Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Dedykowany moduł HSM platformy Azure jest wycofywany. Firma Microsoft będzie w pełni obsługiwać istniejących klientów dedykowanego modułu HSM do 31 lipca 2028 r. Nie są akceptowane żadne nowe dołączania klientów. Aby uzyskać szczegółowe informacje i wymagane akcje, zobacz oficjalną aktualizację platformy Azure.
Jeśli jesteś użytkownikiem dedykowanego modułu HSM platformy Azure, zobacz Migrowanie z dedykowanego modułu HSM platformy Azure do zarządzanego modułu HSM platformy Azure lub modułu HSM w chmurze platformy Azure. Moduł HSM w chmurze platformy Azure jest teraz ogólnie dostępny i następca dedykowanego modułu HSM platformy Azure.
Nowi klienci powinni oceniać i dołączać do modułu HSM w chmurze platformy Azure, zarządzanego modułu HSM platformy Azure lub usługi Azure Key Vault w oparciu o wymagania dotyczące obciążenia. Aby uzyskać wskazówki, zobacz Jak wybrać odpowiednie rozwiązanie do zarządzania kluczami platformy Azure.
Dedykowany moduł HSM platformy Azure to usługa platformy Azure, która zapewnia magazyn kluczy kryptograficznych na platformie Azure. Dedykowany moduł HSM spełnia najbardziej rygorystyczne wymagania dotyczące zabezpieczeń. Jest to idealne rozwiązanie dla klientów, którzy wymagają urządzeń zweryfikowanych w trybie FIPS 140-2 poziom 3 oraz pełnej i wyłącznej kontroli nad urządzeniem HSM.
Urządzenia HSM są wdrażane globalnie w kilku regionach świadczenia usługi Azure. Można je łatwo aprowizować jako parę urządzeń i skonfigurować pod kątem wysokiej dostępności. Urządzenia HSM można również aprowizować w różnych regionach, aby zabezpieczyć przed awarią na poziomie regionalnym. Firma Microsoft dostarcza dedykowaną usługę HSM przy użyciu urządzeń firmy Thales Luna 7 HSM A790 . To urządzenie oferuje najwyższy poziom wydajności i opcji integracji kryptograficznych.
Po aprowizacji urządzenia HSM są połączone bezpośrednio z siecią wirtualną klienta. Dostęp do nich można również uzyskać za pomocą lokalnych aplikacji i narzędzi do zarządzania podczas konfigurowania łączności sieci VPN typu punkt-lokacja lub lokacja-lokacja. Klienci uzyskują oprogramowanie i dokumentację do konfiguracji i zarządzania urządzeniami HSM z portalu pomocy technicznej klienta firmy Thales.
Dlaczego warto używać dedykowanego modułu HSM platformy Azure?
Zgodność ze standardem FIPS 140-2 poziom 3
Wiele organizacji ma rygorystyczne przepisy branżowe, które określają, że klucze kryptograficzne muszą być przechowywane w zweryfikowanych modułach HSM fiPS 140-2 poziom-3 . Dedykowany moduł Azure HSM oraz nowa oferta z jedną dzierżawą, Azure Key Vault Managed HSM, pomagają klientom z różnych segmentów branżowych, takich jak branża usług finansowych, agencje rządowe i inne, spełniać wymagania FIPS 140-2 Level-3. Chociaż wielodostępna usługa Azure Key Vault firmy Microsoft obecnie używa zweryfikowanych modułów HSM ze standardem FIPS 140-2 Level-2.
Urządzenia jednego klienta
Wielu naszych klientów wymaga jednoosobowej dzierżawy urządzenia do przechowywania kryptograficznego. Usługa Dedykowanego modułu HSM platformy Azure umożliwia im aprowizację urządzenia fizycznego z jednego z globalnie rozproszonych centrów danych firmy Microsoft. Po przyznaniu urządzenia klientowi, tylko ten klient może uzyskać do niego dostęp.
Pełna kontrola administracyjna
Wielu klientów wymaga pełnej kontroli administracyjnej i wyłącznego dostępu do swojego urządzenia w celach administracyjnych. Po aprowizacji urządzenia tylko klient ma dostęp na poziomie aplikacji lub administracyjnej do urządzenia.
Firma Microsoft nie ma kontroli administracyjnej po tym, jak klient uzyskuje dostęp do urządzenia po raz pierwszy, w którym momencie klient zmienia hasło. Od tego momentu klient jest prawdziwym pojedynczym dzierżawcą z pełną kontrolą administracyjną i możliwością zarządzania aplikacjami. Firma Microsoft utrzymuje dostęp na poziomie monitora (nie rolę administratora) do telemetrii za pośrednictwem połączenia portu szeregowego. Ten dostęp obejmuje monitory sprzętowe, takie jak temperatura, kondycja zasilania i kondycja wentylatora.
Klient może wyłączyć wymagane monitorowanie. Jeśli jednak go wyłączy, nie będą otrzymywać proaktywnych alertów dotyczących kondycji od firmy Microsoft.
Wysoka wydajność
Urządzenie Thales zostało wybrane dla tej usługi z wielu powodów. Oferuje szeroką gamę obsługi algorytmów kryptograficznych, zróżnicowane obsługiwane systemy operacyjne i szeroką obsługę interfejsu API. Wdrożony konkretny model zapewnia doskonałą wydajność przy 10 000 operacji na sekundę dla RSA-2048. Obsługuje 10 partycji, których można używać w przypadku unikatowych wystąpień aplikacji. To urządzenie jest urządzeniem o małych opóźnieniach, dużej pojemności i wysokiej przepływności.
Unikatowa oferta oparta na chmurze
Firma Microsoft rozpoznała określoną potrzebę unikatowego zestawu klientów. Jest to jedyny dostawca usług w chmurze, który oferuje nowym klientom dedykowaną usługę HSM, która jest zweryfikowana przez standard FIPS 140-2 poziom 3 i oferuje taki zakres integracji aplikacji w chmurze i lokalnej.
Czy dedykowany moduł HSM platformy Azure jest odpowiedni dla Ciebie?
Dedykowany moduł HSM platformy Azure to wyspecjalizowana usługa, która spełnia unikatowe wymagania określonego typu organizacji na dużą skalę. W związku z tym oczekuje się, że większość klientów Azure nie będzie pasować do tego profilu użycia usługi. Wiele z tych usług uważa usługę Azure Key Vault lub Azure Managed HSM za bardziej odpowiednią i ekonomiczną. Aby pomóc w podjęciu decyzji, czy jest ona odpowiednia dla Twoich wymagań, zidentyfikowaliśmy następujące kryteria.
Najlepsze dopasowanie
Dedykowany moduł HSM platformy Azure jest najbardziej odpowiedni dla scenariuszy "lift-and-shift", które wymagają bezpośredniego i wyłącznego dostępu do urządzeń HSM. Oto kilka przykładów:
- Migrowanie aplikacji ze środowiska lokalnego do usługi Azure Virtual Machines
- Migrowanie aplikacji z usługi Amazon AWS EC2 do maszyn wirtualnych korzystających z klasycznej usługi AWS Cloud HSM (firma Amazon nie oferuje tej usługi nowym klientom)
- Uruchamianie oprogramowania w otoce, takiego jak Apache/Ngnix SSL Offload, Oracle TDE i ADCS, w usłudze Azure Virtual Machines
Nie pasuje
Dedykowany moduł HSM platformy Azure nie jest odpowiedni dla następującego typu scenariusza: usługi w chmurze firmy Microsoft, które obsługują szyfrowanie przy użyciu kluczy zarządzanych przez klienta (takich jak Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store, Azure Storage, Azure SQL Database i Klucz klienta dla usługi Office 365), które nie są zintegrowane z dedykowanym modułem HSM platformy Azure.
Uwaga / Notatka
Klienci muszą mieć przypisanego Menedżera kont Microsoft i spełnić wymóg pieniężny pięciu milionów (5 mln USD) USD lub większego całkowitego zatwierdzonego przychodu platformy Azure rocznie, aby kwalifikować się do dołączania i korzystania z dedykowanego modułu HSM platformy Azure.
To zależy
Niezależnie od tego, czy dedykowany moduł HSM platformy Azure działa, zależy od potencjalnie złożonej kombinacji wymagań i kompromisów, które można wykonać lub których nie można wykonać. Przykładem jest wymaganie FIPS 140-2 Poziom 3. To wymaganie jest typowe, a dedykowany moduł HSM platformy Azure i nowa oferta z jedną dzierżawą, zarządzane moduły HSM usługi Azure Key Vault są obecnie jedynymi opcjami ich spełnienia. Jeśli te wymagane wymagania nie są istotne, często jest to wybór między usługą Azure Key Vault i dedykowanym modułem HSM platformy Azure. Przed podjęciem decyzji oceń wymagania.
Sytuacje, w których trzeba rozważyć opcje, obejmują:
- Nowy kod uruchomiony na maszynie wirtualnej platformy Azure klienta
- Funkcja TDE programu SQL Server na maszynie wirtualnej platformy Azure
- Szyfrowanie po stronie klienta usługi Azure Storage
- Sql Server i Azure SQL DB Always Encrypted
Dalsze kroki
Dedykowany moduł HSM to wysoce wyspecjalizowana usługa. Dlatego zalecamy pełne zrozumienie kluczowych pojęć w tym zestawie dokumentacji, w tym cen, pomocy technicznej i umów dotyczących poziomu usług.
Przewodniki integracji firmy Thales ułatwiają aprowizację modułów HSM w istniejącym środowisku sieci wirtualnej. Istnieją również przewodniki z instrukcjami ułatwiające określenie sposobu konfigurowania architektury wdrażania.