Co je Azure Dedicated HSM?
Azure Dedicated HSM je služba Azure, která poskytuje kryptografické úložiště klíčů v Azure. Dedicated HSM splňuje ty nejnáročnější požadavky na zabezpečení. Je to ideální řešení pro zákazníky, kteří vyžadují zařízení s ověřením úrovně 140-2 FIPS 140-2 a kompletní a výhradní kontrolu nad zařízením HSM.
Zařízení HSM se nasazují globálně napříč několika oblastmi Azure. Dají se snadno zřídit jako dvojice zařízení a nakonfigurovat je pro zajištění vysoké dostupnosti. Zařízení HSM je také možné zřídit napříč oblastmi, aby se zajistilo převzetí služeb při selhání na regionální úrovni. Microsoft dodává službu Dedicated HSM pomocí zařízení A790 hsM modelu Thales Luna 7 HSM. Toto zařízení nabízí nejvyšší úrovně výkonu a kryptografické integrace.
Po zřízení se zařízení HSM připojí přímo k virtuální síti zákazníka. K nim mají přístup také místní nástroje pro správu a aplikace při konfiguraci připojení VPN typu point-to-site nebo site-to-site. Zákazníci získají software a dokumentaci ke konfiguraci a správě zařízení HSM z portálu zákaznické podpory Thales.
Proč používat Azure Dedicated HSM?
Dodržování předpisů FIPS 140-2 úrovně 3
Řada organizací má přísné oborové předpisy, které určují, že kryptografické klíče musí být uložené v modulech HSM ověřených standardem FIPS 140-2 Level-3 . Azure Dedicated HSM a nová nabídka s jedním tenantem, spravovaný HSM služby Azure Key Vault, pomáhá zákazníkům z různých oborových segmentů, jako je odvětví finančních služeb, vládní agentury a další, splňují požadavky FIPS 140-2 Level-3. Zatímco služba Azure Key Vault s více tenanty Microsoftu aktuálně používá ověřené moduly HSM úrovně 140-2 FIPS 140-2.
Zařízení s jedním tenantem
Mnozí naši zákazníci mají požadavek na jednu tenantku kryptografického úložného zařízení. Služba Azure Dedicated HSM jim umožňuje zřídit fyzické zařízení z jednoho z globálně distribuovaných datacenter Microsoftu. Po zřízení pro zákazníka má k zařízení přístup jenom tento zákazník.
Úplné řízení správy
Mnoho zákazníků vyžaduje úplné řízení správy a výhradní přístup ke svému zařízení pro účely správy. Po zřízení zařízení má k zařízení přístup na úrovni správce nebo aplikace pouze zákazník.
Microsoft nemá po prvním přístupu zákazníka k zařízení žádné řízení správy. V tomto okamžiku zákazník heslo změní. Od tohoto okamžiku je zákazník skutečným jedním tenantem s plnou kontrolou správy a schopností správy aplikací. Microsoft udržuje přístup na úrovni monitorování (ne roli správce) telemetrie prostřednictvím připojení sériového portu. Tento přístup pokrývá hardwarové monitory, jako je teplota, stav napájení a stav ventilátoru.
Zákazník může toto monitorování zakázat. Pokud ho ale zakáže, nebudou od Microsoftu dostávat proaktivní upozornění na stav.
Vysoký výkon
Zařízení Thales bylo pro tuto službu vybráno z různých důvodů. Nabízí širokou škálu podpory kryptografických algoritmů, řadu podporovaných operačních systémů a širokou podporu rozhraní API. Konkrétní nasazený model nabízí vynikající výkon s 10 000 operacemi za sekundu pro RSA-2048. Podporuje 10 oddílů, které je možné použít pro jedinečné instance aplikace. Toto zařízení má nízkou latenci, vysokou kapacitu a zařízení s vysokou propustností.
Jedinečná cloudová nabídka
Společnost Microsoft rozpoznala konkrétní potřebu jedinečné sady zákazníků. Jedná se o jediného poskytovatele cloudu, který nabízí novým zákazníkům vyhrazenou službu HSM, která je ověřená úrovní FIPS 140-2 Level 3 a nabízí takovou rozsah cloudové a místní integrace aplikací.
Je pro vás Azure Dedicated HSM vhodné?
Azure Dedicated HSM je specializovaná služba, která řeší jedinečné požadavky pro konkrétní typ rozsáhlé organizace. V důsledku toho se očekává, že většina zákazníků Azure nebude odpovídat profilu použití této služby. Mnohé z nich najdou službu Azure Key Vault nebo Azure Managed HSM, aby byla vhodnější a nákladově efektivnější. Abychom vám pomohli se rozhodnout, jestli se hodí pro vaše požadavky, identifikovali jsme následující kritéria.
Nejlepší přizpůsobení
Azure Dedicated HSM je nejvhodnější pro scénáře "lift and shift", které vyžadují přímý a jediný přístup k zařízením HSM. Příkladem může být:
- Migrace aplikací z místního prostředí na Azure Virtual Machines
- Migrace aplikací z Amazon AWS EC2 na virtuální počítače, které používají službu AWS Cloud HSM Classic (Amazon nenabízí tuto službu novým zákazníkům)
- Spouštění zmenšovaného softwaru, jako je Apache/Ngnix SSL Offload, Oracle TDE a ADCS ve službě Azure Virtual Machines
Není vhodné
Azure Dedicated HSM není vhodný pro následující typ scénáře: cloudové služby Microsoftu, které podporují šifrování s klíči spravovanými zákazníkem (jako je Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store, Azure Storage, Azure SQL Database a klíč zákazníka pro Office 365), které nejsou integrované se službou Azure Dedicated HSM.
Poznámka:
Zákazníci musí mít přiřazeného Správce účtů Microsoftu a splnit peněžní požadavek 5 milionů USD (5 milionů USD) nebo vyšší v celkovém potvrzených výnosech Azure za rok, aby se mohli kvalifikovat k onboardingu a využívání služby Azure Dedicated HSM.
To záleží...
Bez ohledu na to, jestli azure Dedicated HSM bude fungovat za vás, závisí na potenciálně složité kombinaci požadavků a ohrožení, které můžete nebo nemůžete provést. Příkladem je požadavek FIPS 140-2 Level 3. Tento požadavek je běžný a Azure Dedicated HSM a nová nabídka s jedním tenantem, spravovaný HSM služby Azure Key Vault jsou v současné době jedinými možnostmi, jak ho splnit. Pokud tyto požadované požadavky nejsou relevantní, často se jedná o volbu mezi Službou Azure Key Vault a modulem HSM Dedicated. Před rozhodováním vyhodnoťte své požadavky.
Mezi situace, ve kterých budete muset zvážit své možnosti, patří:
- Nový kód spuštěný na virtuálním počítači Azure zákazníka
- Transparentní šifrování dat SQL Serveru na virtuálním počítači Azure
- Šifrování na straně klienta služby Azure Storage
- SQL Server a Azure SQL DB Always Encrypted
Další kroky
Jedná se o vysoce specializovanou službu. Proto doporučujeme, abyste plně porozuměli klíčovým konceptům v této sadě dokumentace, včetně cen, podpory a smluv o úrovni služeb.
Průvodci integrací Thales vám pomůžou usnadnit zřizování modulů hardwarového zabezpečení do stávajícího prostředí virtuální sítě. K dispozici jsou také návody, které vám pomůžou určit, jak nastavit architekturu nasazení.