====== Integracija z oblakom ======

<WRAP round info>
**Ciljna skupina:** Arhitekti za oblak, DevOps \\
**Fokus:** Integracija HSM, upravljanje skrivnosti, večoblačnost
</WRAP>

Integracija PKI z PQ-zmožnostjo z oblačnimi HSM in storitvami za upravljanje skrivnosti.

----

===== Pregled =====

<mermaid>
flowchart TB
    subgraph ONPREM["NA LOKACIJI"]
        CA[CA strežnik]
        HSM[HSM]
    end

    subgraph AZURE["AZURE"]
        AKV[Azure Key Vault]
        AHSM[Managed HSM]
    end

    subgraph AWS["AWS"]
        ACM[AWS Certificate Manager]
        KMS[AWS KMS]
        CHSM[CloudHSM]
    end

    subgraph MULTI["VEČOBLAČNOST"]
        HV[HashiCorp Vault]
    end

    CA --> AKV & ACM & HV
    HSM -.->|Varnostna kopija| AHSM & CHSM
    HV --> AZURE & AWS

    style HV fill:#e8f5e9
    style AKV fill:#e3f2fd
    style ACM fill:#fff3e0
</mermaid>

----

===== Primerjava oblačnih ponudnikov =====

| Funkcionalnost | Azure Key Vault | AWS KMS | HashiCorp Vault |
|----------------|-----------------|---------|-----------------|
| **HSM FIPS 140-2** | Nivo 3 (Managed HSM) | Nivo 3 (CloudHSM) | Nivo 2 (Transit) |
| **PQ podpora** | Ne še | Ne še | Da preko vtičnikov |
| **Upravljanje certifikatov** | Da nativno | Da ACM | Da PKI Engine |
| **Večoblačnost** | Ne | Ne | Da |
| **Stroški** | Srednji | Visoki (CloudHSM) | Odprtokodno + Enterprise |

----

===== Scenariji =====

^  Scenarij  ^  Oblak  ^  Tip HSM  ^
| [[.:azure-keyvault|Azure Key Vault]] | Azure | Managed HSM |
| [[.:aws-kms|AWS KMS + CloudHSM]] | AWS | CloudHSM |
| [[.:hashicorp-vault|HashiCorp Vault]] | Večoblačnost | Transit SE |

----

===== Drevo odločitev =====

<mermaid>
flowchart TD
    A[Potrebujete oblačni HSM?] --> B{Primarni oblak?}
    B -->|Azure| C[Azure Key Vault]
    B -->|AWS| D[AWS KMS/CloudHSM]
    B -->|Večoblačnost| E[HashiCorp Vault]
    B -->|Na lokaciji + oblak| F[Vault + oblačna integracija]

    C --> G{FIPS nivo 3?}
    G -->|Da| H[Managed HSM]
    G -->|Ne| I[Standardni Key Vault]

    D --> J{Proračun?}
    J -->|Visok| K[CloudHSM]
    J -->|Srednji| L[KMS]

    style E fill:#e8f5e9
    style H fill:#e3f2fd
    style K fill:#fff3e0
</mermaid>

----

===== Hibridna strategija =====

<WRAP round tip>
**Priporočilo:** Root-CA na lokaciji + Intermediate v oblaku za oblačne delovne obremenitve
</WRAP>

| Komponenta | Lokacija | Utemeljitev |
|------------|----------|-------------|
| Root-CA | Na lokaciji (HSM) | Najvišja varnost |
| Intermediate (oblak) | Azure/AWS/Vault | Bližina delovnih obremenitev |
| End-Entity | Oblak | Samodejno zagotavljanje |
| Varnostna kopija | Večoblačnost | Obnova po katastrofi |

----

===== Povezana dokumentacija =====

  * [[..:automatisierung:cert-manager-k8s|Kubernetes Cert-Manager]] – Integracija K8s
  * [[..:disaster-recovery:ca-backup-restore|CA varnostna kopija]] – Medoblačna varnostna kopija
  * [[sl:int:pqcrypt:administrator:konfiguration|Konfiguracija]] – Nastavitev OpenSSL

----

<< [[..:start|← Scenariji za operaterje]] | [[.:azure-keyvault|→ Azure Key Vault]] >>

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//

{{tag>cloud azure aws vault hsm operator}}