Inhaltsverzeichnis
Integracija z oblakom
Ciljna skupina: Arhitekti za oblak, DevOps
Fokus: Integracija HSM, upravljanje skrivnosti, večoblačnost
Integracija PKI z PQ-zmožnostjo z oblačnimi HSM in storitvami za upravljanje skrivnosti.
Pregled
flowchart TB
subgraph ONPREM["NA LOKACIJI"]
CA[CA strežnik]
HSM[HSM]
end
subgraph AZURE["AZURE"]
AKV[Azure Key Vault]
AHSM[Managed HSM]
end
subgraph AWS["AWS"]
ACM[AWS Certificate Manager]
KMS[AWS KMS]
CHSM[CloudHSM]
end
subgraph MULTI["VEČOBLAČNOST"]
HV[HashiCorp Vault]
end
CA --> AKV & ACM & HV
HSM -.->|Varnostna kopija| AHSM & CHSM
HV --> AZURE & AWS
style HV fill:#e8f5e9
style AKV fill:#e3f2fd
style ACM fill:#fff3e0
Primerjava oblačnih ponudnikov
| Funkcionalnost | Azure Key Vault | AWS KMS | HashiCorp Vault |
| —————- | —————– | ——— | —————– |
| HSM FIPS 140-2 | Nivo 3 (Managed HSM) | Nivo 3 (CloudHSM) | Nivo 2 (Transit) |
| PQ podpora | Ne še | Ne še | Da preko vtičnikov |
| Upravljanje certifikatov | Da nativno | Da ACM | Da PKI Engine |
| Večoblačnost | Ne | Ne | Da |
| Stroški | Srednji | Visoki (CloudHSM) | Odprtokodno + Enterprise |
Scenariji
| Scenarij | Oblak | Tip HSM |
|---|---|---|
| Azure Key Vault | Azure | Managed HSM |
| AWS KMS + CloudHSM | AWS | CloudHSM |
| HashiCorp Vault | Večoblačnost | Transit SE |
Drevo odločitev
flowchart TD
A[Potrebujete oblačni HSM?] --> B{Primarni oblak?}
B -->|Azure| C[Azure Key Vault]
B -->|AWS| D[AWS KMS/CloudHSM]
B -->|Večoblačnost| E[HashiCorp Vault]
B -->|Na lokaciji + oblak| F[Vault + oblačna integracija]
C --> G{FIPS nivo 3?}
G -->|Da| H[Managed HSM]
G -->|Ne| I[Standardni Key Vault]
D --> J{Proračun?}
J -->|Visok| K[CloudHSM]
J -->|Srednji| L[KMS]
style E fill:#e8f5e9
style H fill:#e3f2fd
style K fill:#fff3e0
Hibridna strategija
Priporočilo: Root-CA na lokaciji + Intermediate v oblaku za oblačne delovne obremenitve
| Komponenta | Lokacija | Utemeljitev |
| ———— | ———- | ————- |
| Root-CA | Na lokaciji (HSM) | Najvišja varnost |
| Intermediate (oblak) | Azure/AWS/Vault | Bližina delovnih obremenitev |
| End-Entity | Oblak | Samodejno zagotavljanje |
| Varnostna kopija | Večoblačnost | Obnova po katastrofi |
Povezana dokumentacija
- Kubernetes Cert-Manager – Integracija K8s
- CA varnostna kopija – Medoblačna varnostna kopija
- Konfiguracija – Nastavitev OpenSSL
« ← Scenariji za operaterje | → Azure Key Vault »
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional
Zuletzt geändert: dne 30.01.2026 ob 07:21
