Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
O HSM Dedicado do Azure está sendo desativado. A Microsoft dará suporte total aos clientes HSM dedicados existentes até 31 de julho de 2028. Nenhuma nova integração de cliente é aceita. Para obter detalhes completos e ações necessárias, consulte a atualização oficial do Azure.
Se você for um usuário do HSM dedicado do Azure, consulte Migrar do HSM Dedicado do Azure para o HSM Gerenciado do Azure ou o HSM de Nuvem do Azure. O HSM de Nuvem do Azure agora está em disponibilidade geral e o sucessor do HSM Dedicado do Azure.
Novos clientes devem avaliar e integrar o Azure Cloud HSM, O HSM Gerenciado do Azure ou o Azure Key Vault com base em seus requisitos de carga de trabalho. Para obter diretrizes, consulte Como escolher a solução de gerenciamento de chaves do Azure correta.
O HSM Dedicado do Azure é um serviço do Azure que fornece armazenamento de chaves criptográficas no Azure. O HSM dedicado atende aos requisitos de segurança mais rigorosos. É a solução ideal para clientes que exigem dispositivos validados fips 140-2 nível 3 e controle completo e exclusivo do dispositivo HSM.
Os dispositivos HSM são implantados globalmente em várias regiões do Azure. Eles podem ser facilmente provisionados como um par de dispositivos e configurados para alta disponibilidade. Os dispositivos HSM também podem ser provisionados entre regiões para assegurar contra a falha regional. A Microsoft fornece o serviço de HSM dedicado usando os aparelhos Thales Luna 7 modelo A790. Este dispositivo oferece os níveis mais altos de desempenho e opções de integração criptográfica.
Depois de provisionados, os dispositivos HSM são conectados diretamente à rede virtual de um cliente. Eles também podem ser acessados por ferramentas de gerenciamento e aplicativos locais quando você configura a conectividade VPN ponto a site ou site a site. Os clientes obtêm o software e a documentação para configurar e gerenciar dispositivos HSM no portal de suporte ao cliente da Thales.
Por que usar o HSM dedicado do Azure?
Conformidade FIPS 140-2 Nível 3
Muitas organizações têm regulamentações rigorosas do setor que determinam que as chaves criptográficas devem ser armazenadas em HSMs validados de Nível 3, FIPS 140-2. O HSM Dedicado do Azure e uma nova oferta de locatário único, o HSM Gerenciado do Azure Key Vault, ajudam clientes de vários segmentos do setor, como serviços financeiros, agências governamentais e outros a atenderem aos requisitos do FIPS 140-2 Nível-3. Embora o serviço Azure Key Vault multilocatário da Microsoft atualmente use HSMs validados FIPS 140-2 Nível 2.
Dispositivos de locatário único
Muitos de nossos clientes têm um requisito de locação única do dispositivo de armazenamento criptográfico. O serviço de HSM dedicado do Azure permite que eles provisionem um dispositivo físico de um dos datacenters distribuídos globalmente da Microsoft. Depois que ele for provisionado para um cliente, somente o cliente poderá acessar o dispositivo.
Controle administrativo completo
Muitos clientes exigem controle administrativo total e acesso exclusivo ao dispositivo para fins administrativos. Depois que um dispositivo é provisionado, somente o cliente tem acesso administrativo ou no nível do aplicativo ao dispositivo.
A Microsoft não tem controle administrativo depois que o cliente acessa o dispositivo pela primeira vez, momento em que o cliente altera a senha. A partir desse ponto, o cliente é um verdadeiro locatário único com controle administrativo completo e capacidade de gerenciamento de aplicativos. A Microsoft mantém acesso ao nível do monitor (não uma função de administrador) para fins de telemetria por meio da conexão de porta serial. Esse acesso abrange monitores de hardware, como temperatura, integridade do fornecimento de energia e integridade do ventilador.
O cliente é livre para desabilitar esse monitoramento necessário. No entanto, se desabilitá-lo, eles não receberão alertas proativos de saúde da Microsoft.
Alto desempenho
O dispositivo Thales foi selecionado para esse serviço por vários motivos. Ele oferece uma ampla gama de suporte a algoritmos criptográficos, diversos sistemas operacionais com suporte e amplo suporte à API. O modelo específico implantado oferece excelente desempenho com 10.000 operações por segundo para RSA-2048. Ele dá suporte a 10 partições que podem ser usadas para instâncias de aplicativo exclusivas. Esse dispositivo é um dispositivo de baixa latência, alta capacidade e alta taxa de transferência.
Oferta exclusiva baseada em nuvem
A Microsoft reconheceu uma necessidade específica de um conjunto exclusivo de clientes. É o único provedor de nuvem que oferece aos novos clientes um serviço de HSM dedicado que é validado por FIPS 140-2 Nível 3 e oferece tal extensão da integração de aplicativos local e baseada em nuvem.
O HSM Dedicado do Azure é certo para você?
O HSM Dedicado do Azure é um serviço especializado que atende a requisitos exclusivos para um tipo específico de organização em grande escala. Como resultado, espera-se que a maior parte dos clientes do Azure não se ajuste ao perfil de uso para esse serviço. Muitos acham que o Azure Key Vault ou o serviço HSM Gerenciado do Azure são mais apropriados e econômicos. Para ajudá-lo a decidir se ele é adequado para seus requisitos, identificamos os critérios a seguir.
Melhor ajuste
O HSM Dedicado do Azure é mais adequado para cenários de “lift-and-shift” que exigem acesso direto e exclusivo a dispositivos HSM. Os exemplos incluem:
- Migração de aplicativos locais para Máquinas Virtuais do Azure
- Migrando aplicativos do Amazon AWS EC2 para máquinas virtuais que usam o serviço AWS Cloud HSM Classic (a Amazon não está oferecendo esse serviço para novos clientes)
- Execução de software compactado, como Apache/Ngnix SSL Offload, Oracle TDE e ADCS, em Máquinas Virtuais do Azure
Inadequado
O HSM Dedicado do Azure não é adequado para o seguinte tipo de cenário: serviços em nuvem da Microsoft que dão suporte à criptografia com chaves gerenciadas pelo cliente (como Proteção de Informações do Azure, Azure Disk Encryption, Azure Data Lake Storage, Armazenamento do Microsoft Azure, Banco de Dados SQL do Azure e Chave de Cliente do Office 365) que não estão integrados ao HSM Dedicado do Azure.
Observação
Os clientes devem ter um Gerenciador de Contas da Microsoft atribuído e atender ao requisito monetário de US$ 5 milhões (US$ 5 milhões) ou mais em receita geral confirmada do Azure anualmente para se qualificarem para integração e uso do HSM Dedicado do Azure.
Depende
Se o HSM Dedicado do Azure funciona para você depende de uma combinação potencialmente complexa de requisitos e compromissos que você pode ou não fazer. Um exemplo é o requisito FIPS 140-2 Nível 3. Esse requisito é comum, e o HSM dedicado do Azure e uma nova oferta de locatário único, o HSM Gerenciado do Azure Key Vault são atualmente as únicas opções para atender a ele. Se esses requisitos obrigatórios não forem relevantes, geralmente é uma opção entre o Azure Key Vault e o HSM Dedicado do Azure. Avalie seus requisitos antes de tomar uma decisão.
As situações em que você precisa avaliar suas opções incluem:
- Novo código em execução na máquina virtual do Azure de um cliente
- TDE do SQL Server em uma máquina virtual do Azure
- Criptografia de cliente do Armazenamento do Azure
- SQL Server e Banco de Dados SQL do Azure Always Encrypted
Próximas etapas
O HSM dedicado é um serviço altamente especializado. Portanto, recomendamos que você entenda completamente os principais conceitos neste conjunto de documentação, incluindo preços, suporte e contratos de nível de serviço.
Os guias de integração do Thales ajudam você a facilitar o provisionamento de HSMs em um ambiente de rede virtual existente. Há também guias de instruções para ajudá-lo a determinar como configurar sua arquitetura de implantação.