Co je Managed HSM služby Azure Key Vault?

  • Článek

Spravovaný HSM služby Azure Key Vault (modul hardwarového zabezpečení) je plně spravovaná, vysoce dostupná cloudová služba kompatibilní se standardy, která umožňuje chránit kryptografické klíče pro vaše cloudové aplikace pomocí ověřených modulů HSM úrovně 3 FIPS 140-2. Jedná se o jedno z několika řešení pro správu klíčů v Azure.

Informace o cenách najdete v části Spravované fondy HSM na stránce s cenami služby Azure Key Vault. Podporované typy klíčů najdete v tématu O klíčích.

Termín "Spravovaná instance HSM" je synonymem spravovaného fondu HSM. Abychom se vyhnuli nejasnostem, používáme v těchto článcích spravovanou instanci HSM.

Poznámka:

nulová důvěra (Zero Trust) je strategie zabezpečení, která obsahuje tři principy: "Ověřit explicitně", "Použít přístup s nejnižšími oprávněními" a "Předpokládat porušení zabezpečení". Ochrana dat, včetně správy klíčů, podporuje princip "použití přístupu s nejnižšími oprávněními". Další informace najdete v tématu Co je nulová důvěra (Zero Trust)?

Proč používat managed HSM?

Plně spravované, vysoce dostupné HSM s jedním tenantem jako služba

  • Plně spravované: Služba zajišťuje zřizování, konfiguraci, opravy a údržbu HSM.
  • Vysoká dostupnost: Každý cluster HSM se skládá z několika oddílů HSM. Pokud hardware selže, členské oddíly clusteru HSM se automaticky migrují na uzly, které jsou v pořádku. Další informace najdete v tématu Smlouva o úrovni služeb spravovaného HSM.
  • Jeden tenant: Každá spravovaná instance HSM je vyhrazená jednomu zákazníkovi a skládá se z clusteru několika oddílů HSM. Každý cluster HSM používá samostatnou doménu zabezpečení specifickou pro zákazníky, která kryptograficky izoluje cluster HSM každého zákazníka.

Řízení přístupu, vylepšená ochrana dat a dodržování předpisů

  • Centralizovaná správa klíčů: Správa důležitých klíčů s vysokou hodnotou v celé organizaci na jednom místě S podrobnými oprávněními ke klíči můžete řídit přístup ke každému klíči na principu "nejnižšího privilegovaného přístupu".
  • Izolované řízení přístupu: Model řízení přístupu spravovaného HSM "local RBAC" umožňuje určeným správcům clusteru HSM úplnou kontrolu nad moduly HSM, které nemůžou přepsat ani skupiny pro správu, předplatné nebo správce skupin prostředků.
  • Privátní koncové body: Používejte privátní koncové body k bezpečnému a privátnímu připojení ke spravovanému HSM z vaší aplikace spuštěné ve virtuální síti.
  • Ověření HSM úrovně 3 standardem FIPS 140-2: Chraňte svá data a splňovat požadavky na dodržování předpisů pomocí standardu FIPS (Federal Information Protection Standard) 140–2 Level 3 ověřených HSM. Spravované moduly HSM používají adaptéry HSM Marvell LiquidSecurity.
  • Monitorování a audit: plně integrovaná se službou Azure Monitor. Získejte kompletní protokoly všech aktivit prostřednictvím služby Azure Monitor. K analýze a upozorněním použijte Azure Log Analytics.
  • Rezidence dat: Spravovaný HSM neukládá a nezpracuje zákaznická data mimo oblast, do které zákazník nasadí instanci HSM.

Integrované se službami Azure a Microsoft PaaS/SaaS

Používá stejná rozhraní API a správu jako Key Vault.

  • Snadno migrujte stávající aplikace, které používají trezor (více tenantů) k používání spravovaných HSM.
  • Pro všechny aplikace používejte stejné vzory vývoje a nasazení aplikací bez ohledu na používané řešení správy klíčů: trezory s více tenanty nebo moduly HSM spravované s jedním tenantem.

Import klíčů z místních hsM

  • Vygenerujte klíče chráněné hsm v místním modulu HSM a bezpečně je naimportujte do spravovaného HSM.

Další kroky