Microsoft Azure Cloud HSM 是高可用性的 FIPS 140-3 層級 3 驗證的單一租用戶服務,符合業界標準。 Azure 雲端 HSM 授予客戶對其硬體安全模組(HSM)的完整管理控制權。 它提供安全且客戶擁有的 HSM 叢集,用於儲存密碼編譯密鑰和執行密碼編譯作業。
Azure 雲端 HSM 支援各種應用程式,包括 PKCS#11、卸除安全套接字層 (SSL) 或傳輸層安全性 (TLS) 處理、證書頒發機構單位 (CA) 私鑰保護,以及透明數據加密 (TDE)。 它也支援檔和程式代碼簽署。
為何要使用 Azure 雲端 HSM?
完全受控的解決方案
許多客戶需要對其 HSM 進行系統管理控制,但不希望承擔叢集管理中涉及高可用性、修補和維護的額外負擔和輔助成本。 Azure 雲端 HSM 客戶可以透過他們的虛擬網路專屬私人連結,安全且直接地存取位於 HSM 叢集中的 HSM 實例,並且全程端對端加密。
客戶布建 Azure 雲端 HSM 叢集之後,客戶會維護其 HSM 的系統管理存取權。 Azure 雲端 HSM 服務負責高可用性、修補和維護。
客戶擁有、高可用性、單一租用戶 HSM 即服務
Azure 雲端 HSM 會將多個 HSM 群組至 HSM 叢集,以提供高可用性和備援。 服務會自動跨每個 HSM 執行個體同步金鑰和原則。
每個 HSM 叢集都包含三個 HSM 分割區。 如果 HSM 資源變成無法使用,則 HSM 叢集的成員分割區會自動且安全地遷移至狀況良好的節點。
Azure 雲端 HSM 叢集支持密碼編譯作業的負載平衡。 定期 HSM 備份有助於確保安全且簡單的數據復原。
資料駐留:Cloud HSM 不會在客戶部署 HSM 執行個體的區域之外儲存或處理客戶資料。
單一租用戶 HSM 叢集
每個 Azure 雲端 HSM 實例都專用於單一客戶。 每個 HSM 叢集都會使用個別的客戶特定安全性網域,以密碼編譯方式隔離它。
FIPS 140-3 層級 3 合規性
許多組織都有嚴格的產業法規,規定密碼編譯密鑰必須儲存在 FIPS 140-3 層級 3 驗證的 HSM 中。 Azure 雲端 HSM 可協助來自各種產業區段的客戶(金融服務產業、政府機構和其他部門)符合這些 FIPS 需求。
Azure Cloud HSM 適用性
Azure Cloud HSM 支援:
- PKCS#11、OpenSSL、Java 密碼編譯架構 (JCA)、Java 密碼編譯延伸模組 (JCE)、密碼編譯 API:新一代 (CNG) 和密鑰儲存提供者 (KSP)。
- Active Directory 憑證服務 (AD CS) 。
- SSL/TLS 卸載(Apache 或 NGINX)。
- TDE (Microsoft SQL Server 或 Oracle)。
- 憑證記憶體
- 檔、檔案和程式代碼簽署。
Azure Cloud HSM 不是:
- 裸機 HSM 設備。
- 秘密商店。
- 憑證生命週期管理的供應項目。
最適用
Azure Cloud HSM 最適合下列類型的案例:
- 將應用程式從內部部署遷移至 Azure 虛擬機器
- 從 Azure 專用 HSM 或 AWS 雲端 HSM 移轉應用程式
- 支援需要 PKCS#11 的應用程式
- 在 Azure 虛擬機器中執行壓縮包裝的軟體,例如 Apache 或 NGINX SSL 卸載、SQL Server 或 Oracle TDE 和 AD CS
不適合
Azure 雲端 HSM 不會與其他平臺即服務 (PaaS) 或軟體即服務 (SaaS) Azure 服務整合。 Azure 雲端 HSM 僅限基礎結構即服務(IaaS)。
Azure 雲端 HSM 不適合需要支援使用客戶自控密鑰加密的Microsoft雲端服務。 這些服務包括 Azure 資訊保護、Azure 磁碟加密、Azure Data Lake Storage、Azure 記憶體,以及Microsoft Purview 客戶密鑰。 在這些案例中,客戶應該使用 Azure Key Vault 受控 HSM。
相關內容
這些資源可協助您在現有的虛擬網路環境中布建和設定 HSM: