Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
Le HSM dédié Azure est mis hors service. Microsoft prendra entièrement en charge les clients HSM dédiés existants jusqu’au 31 juillet 2028. Aucune nouvelle intégration des clients n’est acceptée. Pour obtenir des détails complets et des actions requises, consultez la mise à jour Officielle d’Azure.
Si vous êtes un utilisateur HSM dédié Azure, consultez Migrer d’Azure Dedicated HSM vers Azure Managed HSM ou Azure Cloud HSM. Azure Cloud HSM est désormais en disponibilité générale et le successeur d’Azure Dedicated HSM.
Les nouveaux clients doivent évaluer et intégrer azure Cloud HSM, Azure Managed HSM ou Azure Key Vault en fonction de leurs besoins en charge de travail. Pour obtenir des conseils, consultez Comment choisir la solution de gestion des clés Azure appropriée.
Azure Dedicated HSM est un service Azure qui fournit un stockage de clés de chiffrement dans Azure. Le HSM dédié répond aux exigences de sécurité les plus strictes. Il s’agit de la solution idéale pour les clients qui nécessitent des appareils validés fiPS 140-2 de niveau 3 et un contrôle complet et exclusif de l’appliance HSM.
Les appareils HSM sont déployés globalement dans plusieurs régions Azure. Ils peuvent être facilement provisionnés en tant que paire d’appareils et configurés pour la haute disponibilité. Les appareils HSM peuvent également être provisionnés à travers les régions pour se prémunir contre les défaillances au niveau régional. Microsoft fournit le service HSM dédié à l’aide des appliances Thales Luna 7 HSM modèle A790 . Cet appareil offre les niveaux de performances et d’intégration de chiffrement les plus élevés.
Une fois qu’ils sont approvisionnés, les appareils HSM sont connectés directement au réseau virtuel d’un client. Ils sont également accessibles par les outils d’application et de gestion locaux lorsque vous configurez une connectivité VPN de point à site ou de site à site. Les clients obtiennent le logiciel et la documentation pour configurer et gérer des appareils HSM à partir du portail du support technique Thales.
Pourquoi utiliser Azure Dedicated HSM ?
Conformité FIPS 140-2 Level-3
De nombreuses organisations ont des réglementations sectorielles strictes qui dictent que les clés de chiffrement doivent être stockées dans les modules HSM validés fiPS 140-2 de niveau 3 . Azure Dedicated HSM et une nouvelle offre monolocataire, Azure Key Vault Managed HSM, aident les clients de différents segments du secteur, tels que le secteur des services financiers, les agences gouvernementales et d’autres personnes respectent les exigences FIPS 140-2 de niveau 3. Alors que le service Azure Key Vault multilocataire de Microsoft utilise actuellement des modules HSM validés FIPS 140-2 de niveau 2.
Appareils dédiés à un seul utilisateur
Bon nombre de nos clients ont besoin d’une location unique de l’appareil de stockage de chiffrement. Le service HSM dédié Azure leur permet de provisionner un appareil physique à partir de l’un des centres de données distribués à l’échelle mondiale de Microsoft. Une fois qu’il est approvisionné auprès d’un client, seul ce client peut accéder à l’appareil.
Contrôle administratif total
De nombreux clients ont besoin d’un contrôle administratif total et d’un accès exclusif à leur appareil à des fins administratives. Une fois qu’un appareil est approvisionné, seul le client dispose d’un accès administratif ou au niveau de l’application à l’appareil.
Microsoft n’a aucun contrôle administratif après que le client accède à l’appareil pour la première fois, à quel moment le client modifie le mot de passe. À partir de ce stade, le client est un vrai locataire unique avec un contrôle administratif total et une fonctionnalité de gestion des applications. Microsoft ne conserve aucun accès de surveillance (aucun un rôle d’administrateur) pour la télémétrie via une connexion de port série. Cet accès couvre la surveillance matérielle, notamment la température, l’état de l'alimentation et l’état du ventilateur.
Le client est libre de désactiver cette surveillance nécessaire. Toutefois, s'ils le désactivent, ils ne recevront pas d'alertes de santé proactives de Microsoft.
Hautes performances
L’appareil Thales a été sélectionné pour ce service pour plusieurs raisons. Il offre un large éventail de prise en charge des algorithmes de chiffrement, divers systèmes d’exploitation pris en charge et une prise en charge étendue des API. Le modèle spécifique déployé offre d’excellentes performances avec 10 000 opérations par seconde pour RSA-2048. Il prend en charge 10 partitions qui peuvent être utilisées pour des instances d’application uniques. Cet appareil offre une latence faible, une capacité élevée et un débit élevé.
Offre unique basée sur le cloud
Microsoft a reconnu un besoin spécifique pour un ensemble unique de clients. Il s’agit du seul fournisseur de cloud qui offre aux nouveaux clients un service HSM dédié qui est validé fiPS 140-2 niveau 3 et offre une telle étendue d’intégration d’applications cloud et locale.
Azure Dedicated HSM vous convient-il ?
Azure Dedicated HSM est un service spécialisé qui répond aux exigences uniques d’un type spécifique d’organisation à grande échelle. Par conséquent, on s’attend à ce que la majeure partie des clients Azure ne corresponde pas au profil d’utilisation de ce service. Beaucoup trouvent que les services Azure Key Vault ou Azure Managed HSM sont plus appropriés et plus rentables. Pour vous aider à déterminer s’il s’agit d’un critère adapté à vos besoins, nous avons identifié les critères suivants.
Meilleur ajustement
Azure Dedicated HSM convient le mieux aux scénarios « lift-and-shift » qui nécessitent un accès direct et unique aux appareils HSM. Voici quelques exemples :
- Migration d'applications locales vers des machines virtuelles Azure
- Migration d’applications d’Amazon AWS EC2 vers des machines virtuelles qui utilisent le service AWS Cloud HSM Classic (Amazon n’offre pas ce service aux nouveaux clients)
- Exécution de logiciels de série, tels qu’Apache/Ngnix SSL Offload, Oracle TDE et ADCS, sur des machines virtuelles Azure
Inadéquation
Azure Dedicated HSM n’est pas adapté au type suivant de scénario : les services cloud Microsoft qui prennent en charge le chiffrement avec des clés gérées par le client (par exemple, Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store, Stockage Azure, Azure SQL Database et Clé client pour Office 365) qui ne sont pas intégrés à Azure Dedicated HSM.
Remarque
Les clients doivent disposer d'un responsable de compte Microsoft assigné et satisfaire à l'exigence monétaire de cinq millions (5 M$) USD ou plus dans le chiffre d'affaires Azure annuel engagé pour être éligibles à l'intégration et à l'utilisation d'Azure Dedicated HSM.
Ça dépend
Si azure Dedicated HSM fonctionne pour vous dépend d’un mélange potentiellement complexe de conditions et de compromissions que vous pouvez ou ne pouvez pas faire. L’exigence FIPS 140-2 de niveau 3 est un exemple. Cette exigence est courante, et Azure Dedicated HSM et une nouvelle offre à locataire unique, Azure Key Vault Managed HSM, sont actuellement les seules options pour répondre à cette exigence. Si ces exigences obligatoires ne sont pas pertinentes, il s’agit souvent d’un choix entre Azure Key Vault et Azure Dedicated HSM. Évaluez vos besoins avant de prendre une décision.
Les situations dans lesquelles vous devez peser vos options sont les suivantes :
- Nouveau code s’exécutant dans la machine virtuelle Azure d’un client
- TDE SQL Server dans une machine virtuelle Azure
- Chiffrement du stockage Azure côté client
- SQL Server et Azure SQL DB Always Encrypted
Étapes suivantes
L'HSM dédié est un service hautement spécialisé. Par conséquent, nous vous recommandons de bien comprendre les concepts clés de cet ensemble de documentation, notamment les tarifs, le support et les contrats de niveau de service.
Les guides d’intégration Thales vous aident à faciliter l’approvisionnement de HSM dans un environnement de réseau virtuel existant. Il existe également des guides pratiques pour vous aider à déterminer comment configurer votre architecture de déploiement.