Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Azure Cloud HSM ist ein hoch verfügbarer FIPS 140-3 Level 3-validierter Einzelmandantendienst, der den Branchenstandards entspricht. Azure Cloud HSM gewährt Kunden die vollständige Administratorautorität für ihre Hardwaresicherheitsmodule (HARDWARE Security Modules, HSMs). Es bietet einen sicheren und kundeneigenen HSM-Cluster zum Speichern kryptografischer Schlüssel und zum Ausführen kryptografischer Vorgänge.
Azure Cloud HSM unterstützt verschiedene Anwendungen, einschließlich PKCS#11, der Abladung der Verarbeitung von Secure Sockets Layer (SSL) oder Transport Layer Security (TLS), des Schutzes des privaten Schlüssels der Zertifizierungsstelle (CA) und der transparenten Datenverschlüsselung (TDE). Sie unterstützt auch die Dokument- und Codesignatur.
Warum Azure Cloud HSM verwenden?
Vollständig verwaltete Lösung
Viele Kunden benötigen administrative Kontrolle über ihr HSM, möchten aber nicht den Aufwand und die Nebenkosten, die mit der Clusterverwaltung für hohe Verfügbarkeit, Patching und Wartung einhergehen. Azure Cloud HSM-Kunden haben sicheren, direkten, end-to-End-verschlüsselten Zugriff auf ihre HSM-Instanzen in ihrem HSM-Cluster über einen privaten, dedizierten Link aus ihrem virtuellen Netzwerk.
Nachdem ein Kunde einen Azure Cloud HSM-Cluster bereitgestellt hat, behält der Kunde administrativen Zugriff auf seine HSMs. Der Azure Cloud HSM-Dienst kümmert sich um hohe Verfügbarkeit, Patching und Wartung.
Hochverfügbares Einzelmandanten-HSM als Dienst im Kundenbesitz
Azure Cloud HSM bietet hohe Verfügbarkeit und Redundanz, indem mehrere HSMs in einem HSM-Cluster gruppiert werden. Der Dienst synchronisiert automatisch Schlüssel und Richtlinien für jede HSM-Instanz.
Jeder HSM-Cluster besteht aus drei HSM-Partitionen. Wenn eine HSM-Ressource nicht verfügbar ist, werden Mitgliederpartitionen für Ihren HSM-Cluster automatisch und sicher zu funktionsfähigen Knoten migriert.
Der Azure Cloud HSM-Cluster unterstützt den Lastenausgleich von kryptografischen Vorgängen. Regelmäßige HSM-Sicherungen sorgen für eine sichere und einfache Datenwiederherstellung.
Data Residency: Cloud HSM speichert oder verarbeitet keine Kundendaten außerhalb der Region, in der der Kunde die HSM-Instanz bereitstellt.
HSM-Cluster mit einem Mandanten
Jede Azure Cloud HSM-Instanz ist einem einzelnen Kunden zugeordnet. Jeder HSM-Cluster verwendet eine separate kundenspezifische Sicherheitsdomäne, die sie kryptografisch isoliert.
FIPS 140-3 Level 3 Konformität
Viele Organisationen verfügen über strenge Branchenvorschriften, die diktieren, dass kryptografische Schlüssel in FIPS 140-3 Level 3 validierten HSMs gespeichert werden müssen. Azure Cloud HSM hilft Kunden aus verschiedenen Branchensegmenten (Finanzdienstleistungsbranche, Behörden und andere), diese FIPS-Anforderungen zu erfüllen.
Azure Cloud HSM-Eignung
Azure Cloud HSM unterstützt Folgendes:
- PKCS#11, OpenSSL, Java Cryptography Architecture (JCA), Java Cryptography Extension (JCE), Cryptography API: Next Generation (CNG) und Key Storage Provider (KSP).
- Active Directory-Zertifikatdienste (AD CS).
- SSL/TLS Offloading (Apache oder NGINX).
- TDE (Microsoft SQL Server oder Oracle).
- Zertifikatspeicher
- Dokument, Datei und Codesignatur.
Azure Cloud HSM ist nicht:
- Eine Bare-Metal-HSM-Appliance.
- Ein geheimer Laden.
- Ein Angebot für die Lebenszyklusverwaltung von Zertifikaten.
Optimal geeignet
Azure Cloud HSM eignet sich am besten für die folgenden Szenarien:
- Migrieren von Anwendungen aus der lokalen Umgebung zu Azure Virtual Machines
- Migrieren von Anwendungen von Azure Dedicated HSM oder AWS Cloud HSM
- Unterstützung von Anwendungen, die PKCS#11 erfordern
- Ausführen verkleinerter Software wie Apache oder NGINX SSL-Abladung, SQL Server oder Oracle TDE und AD CS auf virtuellen Azure-Computern
Nicht geeignet
Azure Cloud HSM ist nicht in andere Azure-Dienste integriert, die als Platform as a Service (PaaS) oder Software as a Service (SaaS) angeboten werden. Azure Cloud HSM ist nur Infrastruktur als Dienst (IaaS).
Azure Cloud HSM eignet sich nicht gut für Microsoft-Clouddienste, die Unterstützung für die Verschlüsselung mit vom Kunden verwalteten Schlüsseln erfordern. Zu diesen Diensten gehören Azure Information Protection, Azure Disk Encryption, Azure Data Lake Storage, Azure Storage und Microsoft Purview Customer Key. Für diese Szenarien sollten Kunden azure Key Vault Managed HSM verwenden.
Verwandte Inhalte
Diese Ressourcen stehen zur Verfügung, damit Sie die Bereitstellung und Konfiguration von HSMs in Ihrer vorhandenen virtuellen Netzwerkumgebung vereinfachen können:
- Azure Cloud HSM SDK
- Schlüsselverwaltung in Azure
- Bereitstellen von Azure Cloud HSM mithilfe des Azure-Portals
- Bereitstellen von Azure Cloud HSM mithilfe von Azure PowerShell
- Schlüsselverwaltung in Azure
- Bereitstellen von Azure Cloud HSM mithilfe des Azure-Portals
- Bereitstellen von Azure Cloud HSM mithilfe von Azure PowerShell