ما المقصود بـ HSM المُدار في Azure Key Vault؟

مقالة
10/15/2024

هام

نحن نعمل على تحديث أسطول HSM إلى برنامج ثابت من المستوى 3 من FIPS 140-3 تم التحقق من صحته لكل من HSM المدار من Azure Key Vault وAzure Key Vault Premium. راجع التفاصيل الكاملة في تحديث البرنامج الثابت ل HSM المدار للأمان المحسن والامتثال.

Azure Key Vault Managed HSM (وحدة أمان الأجهزة) هي خدمة سحابية مدارة بالكامل ومتاحة بشكل كبير وذات مستأجر واحد ومتوافقة مع المعايير، حيث تمكنك من حماية مفاتيح التشفير لتطبيقاتك السحابية باستخدام HSMs المعتمدة لـ FIPS 140-2 Level 3. وهو واحد من العديد من حلول الإدارة الرئيسية في Azure.

للحصول على معلومات التسعير، راجع قسم تجمعات HSM المدارة في صفحة تسعير Azure Key Vault. للحصول على أنواع المفاتيح المدعومة، راجع حول المفاتيح.

مصطلح "مثيل HSM المُدار" هو مرادف لـ "مجموعة HSM المُدارة". ولتجنب الخلط، نستخدم "مثيل HSM المُدار" في كافة هذه المقالات.

إشعار

ثقة معدومة هي استراتيجية أمنية تتكون من ثلاثة مبادئ: "التحقق بشكل صريح" و"استخدام الوصول الأقل امتيازا" و"افتراض الخرق". تدعم حماية البيانات، بما في ذلك إدارة المفاتيح، مبدأ "استخدام الوصول الأقل امتيازا". لمزيد من المعلومات، راجع ما هي ثقة معدومة؟

لماذا استخدام HSM المدار؟

HSM كخدمة مُدارة بالكامل، ومتاحة للغاية، ومستأجر فردي

مدارة بالكامل: تتعامل الخدمة مع توفير HSM وتكوينه وتصحيحه وصيانته.
متوفر بشكل كبير: تتكون كل مجموعة HSM من أقسام HSM متعددة. إذا فشل الجهاز، يتم ترحيل أقسام الأعضاء لمجموعة HSM تلقائيا إلى عقد سليمة. لمزيد من المعلومات، راجع اتفاقية مستوى خدمة HSM المدارة
مستأجر واحد: كل مثيل HSM مدار مخصص لعميل واحد ويتكون من مجموعة من أقسام HSM متعددة. تستخدم كل مجموعة HSM مجال أمان منفصل خاص بالعميل يعزل بشكل مشفر مجموعة HSM لكل عميل.

التحكم في الوصول وحماية البيانات المحسنة والامتثال

إدارة المفاتيح المركزية: إدارة المفاتيح الهامة وعالية القيمة عبر مؤسستك في مكان واحد. باستخدام الأذونات الدقيقة لكل مفتاح، يمكنك التحكم في الوصول إلى كل مفتاح وفقًا لمبدأ "الوصول الأقل امتيازًا".
التحكم في الوصول المعزول: يسمح نموذج التحكم في الوصول "المحلي RBAC" ل HSM المدار لمسؤولي مجموعة HSM المعينين بالتحكم الكامل في HSMs التي لا يمكن حتى لمسؤولي مجموعة الإدارة أو الاشتراك أو مجموعة الموارد تجاوزها.
نقاط النهاية الخاصة: استخدم نقاط النهاية الخاصة للاتصال بشكل آمن وخاصة ب HSM المدار من تطبيقك الذي يعمل في شبكة ظاهرية.
FIPS 140-2 المستوى 3 HSMs التي تم التحقق من صحتها: حماية بياناتك وتلبية متطلبات التوافق مع FIPS (معيار حماية البيانات الفيدرالي) 140-2 المستوى 3 HSMs المتحقق منها. تستخدم HSMs المُدارة محولات Marvell LiquidSecurity HSM.
المراقبة والتدقيق: متكامل تماما مع Azure monitor. احصل على سجلات كاملة لجميع الأنشطة عبر Azure Monitor. استخدم Azure Log Analytics للتحليلات والتنبيهات.
موقع البيانات: لا يقوم HSM المدار بتخزين/معالجة بيانات العميل خارج المنطقة التي ينشر فيها العميل مثيل HSM.

متكامل مع خدمات Azure وMicrosoft PaaS / SaaS

أنشئ (أو استورد باستخدام مفاتيح ⁧⁩ BYOK ⁧⁩) واستخدمها لتشفير بياناتك غير النشطة في خدمات Azure مثل ⁧⁩ تخزين Azure ⁧⁩ و ⁩ Azure SQL ⁧⁩ و⁧⁩ حماية المعلومات في Azure ⁧⁩و مفتاح العميل لـ Microsoft 365. للحصول على قائمة أكثر اكتمالا بخدمات Azure التي تعمل مع HSM المدار، راجع نماذج تشفير البيانات.

يستخدم نفس واجهات API والإدارة مثل Key Vault

قم بترحيل التطبيقات الموجودة التي تستخدم مخزنا (متعدد المستأجرين) بسهولة لاستخدام HSMs المدارة.
استخدم نفس أنماط تطوير التطبيقات ونشرها لجميع تطبيقاتك بغض النظر عن حل الإدارة الرئيسي قيد الاستخدام: خزائن متعددة المستأجرين أو HSMs المدارة لمستأجر واحد.

استيراد المفاتيح من وحدات HSM المحلية خاصتك

قم بإنشاء مفاتيح محمية بـ HSM في HSM المحلي واستوردها بأمان إلى HSM المُدار.

الخطوات التالية

إدارة المفاتيح في Azure
للحصول على التفاصيل التقنية، راجع كيف تنفذ HSM المدارة السيادة الرئيسية والتوافر والأداء وقابلية التوسع دون مفاضلات
راجع التشغيل السريع: توفير وتنشيط HSM مدار باستخدام Azure CLI لإنشاء وتنشيط HSM مدار
أساس أمان Azure Managed HSM
راجع أفضل الممارسات باستخدام Azure Key Vault Managed HSM
حالة HSM المدارة
اتفاقية مستوى خدمة HSM المدارة
توفر منطقة HSM المدارة
ما هو ثقة معدومة؟

مشاركة عبر