Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Azure Cloud HSM es un servicio de inquilino único validado de nivel 3 de FIPS 140-3 de alta disponibilidad que cumple con los estándares del sector. Azure Cloud HSM concede a los clientes una autoridad administrativa completa sobre sus módulos de seguridad de hardware (HSM). Proporciona un clúster HSM seguro y propiedad del cliente para almacenar claves criptográficas y realizar operaciones criptográficas.
Azure Cloud HSM admite varias aplicaciones, como PKCS#11, descarga de procesamiento de capa de sockets seguros (SSL) o procesamiento de seguridad de la capa de transporte (TLS), protección de claves privadas de entidad de certificación (CA) y cifrado de datos transparente (TDE). También admite la firma de documentos y de código.
¿Por qué usar Azure Cloud HSM?
Solución totalmente administrada
Muchos clientes requieren control administrativo de su HSM, pero no quieren la sobrecarga y los costos auxiliares que incluyen la administración de clústeres para lograr alta disponibilidad, aplicación de revisiones y mantenimiento. Los clientes de Azure Cloud HSM tienen acceso cifrado seguro, directo y completo a sus instancias de HSM en su clúster de HSM a través de un vínculo privado dedicado desde su red virtual.
Una vez que un cliente aprovisiona un clúster de Azure Cloud HSM, el cliente mantiene el acceso administrativo a sus HSM. El servicio Azure Cloud HSM se encarga de la alta disponibilidad, la aplicación de revisiones y el mantenimiento.
HSM de un solo inquilino, propiedad del cliente, de alta disponibilidad y de un solo inquilino como servicio
Azure Cloud HSM proporciona alta disponibilidad y redundancia mediante la agrupación de varios HSM en un clúster de HSM. El servicio sincroniza automáticamente las claves y las directivas en cada instancia de HSM.
Cada clúster de HSM consta de tres particiones HSM. Si un recurso de HSM deja de estar disponible, las particiones de miembro del clúster de HSM se migran de forma automática y segura a nodos correctos.
El clúster de Azure Cloud HSM admite el equilibrio de carga de las operaciones criptográficas. Las copias de seguridad periódicas de HSM ayudan a garantizar una recuperación de datos segura y sencilla.
Residencia de datos: Cloud HSM no almacena ni procesa datos de clientes fuera de la región en la que el cliente implementa la instancia de HSM.
Clústeres de HSM de un solo inquilino
Cada instancia de Azure Cloud HSM está dedicada a un solo cliente. Cada clúster de HSM usa un dominio de seguridad específico del cliente independiente que lo aísla criptográficamente.
Cumplimiento de FIPS 140-3 nivel 3
Muchas organizaciones tienen estrictas regulaciones del sector que dictan que las claves criptográficas deben almacenarse en HSM validados por FIPS 140-3 nivel 3 . Azure Cloud HSM ayuda a los clientes de varios segmentos del sector (sector de servicios financieros, agencias gubernamentales y otros) a cumplir estos requisitos de FIPS.
Idoneidad de Azure Cloud HSM
Azure Cloud HSM admite:
- PKCS#11, OpenSSL, Java Cryptography Architecture (JCA), Java Cryptography Extension (JCE), Cryptography API: Next Generation (CNG) y key storage provider (KSP).
- Servicios de certificados de Active Directory (AD CS).
- Descarga de SSL/TLS (Apache o NGINX).
- TDE (Microsoft SQL Server o Oracle).
- Almacenamiento de certificados
- Firma de documentos, archivos y código.
Azure Cloud HSM no es:
- Un dispositivo HSM en metal puro.
- Una tienda secreta.
- Una oferta para la administración del ciclo de vida del certificado.
Casos en los que está indicado
Azure Cloud HSM es más adecuado para los siguientes tipos de escenarios:
- Migración de aplicaciones locales a Azure Virtual Machines
- Migración de aplicaciones desde Azure Dedicated HSM o AWS Cloud HSM
- Compatibilidad con aplicaciones que requieren PKCS#11
- Ejecución de software encapsulado de reducción, como la descarga de SSL de Apache o NGINX, SQL Server o Oracle TDE, y AD CS en Azure Virtual Machines
Casos en los que no está indicado
Azure Cloud HSM no se integra con otros servicios de Azure de plataforma como servicio (PaaS) ni de software como servicio (SaaS). Azure Cloud HSM es solo infraestructura como servicio (IaaS).
Azure Cloud HSM no es una buena opción para los servicios en la nube de Microsoft que requieren compatibilidad con el cifrado con claves administradas por el cliente. Estos servicios incluyen Azure Information Protection, Azure Disk Encryption, Azure Data Lake Storage, Azure Storage y la clave de cliente de Microsoft Purview. En esos escenarios, los clientes deben usar HSM administrado de Azure Key Vault.
Contenido relacionado
Estos recursos están disponibles para ayudarle a facilitar el aprovisionamiento y la configuración de HSM en el entorno de red virtual existente:
- Azure Cloud HSM SDK
- Administración de claves en Azure
- Implementación de Azure Cloud HSM mediante Azure Portal
- Implementación de Azure Cloud HSM mediante Azure PowerShell
- Administración de claves en Azure
- Implementación de Azure Cloud HSM mediante Azure Portal
- Implementación de Azure Cloud HSM mediante Azure PowerShell