بنية توزيع Azure Dedicated HSM
يوفر Azure Dedicated HSM تخزين مفتاح التشفير في Azure. وهو يفي بمتطلبات أمنية صارمة. سيستفيد العملاء من استخدام Azure Dedicated HSM إذا كانوا:
- يجب أن تفي بشهادة FIPS 140-2 المستوى 3
- طلب أن يكون لديهم حق الوصول الحصري إلى HSM
- يجب أن يكون لديهم تحكم كامل في أجهزتهم
يتم توزيع HSMs عبر مراكز بيانات Microsoft ويمكن توفيرها بسهولة كزوج من الأجهزة كأساس لحل متوفر بشكل كبير. كما يمكن توزيعها عبر المناطق لحل مرن للكوارث. يمكن التحقق من المناطق التي يتوفر فيها Dedicated HSM حاليا باستخدام صفحة المنتجات حسب المنطقة.
- شرق الولايات المتحدة
- East US 2
- غرب الولايات المتحدة
- منطقة غرب الولايات المتحدة الأمريكية 2
- شرق كندا
- كندا الوسطى
- جنوب وسط الولايات المتحدة
- جنوب شرق آسيا
- وسط الهند
- جنوب الهند
- شرق اليابان
- غرب اليابان
- شمال أوروبا
- غرب أوروبا
- جنوب المملكة المتحدة
- غرب المملكة المتحدة
- شرق أستراليا
- جنوب شرق أستراليا
- شمال سويسرا
- غرب سويسرا
- ولاية فرجينيا الأمريكية
- ولاية تكساس الأمريكية
تحتوي كل منطقة من هذه المناطق على رفوف HSM موزعة إما في مركزي بيانات مستقلين أو منطقتين مستقلتين على الأقل من مناطق التوفر. يحتوي جنوب شرق آسيا على ثلاث مناطق توفر وشرق الولايات المتحدة 2 له منطقتان. هناك ما مجموعه 23 منطقة في جميع أنحاء أوروبا وآسيا وأمريكا الشمالية التي تقدم خدمة Dedicated HSM. لمزيد من المعلومات حول مناطق Azure، راجع معلومات مناطق Azure الرسمية. بعض عوامل التصميم لأي حل مخصص يستند إلى HSM هي الموقع/زمن الانتقال والتوافر العالي والدعم للتطبيقات الموزعة الأخرى.
موقع الجهاز
موقع جهاز HSM الأمثل على مقربة من التطبيقات التي تقوم بعمليات التشفير. من المتوقع أن يكون زمن الانتقال داخل المنطقة مكونا من رقم واحد بالمللي ثانية. قد يكون زمن الانتقال عبر المناطق أعلى من هذا ب 5 إلى 10 مرات.
قابلية الوصول العالية
لتحقيق قابلية وصول عالية، يجب على العميل استخدام جهازي HSM في منطقة تم تكوينها باستخدام برنامج Thales كزوج قابلية وصول عالية. يضمن هذا النوع من التوزيع توفر المفاتيح إذا واجه جهاز واحد مشكلة تمنعه من معالجة عمليات المفاتيح. كما أنه يقلل بشكل كبير من المخاطر عند إجراء صيانة التوقف/الإصلاح مثل استبدال مزود الطاقة. من المهم أن يمثل التصميم أي نوع من الفشل على المستوى الإقليمي. يمكن أن تحدث حالات فشل على المستوى الإقليمي عندما تكون هناك كوارث طبيعية مثل الأعاصير أو الفيضانات أو الزلازل. يجب تخفيف هذه الأنواع من الأحداث عن طريق توفير أجهزة HSM في منطقة أخرى. قد يتم إقران الأجهزة المنشورة في منطقة أخرى معا عبر تكوين برنامج Thales. وهذا يعني أن الحد الأدنى للتوزيع لحل متوفر للغاية ومرونة في حالات الكوارث هو أربعة أجهزة HSM عبر منطقتين. يمكن استخدام التكرار المحلي والتكرار عبر المناطق كأساس لإضافة أي عمليات نشر إضافية لجهاز HSM لدعم زمن الانتقال أو السعة أو لتلبية المتطلبات الأخرى الخاصة بالتطبيق.
دعم التطبيق الموزع
عادة ما يتم نشر أجهزة HSM المخصصة لدعم التطبيقات التي تحتاج إلى إجراء عمليات تخزين المفاتيح واسترجاع المفاتيح. تحتوي أجهزة HSM المخصصة على 10 أقسام لدعم التطبيق المستقل. يجب أن يستند موقع الجهاز إلى عرض شامل لجميع التطبيقات التي تحتاج إلى استخدام الخدمة.
الخطوات التالية
بمجرد تحديد بنية التوزيع، سيتم توفير معظم أنشطة التكوين لتنفيذ تلك البنية بواسطة Thales. يتضمن ذلك تكوين الجهاز بالإضافة إلى سيناريوهات تكامل التطبيق. لمزيد من المعلومات، استخدم مدخل دعم عملاء Thales وقم بتنزيل أدلة الإدارة والتكوين. يحتوي موقع شريك Microsoft على مجموعة متنوعة من أدلة التكامل. يوصى بأن تكون جميع المفاهيم الرئيسية للخدمة، مثل قابلية الوصول العالية والأمان على سبيل المثال، مفهومة جيدا قبل توفير الجهاز أو تصميم التطبيق وتوزيعه. مواضيع أخرى على مستوى المفهوم: