إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
Important
يتم إيقاف Azure Dedicated HSM. ستدعم Microsoft عملاء HSM المخصصين الحاليين بشكل كامل حتى 31 يوليو 2028. لا يتم قبول أي عملاء جدد. للحصول على التفاصيل الكاملة والإجراءات المطلوبة، راجع تحديث Azure الرسمي.
إذا كنت من مستخدمي Azure Dedicated HSM، فراجع الترحيل من Azure Dedicated HSM إلى Azure Managed HSM أو Azure Cloud HSM. يتوفر Azure Cloud HSM الآن بشكل عام وخليفة Azure Dedicated HSM.
يجب على العملاء الجدد تقييم Azure Cloud HSM أو Azure Managed HSM أو Azure Key Vault وإلحاقهم به استنادا إلى متطلبات حمل العمل الخاصة بهم. للحصول على إرشادات، راجع كيفية اختيار حل إدارة مفتاح Azure الصحيح.
Azure Dedicated HSM هي خدمة Azure توفر تخزين مفتاح التشفير في Azure. يلبي Dedicated HSM متطلبات الأمان الأكثر صرامة. إنه الحل المثالي للعملاء الذين يحتاجون إلى أجهزة FIPS 140-2 من المستوى 3 والتحكم الكامل والحصري لجهاز HSM.
يتم نشر أجهزة HSM عالميا عبر العديد من مناطق Azure. يمكن توفيرها بسهولة كزوج من الأجهزة وتكوينها لقابلية وصول عالية. يمكن أيضا توفير أجهزة HSM عبر المناطق لضمان مواجهة تجاوز الفشل على المستوى الإقليمي. تقدم Microsoft خدمة Dedicated HSM باستخدام أجهزة Thales Luna 7 HSM طراز A790 . يقدم هذا الجهاز أعلى مستويات الأداء وخيارات تكامل التشفير.
بعد توفيرها، يتم توصيل أجهزة HSM مباشرة بالشبكة الظاهرية للعميل. يمكن الوصول إليها أيضا بواسطة أدوات الإدارة والتطبيقات المحلية عند تكوين اتصال VPN من نقطة إلى موقع أو من موقع إلى موقع. يحصل العملاء على البرامج والوثائق لتكوين أجهزة HSM وإدارتها من مدخل دعم عملاء Thales.
لماذا تستخدم Azure Dedicated HSM؟
توافق FIPS 140-2 المستوى 3
لدى العديد من المؤسسات لوائح صناعية صارمة تملي تخزين مفاتيح التشفير في FIPS 140-2 المستوى 3 HSMs المتحقق منها. يساعد Azure Dedicated HSM وعرض مستأجر واحد جديد، Azure Key Vault Managed HSM، العملاء من مختلف قطاعات الصناعة، مثل صناعة الخدمات المالية والوكالات الحكومية وغيرها على تلبية متطلبات FIPS 140-2 المستوى 3. بينما تستخدم خدمة Azure Key Vault متعددة المستأجرين من Microsoft حاليا FIPS 140-2 Level-2 HSMs التي تم التحقق من صحتها.
أجهزة المستأجر الفردي
العديد من عملائنا لديهم متطلبات لإيجار واحد لجهاز تخزين التشفير. تمكنهم خدمة Azure Dedicated HSM من توفير جهاز فعلي من أحد مراكز البيانات الموزعة عالميا من Microsoft. بعد توفيره للعميل، يمكن لهذا العميل فقط الوصول إلى الجهاز.
التحكم الإداري الكامل
يحتاج العديد من العملاء إلى التحكم الإداري الكامل والوصول الوحيد إلى أجهزتهم لأغراض إدارية. بعد توفير جهاز، يكون للعميل فقط حق الوصول الإداري أو على مستوى التطبيق إلى الجهاز.
لا تملك Microsoft أي تحكم إداري بعد وصول العميل إلى الجهاز للمرة الأولى، وعند هذه النقطة يغير العميل كلمة المرور. من هذه النقطة، العميل هو مستأجر واحد حقيقي مع التحكم الإداري الكامل والقدرة على إدارة التطبيقات. تحتفظ Microsoft بالوصول على مستوى المراقبة (وليس دور المسؤول) للقياس عن بعد عبر اتصال المنفذ التسلسلي. يغطي هذا الوصول أجهزة عرض الأجهزة مثل درجة الحرارة وصحة مزود الطاقة وصحة المروحة.
العميل حر في تعطيل هذه المراقبة المطلوبة. ومع ذلك، إذا قاموا بتعطيله، فلن يتلقوا تنبيهات صحية استباقية من Microsoft.
أداء عالٍ
تم تحديد جهاز Thales لهذه الخدمة لأسباب متعددة. وهو يوفر مجموعة واسعة من دعم خوارزمية التشفير وأنظمة التشغيل المتنوعة المدعومة ودعم واجهة برمجة التطبيقات الواسع. يقدم النموذج المحدد الذي تم نشره أداء ممتازا مع 10000 عملية في الثانية ل RSA-2048. وهو يدعم 10 أقسام يمكن استخدامها لمثيلات التطبيق الفريدة. هذا الجهاز هو زمن انتقال منخفض وسعة عالية وجهاز معدل نقل عال.
عرض فريد قائم على السحابة
تعرفت Microsoft على حاجة محددة لمجموعة فريدة من العملاء. إنه موفر السحابة الوحيد الذي يقدم للعملاء الجدد خدمة HSM مخصصة يتم التحقق من صحتها من المستوى 3 FIPS 140-2 وتوفر هذا النطاق من تكامل التطبيقات المستندة إلى السحابة والأماكن المحلية.
هل Azure Dedicated HSM مناسب لك؟
Azure Dedicated HSM هي خدمة متخصصة تعالج متطلبات فريدة لنوع معين من المؤسسة واسعة النطاق. ونتيجة لذلك، من المتوقع أن الجزء الأكبر من عملاء Azure لن يتناسب مع ملف تعريف الاستخدام لهذه الخدمة. يجد الكثيرون أن Azure Key Vault أو خدمة Azure Managed HSM أكثر ملاءمة وفعالية من حيث التكلفة. لمساعدتك في تحديد ما إذا كان مناسبا لمتطلباتك، حددنا المعايير التالية.
الأنسب
Azure Dedicated HSM هو الأكثر ملاءمة لسيناريوهات "الرفع والتحويل" التي تتطلب الوصول المباشر والوحيد إلى أجهزة HSM. تتضمن الأمثلة ما يلي:
- ترحيل التطبيقات من الداخل إلى الأجهزة الظاهرية لــ Azure
- ترحيل التطبيقات من Amazon AWS EC2 إلى الأجهزة الظاهرية التي تستخدم خدمة AWS Cloud HSM Classic (لا تقدم Amazon هذه الخدمة للعملاء الجدد)
- تشغيل برامج shrink-wrapped مثل Apache/Ngnix SSL Offload, Oracle TDE, and ADCS علي الأجهزة الظاهرية
غير مناسب
Azure Dedicated HSM ليس مناسبا للنوع التالي من السيناريوهات: خدمات Microsoft السحابية التي تدعم التشفير باستخدام المفاتيح المدارة من قبل العميل (مثل Azure Information Protection، Azure Disk Encryption، Azure Data Storage Store، Azure SQL Database، وCustomer Key for Microsoft 365) التي لا يتم دمجها مع Azure Dedicated HSM.
Note
يجب أن يكون لدى العملاء مدير حساب Microsoft معين وأن يستوفوا المتطلبات النقدية البالغة خمسة ملايين دولار أمريكي (5 ملايين دولار أمريكي) أو أكثر في إجمالي إيرادات Azure الملتزم بها سنويا للتأهل للإلحاق واستخدام Azure Dedicated HSM.
لم تكن ذات أهمية
يعتمد ما إذا كان Azure Dedicated HSM يعمل نيابة عنك على مزيج معقد محتمل من المتطلبات والحلول الوسط التي يمكنك أو لا يمكنك إجراؤها. مثال على ذلك هو متطلبات FIPS 140-2 المستوى 3. هذا المطلب شائع، وAzure Dedicated HSM وعرض مستأجر واحد جديد، يعد Azure Key Vault Managed HSM حاليا الخيارات الوحيدة لمقابلته. إذا لم تكن هذه المتطلبات المخولة ذات صلة، فغالبا ما يكون ذلك خيارا بين Azure Key Vault وAzure Dedicated HSM. تقييم متطلباتك قبل اتخاذ قرار.
تتضمن الحالات التي يجب عليك فيها تقييم خياراتك ما يلي:
- تعليمة برمجية جديدة قيد التشغيل في جهاز Azure الظاهري للعميل
- SQL Server TDE في جهاز ظاهري Azure
- التشفير من جانب العميل في Azure Storage
- SQL Server وAzure SQL DB Always Encrypted
الخطوات التالية
Dedicated HSM هي خدمة متخصصة للغاية. لذلك، نوصي بأن تفهم تماما المفاهيم الرئيسية في مجموعة الوثائق هذه، بما في ذلك التسعير والدعم واتفاقيات مستوى الخدمة.
تساعدك أدلة تكامل Thales على تسهيل توفير HSMs في بيئة شبكة ظاهرية موجودة. هناك أيضا أدلة إرشادية لمساعدتك في تحديد كيفية إعداد بنية التوزيع الخاصة بك.