Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Azure Dedicated HSM se está retirando. Microsoft ofrecerá completamente soporte a los clientes existentes de Dedicated HSM hasta el 31 de julio de 2028. No se aceptan nuevas incorporaciones de clientes. Para más información y acciones necesarias, consulte la actualización oficial de Azure.
Si es un usuario de Azure Dedicated HSM, consulte Migración de Azure Dedicated HSM a Azure Managed HSM o Azure Cloud HSM. Azure Cloud HSM ya está disponible con carácter general y el sucesor de Azure Dedicated HSM.
Los nuevos clientes deben evaluar e incorporarse a Azure Cloud HSM, Azure Managed HSM o Azure Key Vault en función de sus requisitos de carga de trabajo. Para obtener instrucciones, consulte Elección de la solución de administración de claves de Azure adecuada.
Azure Dedicated HSM ofrece almacenamiento de claves criptográficas en Azure. Dedicated HSM cumple los requisitos de seguridad más estrictos. Es la solución idónea para los clientes que necesitan dispositivos validados con la certificación FIPS 140-2 nivel 3 y un control completo y exclusivo del dispositivo HSM.
Los dispositivos HSM se implementan de manera global en varias regiones de Azure. Se pueden aprovisionar fácilmente como un par de dispositivos y configurar para alta disponibilidad. Los dispositivos HSM también se pueden aprovisionar entre regiones para protección frente a conmutaciones por error en el nivel regional. Microsoft ofrece el servicio Dedicated HSM mediante el uso de los dispositivos thales Luna 7 HSM modelo A790 . Este dispositivo ofrece los mayores niveles de rendimiento y opciones de integración criptográficas.
Una vez aprovisionados, los dispositivos HSM se conectan directamente a la red virtual de un cliente. También son accesibles mediante una aplicación local y herramientas de administración si se configura la conectividad de punto a sitio o de VPN de sitio a sitio. Los clientes obtienen el software y la documentación para configurar y administrar dispositivos HSM desde el portal de soporte al cliente de Thales.
Motivos para usar Azure Dedicated HSM
Cumplimiento de la norma FIPS 140-2 nivel 3
Muchas organizaciones tienen estrictas regulaciones del sector que dictan que las claves criptográficas deben almacenarse en HSM validados por FIPS 140-2 nivel 3 . Azure Dedicated HSM y una nueva oferta de inquilino único, HSM administrado de Azure Key Vault, ayudan a los clientes de varios segmentos del sector, como el sector de servicios financieros, las agencias gubernamentales y otros a cumplir los requisitos de FIPS 140-2 nivel 3. Aunque actualmente el servicio Azure Key Vault multiinquilino de Microsoft usa HSM validados por FIPS 140-2 de nivel 2.
Dispositivos de un único inquilino
Muchos de nuestros clientes requieren un único inquilino en el dispositivo de almacenamiento criptográfico. El servicio Azure Dedicated HSM les permite aprovisionar un dispositivo físico desde uno de los centros de datos distribuidos globalmente de Microsoft. Una vez aprovisionado en un cliente, solo ese cliente puede acceder al dispositivo.
Control administrativo completo
Muchos clientes requieren un control administrativo completo y acceso exclusivo a su dispositivo para fines administrativos. Una vez que se aprovisiona un dispositivo, solo el cliente tiene acceso de nivel administrativo o de aplicación al mismo.
Microsoft no tiene control administrativo una vez que el cliente accede por primera vez al dispositivo, momento en el cual el cliente cambia la contraseña. A partir de ese punto, el cliente es un único inquilino verdadero con control administrativo completo y funcionalidad de administración de aplicaciones. Microsoft sí conserva el acceso a nivel de supervisión (no un rol de administrador) para la telemetría a través de la conexión de puerto serie. Este acceso abarca indicadores de hardware, como temperatura, estado del suministro eléctrico y estado del ventilador.
Si lo desea, el cliente puede deshabilitar esta supervisión necesaria pero, si lo hace, no recibirá alertas de estado proactivas de parte de Microsoft.
Alto rendimiento
El dispositivo Thales se seleccionó por este servicio por varias razones. Ofrece una amplia gama de compatibilidad con algoritmos criptográficos, diversos sistemas operativos compatibles y amplia compatibilidad con API. El modelo específico implementado ofrece un rendimiento excelente con 10 000 operaciones por segundo para RSA-2048. Admite 10 particiones que se pueden usar para las instancias de aplicaciones únicas. Este dispositivo es de baja latencia, alta capacidad y alto rendimiento.
Oferta única basada en la nube
Microsoft reconoció una necesidad concreta en un conjunto exclusivo de clientes Es el único proveedor de nube que ofrece a los nuevos clientes un servicio HSM dedicado que está validado por FIPS 140-2 de nivel 3 y ofrece tal extensión de integración de aplicaciones locales y basadas en la nube.
¿Es Azure Dedicated HSM adecuado para usted?
Azure Dedicated HSM es un servicio especializado que permite cumplir los requisitos únicos de un tipo específico de organización a gran escala. Como resultado, se espera que la mayor parte de los clientes de Azure no se ajusten al perfil de uso de este servicio. Muchos encuentran que el servicio Azure Key Vault o el servicio de HSM administrado de Azure es más adecuado y rentable. Para ayudarlo a decidir si es adecuado para sus requisitos, hemos identificado los siguientes criterios.
Casos en los que está indicado
Azure Dedicated HSM es el más adecuado para escenarios de "migración mediante lift-and-shift" que requieren un acceso directo y exclusivo a los dispositivos HSM. Algunos ejemplos son:
- Migración de aplicaciones locales a Azure Virtual Machines
- Migración de aplicaciones de Amazon AWS EC2 a máquinas virtuales que usan el servicio AWS Cloud HSM Classic (Amazon no ofrece este servicio a nuevos clientes)
- Ejecución de un software empaquetado como Apache/Ngnix SSL Offload, Oracle TDE y ADCS en Azure Virtual Machines
Casos en los que no está indicado
Azure Dedicated HSM no es una buena opción para el siguiente tipo de escenario: servicios en la nube de Microsoft que admiten el cifrado con claves administradas por el cliente (como Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store, Azure Storage, Azure SQL Database y clave de cliente para Office 365) que no están integrados con Azure Dedicated HSM.
Nota:
Los clientes deben tener asignado un administrador de cuentas de Microsoft y cumplir el requisito monetario de cinco millones de dólares (5M USD) u otra cantidad superior en los ingresos totales confirmados de Azure anualmente para optar a la incorporación y uso de Azure Dedicated HSM.
Depende
Que Azure Dedicated HSM funcione para usted depende de una combinación potencialmente compleja de requisitos y compromisos que pueda o no aceptar. Un ejemplo es el requisito de la certificación FIPS 140-2 nivel 3. Este requisito es común y Azure Dedicated HSM y una nueva oferta de inquilino único, HSM administrado de Azure Key Vault son actualmente las únicas opciones para cumplirlo. Si estos requisitos obligatorios no proceden, a menudo se puede elegir entre Azure Key Vault y Azure Dedicated HSM. Evalúe sus requisitos antes de tomar una decisión.
Entre las situaciones en las que tiene que pesar sus opciones se incluyen:
- Nuevo código que se ejecuta en una máquina virtual de Azure del cliente
- TDE de SQL Server en una máquina virtual de Azure
- Cifrado en el lado de cliente de Azure Storage
- SQL Server y Azure SQL Database Always Encrypted
Pasos siguientes
Dedicated HSM es un servicio altamente especializado. Por lo tanto, se recomienda comprender completamente los conceptos clave de este conjunto de documentación, incluidos los precios, el soporte técnico y los acuerdos de nivel de servicio.
Las guías de integración de Thales le ayudan a facilitar el aprovisionamiento de HSM en un entorno de red virtual existente. También hay guías paso a paso para ayudarle a determinar cómo configurar la arquitectura de implementación.