    Hardware-gebaseerde KMS kan worden beschouwd als een gespecialiseerd, fraudebestendig hardware-apparaat dat is gebouwd voor cryptografische bewerkingen of sleutelbeheer en bekend staat als Hardwarebeveiligingsmodule, oftewel HSM. HSM kan worden geïntegreerd met softwaregebaseerde KMS of KMS-software kan ook in de HSM worden ingebed.

  • Cloudgebaseerde KMS

    Cloudgebaseerde KMS kan worden beschouwd als een serviceaanbod van cloudserviceproviders. Alle drie de grootste CSP's (AWS, Azuuren GCP) bieden KMS aan als een beheerde service met een pay-as-you-go-model, wat betekent dat de klant de onderliggende software/hardware niet hoeft te beheren. Ook andere services binnen de CSP-omgeving worden naadloos geïntegreerd met hun KMS services.

Nu we de verschillende soorten KMS in het algemeen hebben besproken, is de volgende logische vraag welke cloudgebaseerde KMS-leverancier het beste bij u past. 

De keuze tussen drie CSP's (Amazon Web Services, Microsoft Azure of Google Cloud Platform) wordt door gebruikers hevig bediscussieerd. De overgang naar het uploaden van data naar de publieke cloud wordt de standaard voor organisaties. De twee belangrijkste factoren voor databeveiliging zijn het beschermen van de data tegen ongeautoriseerde toegang en het voldoen aan de compliance-voorschriften. Cloudbeveiliging moet de hoogste prioriteit hebben voor iedereen in de organisatie. In het volgende gedeelte vatten we onze vergelijking tussen drie grote spelers in de wereld van cloudcomputing samen: 

  1. Amazon Web Services (AWS) Sleutelbeheersysteem (KMS)
  2. Microsoft Azure-sleutelkluis
  3. Google Cloud Platform (GCP) Sleutelbeheersysteem (KMS)

AWS Sleutelbeheerservice (KMS)

AWS KMS is een beheerde service die wordt gebruikt voor het maken en beheren van encryptiesleutels. De twee typen encryptiesleutels in AWS KMS zijn: Klanthoofdsleutels (CMK's) en GegevenssleutelsCMK's kunnen worden gebruikt om maximaal 4 kilobyte aan gegevens te versleutelen en ontsleutelen, terwijl gegevenssleutels door CMK's worden gegenereerd, versleuteld en ontsleuteld.

De CMK's kunnen AWS KMS nooit verlaten en sleutels die door de AWS KMS-service worden aangemaakt, worden nooit buiten de AWS-regio verzonden waar ze zijn aangemaakt en kunnen alleen worden gebruikt in de regio waar ze zijn aangemaakt. De CMK's kunnen door de klant of door AWS worden beheerd. CMK's worden gebruikt om de datasleutels te versleutelen/ontsleutelen, terwijl datasleutels worden gebruikt om de daadwerkelijke klantgegevens te versleutelen/ontsleutelen. AWS KMS slaat geen datasleutels op, beheert of volgt deze niet.

AWS KMS kan de datasleutel niet gebruiken om gegevens voor u te versleutelen/ontsleutelen. Gebruikers moeten zelf de datasleutels gebruiken en beheren. Standaard gebruikt AWS KMS FIPS 140-2-gevalideerde hardwarebeveiligingsmodules (HSM) en ondersteunde FIPS 140-2 gevalideerde eindpunten die de vertrouwelijkheid en integriteit van uw sleutels garanderen.

Op maat gemaakte cloud-sleutelbeheerservices

Ontvang flexibele en aanpasbare adviesdiensten die aansluiten bij uw cloudvereisten.

Meer informatie

Microsoft Azure-sleutelkluis

Microsoft Azure Key Vault wordt gebruikt voor het opslaan van geheimen zoals tokens, wachtwoorden, certificaten en API-sleutels. Azure Key Vault kan ook worden gebruikt als oplossing voor sleutelbeheer. Key Vault kan sleutels en geheimen versleutelen in Hardware Security Modules (HSMS). Key Vault ondersteunt alleen RSA- en Elliptic Curve-sleutels. Microsoft herkent uw sleutels niet, maar verwerkt ze in FIPS 140-2 Level 2-gevalideerde HSM's.

GCP-sleutelbeheerservice

Google Cloud Key Management Service (KMS) is een encryptiesleutelbeheeroplossing van Google Cloud die wordt gebruikt om cryptografische functies voor bedrijven te implementeren. Google Cloud KMS gebruikt een AES 256-bits sleutel om de gegevens te beschermen en kan ook worden gebruikt om de sleutels te beheren die andere soorten gevoelige gegevens versleutelen, zoals API-tokens, gebruikersreferenties, enz.

Google biedt Google Cloud KMS-service via REST API's, zodat gebruikers sleutels kunnen aanmaken, weergeven, bijwerken en verwijderen. Deze sleutels helpen bij het beheer van een groot aantal sleutels, specifiek voor bedrijven wereldwijd. Het biedt ook AES-sleutels in een hiërarchie van vijf niveaus met een vertraging van 24 uur bij het verwijderen van de sleutel.

De onderstaande tabel biedt een samengevat overzicht van de vergelijking tussen AWS KMS-, Azure Key Vault- en Google Cloud KMS-services, gecategoriseerd op basis van de functies van de service:

# Kenmerk AWS KMS Azure Key Vault Google Cloud KMS
1 Sleutelopslag Apparaat (Software + Hardware) Apparaat* (Software) Apparaat (Software + Hardware)
2 FIPS 140-2-niveau Niveau 2 Niveau 2 Niveau 1
3 Sleutel typen Symmetrisch en Asymmetrisch asymmetrisch Symmetrisch en Asymmetrisch
4 BYOK (Bring Your Own Key) AES 256-bits verpakt door RSA 2048-bits RSA ingepakt door AES en RSA-OAEP AES 256-bits verpakt door RSA 3072-bits
5 Symmetrische sleutellengte 256-bits AES- Geen 256-bits AES-
6 Asymmetrische sleutellengte 2048-bits, 3072-bits, 4096-bits RSA 2048-bits, 3072-bits, 4096-bits RSA 2048-bits, 3072-bits, 4096-bits RSA
7 Encryptiemodi AES-GCM, RSA-OAEP AES-GCM, RSA-OAEP RSA PKCS#1v1.5, RSA-OAEP
8 Limiet voor de grootte van platte tekst 4KB 0.25KB 64KB
9 Handtekeningmodi
  • RSA-PSS
  • RSA PKCS#1v1.5
  • ECDSA met P-256
  • ECDSA met P-384
  • ECDSA met P-512
  • ECDSA met SECP-256k1
  • RSA-PSS
  • RSA PKCS#1v1.5
  • ECDSA met P-256
  • ECDSA met P-384
  • ECDSA met P-512
  • ECDSA met SECP-256k1
  • RSA-PSS
  • RSA PKCS#1v1.5
  • ECDSA met P-256
  • ECDSA met P-384
10 Belangrijkste mogelijkheden
  • AWS beheerde service
  • Versleuteling / ontsleuteling
  • Ondertekenen/Verifiëren
  • Auditing
  • REST API's
  • Ondersteuning van door de klant beheerde sleutels
  • Ondersteunt tokens, wachtwoorden, certificaten, API-sleutels en andere geheimen
  • Versleuteling / ontsleuteling
  • Ondertekenen/Verifiëren
  • Key Vault-logging
  • REST API's
  • Ondersteuning van door de klant beheerde sleutels
  • Versleuteling / ontsleuteling
  • Ondertekenen/Verifiëren
  • Auditing
  • REST API's

*De integratie van Azure Key Vault met Azure's Managed HSM is nog in openbare preview en is mogelijk in de toekomst beschikbaar.

Conclusie

De voortdurende opmars van encryptietechnologie vereist dat er steeds meer sleutels moeten worden beheerd, waardoor bedrijven gedwongen worden om geautomatiseerde encryptie te gebruiken. sleutelbeheer Systemen om het grote aantal sleutels efficiënt te beheren. Gezien de grote vraag naar sleutelbeheersystemen, zijn de drie grootste CSP's (Cloud Service Providers) in een moordende concurrentiestrijd verwikkeld om steeds meer functionaliteit toe te voegen aan hun KMS-services in hun omgeving; de beperkte documentatie leidt echter vaak tot verwarring.

Encryption Consulting helpt klanten vertrouwd te raken met de nieuwste en geavanceerde beveiligingsfuncties, hulpmiddelen en documentatie. Daarnaast assisteren we hen bij het benutten van de werkelijke waarde voor hun organisatie, terwijl we deze implementeren in hun omgeving, zonder de bedrijfsdoelstelling van de organisatie te verstoren.

Ontdek onze

Gerelateerde blogs

Microsoft Azure is een van de drie grootste cloud service providers die organisaties tegenwoordig gebruiken. De andere twee die het meest door organisaties worden gebruikt, zijn Amazon Web Services (AWS) en Google Cloud Platform (GCP). Gezien de huidige situatie verplaatsen veel bedrijven hun diensten naar een gedeeltelijk of volledig cloudgebaseerd platform zoals Azure of AWS.

Hoe kunt u ervoor zorgen dat organisaties meer klachten gaan indienen met Microsoft Azure?

2 februari 2022
Inleiding tot crypto-shredding

Maak kennis met het nieuwe concept van Crypto-Shredding

August 20, 2021

NIST Cybersecurity-framework met Google Cloud Platform (GCP)

Afstemming op het NIST Cybersecurity Framework in Google Cloud

July 7, 2021

Bestudeer

Meer onderwerpen