Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Azure Dedicated HSM wird eingestellt. Microsoft wird bestehende dedizierte HSM-Kunden bis zum 31. Juli 2028 vollständig unterstützen. Es werden keine neuen Kunden-Onboardings akzeptiert. Vollständige Details und erforderliche Aktionen finden Sie im offiziellen Azure-Update.
Wenn Sie ein Azure Dedicated HSM-Benutzer sind, lesen Sie "Migrieren von Azure Dedicated HSM zu Azure Managed HSM" oder "Azure Cloud HSM". Azure Cloud HSM ist jetzt allgemein verfügbar und der Nachfolger von Azure Dedicated HSM.
Neue Kunden sollten basierend auf ihren Workloadanforderungen Azure Cloud HSM, Azure Managed HSM oder Azure Key Vault evaluieren und integrieren. Anleitungen finden Sie unter Auswählen der richtigen Azure Key Management-Lösung.
Azure Dedicated HSM ist ein Azure-Dienst, der Speicherung von kryptografischen Schlüsseln in Azure bietet. Dedicated HSM erfüllt die strengsten Sicherheitsanforderungen. Es ist die optimale Lösung für Kunden, die Geräte mit der Zertifizierung „FIPS 140-2 Level 3“ sowie die vollständige und uneingeschränkte Kontrolle über die HSM-Appliance benötigen.
HSM-Geräte werden weltweit über mehrere Azure-Regionen hinweg bereitgestellt. Sie können einfach als ein Gerätepaar bereitgestellt und für Hochverfügbarkeit konfiguriert werden. HSM-Geräte können zum Schutz vor regionalen Ausfällen auch regionsübergreifend bereitgestellt werden. Microsoft liefert den Dedizierten HSM-Dienst mithilfe der Thales Luna 7 HSM-Modell A790-Geräte . Dieses Gerät bietet ein Höchstmaß an Leistung und kryptografischen Integrationsoptionen.
Nachdem sie bereitgestellt wurden, sind die HSM-Geräte direkt mit dem virtuellen Netzwerk eines Kunden verbunden. Auf sie können auch lokale Anwendungen und Verwaltungstools zugreifen, wenn Sie Point-to-Site- oder Site-to-Site-VPN-Konnektivität konfigurieren. Kunden erhalten die Software und Dokumentation zum Konfigurieren und Verwalten von HSM-Geräten über das Thales-Kundensupportportal.
Argumente für die Verwendung von Azure Dedicated HSM
Konformität mit „FIPS 140-2 Level 3“
Viele Organisationen verfügen über strenge Branchenvorschriften, die diktieren, dass kryptografische Schlüssel in FIPS 140-2 Level-3 validierten HSMs gespeichert werden müssen. Azure Dedicated HSM und ein neues Einzelmandantenangebot, Azure Key Vault Managed HSM, helfen Kunden aus verschiedenen Branchensegmenten, z. B. Finanzdienstleistungsbranche, Behörden und andere, die FIPS 140-2 Level-3-Anforderungen erfüllen. Der mehrinstanzenfähige Azure Key Vault-Dienst von Microsoft nutzt derzeit nur HSMs, die gemäß FIPS 140-2 Level 2 überprüft wurden.
Geräte mit nur einem Mandanten
Bei vielen unserer Kunden darf das kryptografische Speichergerät nur über einen einzelnen Mandanten verfügen. Der Dedicated HSM-Dienst ermöglicht die Bereitstellung eines physischen Geräts über eines der weltweit verteilten Datencenter von Microsoft. Nachdem sie einem Kunden bereitgestellt wurde, kann nur dieser Kunde auf das Gerät zugreifen.
Vollständige administrative Kontrolle
Viele Kunden benötigen die vollständige administrative Kontrolle und den alleinigen Zugriff auf ihr Gerät für administrative Zwecke. Nachdem ein Gerät bereitgestellt wurde, besitzt nur noch der jeweilige Kunde Zugriff auf Administrator- oder Anwendungsebene.
Microsoft verfügt über keinerlei administrative Kontrolle, nachdem der Kunde zum ersten Mal auf das Gerät zugegriffen und das Kennwort geändert hat. Ab diesem Zeitpunkt ist der Kunde ein echter einzelner Mandant mit vollständiger administrativer Kontrolle und uneingeschränkter Anwendungsverwaltung. Microsoft behält den Zugriff auf die Telemetrie über die serielle Schnittstelle auf Überwachungsebene (keine Administratorrolle) bei. Dieser Zugriff umfasst Hardwareüberwachungen wie Temperatur, Integrität der Stromversorgung und Lüfterzustand.
Dem Kunden steht es frei, diese erforderliche Überwachung zu deaktivieren. Wenn er sie jedoch deaktiviert, erhält er keine proaktiven Integritätswarnungen von Microsoft.
Hochleistung
Das Thales-Gerät wurde aus mehreren Gründen für diesen Dienst ausgewählt. Es bietet eine breite Palette von Kryptografiealgorithmus unterstützung, verschiedene unterstützte Betriebssysteme und umfassende API-Unterstützung. Das bereitgestellte Modell bietet eine ausgezeichnete Leistung von 10.000 Vorgängen pro Sekunde für RSA-2048. Es unterstützt zehn Partitionen, die jeweils für individuelle Anwendungsinstanzen verwendet werden können. Dieses Gerät zeichnet sich durch geringe Latenz, hohe Kapazität und hohen Durchsatz aus.
Einzigartiges cloudbasiertes Angebot
Microsoft hat bei einigen Kunden einen ganz spezifischen Bedarf ausgemacht. Es ist der einzige Cloudanbieter, der neuen Kunden einen dedizierten HSM-Dienst bietet, der FIPS 140-2 Level 3 validiert ist und ein solches Ausmaß der cloudbasierten und lokalen Anwendungsintegration bietet.
Ist der Azure-Dienst für dedizierte HSMs das Richtige für Sie?
Azure Dedicated HSM ist ein spezieller Dienst, der die individuellen Anforderungen eines ganz bestimmten Typs großer Organisationen erfüllt. Daher wird erwartet, dass der Großteil der Azure-Kunden nicht in das Profil der Verwendung für diesen Dienst passt. Viele finden, dass der Azure Key Vault- oder der Azure Managed HSM-Dienst geeigneter und kostengünstiger als andere Optionen ist. Damit Sie leichter entscheiden können, ob der Dienst für Sie in Frage kommt, haben wir für Sie die folgenden Kriterien zusammengestellt.
Optimal geeignet
Azure Dedicated HSM eignet sich am besten für Lift & Shift-Szenarien, die einen direkten und alleinigen Zugriff auf HSM-Geräte erfordern. Beispiele sind:
- Migrieren von Anwendungen aus der lokalen Umgebung zu Azure Virtual Machines
- Migrieren von Anwendungen von Amazon AWS EC2 zu virtuellen Maschinen, die den AWS Cloud HSM Classic-Dienst verwenden (Amazon bietet diesen Dienst nicht neuen Kunden an)
- Ausführen von Software aus dem Handel (etwa Apache/Ngnix SSL Offload, Oracle TDE und ADCS) in Azure Virtual Machines
Nicht geeignet
Azure Dedicated HSM eignet sich nicht gut für die folgende Art von Szenario: Für Microsoft-Clouddienste, die die Verschlüsselung mit von Kunden verwalteten Schlüsseln unterstützen (etwa Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store, Azure Storage, Azure SQL-Datenbank, Customer Key für Office 365), steht keine Integration für Azure Dedicated HSM zur Verfügung.
Hinweis
Kunden müssen über einen zugewiesenen Microsoft-Kundenbetreuer verfügen und die finanzielle Anforderung von fünf Millionen USD Azure-Gesamtumsatz pro Jahr oder mehr erfüllen, um sich für das Onboarding und die Nutzung von Azure Dedicated HSM zu qualifizieren.
Abhängig vom Szenario
Ob Azure Dedicated HSM für Sie funktioniert, hängt von einer potenziell komplexen Mischung aus Anforderungen und Kompromittierungen ab, die Sie vornehmen können oder nicht. Ein Beispiel ist die FIPS 140-2 Level 3-Anforderung. Diese Anforderung ist üblich, und Azure Dedicated HSM sowie ein neues Einzelmandantenangebot, Azure Key Vault Managed HSM, sind derzeit die einzigen Optionen zum Erfüllen dieser Anforderung. Wenn diese gesetzlichen Anforderungen nicht relevant sind, besteht häufig die Wahl zwischen Azure Key Vault und Azure Dedicated HSM. Werten Sie Ihre Anforderungen vor einer Entscheidung aus.
Situationen, in denen Sie Ihre Optionen abwägen müssen, sind:
- Neuer Code, der auf einem virtuellen Azure-Computer eines Kunden ausgeführt wird
- TDE von SQL Server auf einem virtuellen Azure-Computer
- Clientseitige Verschlüsselung von Azure Storage
- Always Encrypted für SQL Server und Azure SQL-Datenbank
Nächste Schritte
Ein dediziertes HSM ist ein stark spezialisierter Dienst. Daher empfehlen wir Ihnen, die wichtigsten Konzepte in diesem Dokumentationssatz vollständig zu verstehen, einschließlich Preise, Support und Vereinbarungen auf Serviceebene.
Die Thales-Integrationsleitfäden helfen Ihnen dabei, die Bereitstellung von HSMs in einer vorhandenen virtuellen Netzwerkumgebung zu erleichtern. Es gibt auch Anleitungen, mit denen Sie bestimmen können, wie Sie Ihre Bereitstellungsarchitektur einrichten.