Anmerkung
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen, dich anzumelden oder die Verzeichnisse zu wechseln.
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen , die Verzeichnisse zu wechseln.
Wichtig
Wir haben unsere HSM-Flotte auf eine FIPS 140-3-Stufe 3 überprüfte Firmware für Azure Key Vault Managed HSM und Azure Key Vault Premium aktualisiert. Ausführliche Informationen finden Sie unter Update der Managed HSM-Firmware für erweiterte Sicherheit und Compliance.
Azure Key Vault Managed HSM (Hardware Security Module) ist ein vollständig verwalteter, hochverwalteter, hochverwendiger, standardkonformer Clouddienst, der es Ihnen ermöglicht, kryptografische Schlüssel für Ihre Cloudanwendungen mithilfe von FIPS 140-3 Level 3 validierten HSMs zu schützen. Er ist eine von mehreren wichtigen Verwaltungslösungen in Azure.
Informationen zu den Preisen finden Sie unter Azure Key Vault – Preise im Abschnitt „Managed HSM-Pools“. Informationen zu unterstützten Schlüsseltypen finden Sie unter Informationen zu Schlüsseln.
Der Begriff „Verwaltete HSM-Instanz“ ist ein Synonym für „Verwalteter HSM-Pool“. Um Verwirrung zu vermeiden, verwenden wir in diesen Artikeln die Bezeichnung „Verwaltete HSM-Instanz“.
Hinweis
Zero Trust ist eine Sicherheitsstrategie, die drei Prinzipien umfasst: „Explizit überprüfen“, „Zugriff mit geringsten Berechtigungen verwenden“ und „Von einer Verletzung ausgehen“. Der Datenschutz, einschließlich der Schlüsselverwaltung, unterstützt das Prinzip „Zugriff mit den geringsten Rechten verwenden“. Weitere Informationen finden Sie unter Was ist Zero Trust?
Gründe für die Verwendung von verwaltetem HSM
Vollständig verwaltetes, hochverfügbares Einzelmandanten-HSM als Dienst
- Vollständig verwaltet: Der Dienst sorgt für HSM-Bereitstellung, -Konfiguration, -Patching und -Wartung.
- Hochverfügbar: Jeder HSM-Cluster besteht aus mehreren HSM-Partitionen. Im Falle eines Hardwarefehlers werden Mitgliedspartitionen für Ihren HSM-Cluster automatisch zu fehlerfreien Knoten migriert. Weitere Informationen finden Sie unter SLA für verwaltetes HSM.
- Ein Mandant: Jede verwaltete HSM-Instanz ist für einen einzelnen Kunden dediziert und besteht aus einem Cluster mit mehreren HSM-Partitionen. Jeder HSM-Cluster verwendet eine separate, kundenspezifische Sicherheitsdomäne, um die HSM-Cluster der einzelnen Kunden kryptografisch zu isolieren.
Zugriffssteuerung, verbesserter Schutz von Daten und Konformität
- Zentrale Schlüsselverwaltung: Verwalten Sie kritische Schlüssel mit hohem Wert für Ihre gesamte Organisation an einem zentralen Ort. Dank präziser schlüsselspezifischer Berechtigungen können Sie den Zugriff auf die einzelnen Schlüssel gemäß dem Prinzip der möglichst geringen Zugriffsberechtigungen steuern.
- Isolierte Zugriffssteuerung: Das verwaltete lokale RBAC-Zugriffssteuerungsmodell für HSM erlaubt bestimmten HSM-Clusteradministratoren, vollständig über die HSMs zu verfügen, die selbst Administratoren von Verwaltungsgruppen, Abonnements oder Ressourcengruppen nicht außer Kraft setzen können.
- Private Endpunkte: Verwenden Sie private Endpunkte, um von Ihrer Anwendung, die in einem virtuellen Netzwerk ausgeführt wird, eine sichere und private Verbindung mit dem verwalteten HSM herzustellen.
- FIPS 140-3 Stufe 3 validierte HSMs: Schützen Sie Ihre Daten und erfüllen Sie die Complianceanforderungen mit FIPS (Federal Information Protection Standard) 140-3 Level 3 validierten HSMs. Verwaltete HSMs verwenden HSM-Adapter von Marvell LiquidSecurity.
- Überwachen und Überprüfen: Profitieren Sie von der vollständigen Azure Monitor-Integration. Erhalten Sie umfassende Protokolle aller Aktivitäten über Azure Monitor. Verwenden Sie Azure Log Analytics für Analysen und Warnungen.
- Datenresidenz: Von verwaltetem HSM werden Kundendaten nicht außerhalb der Region gespeichert oder verarbeitet, in der der Kunde die HSM-Instanz bereitstellt.
Integration in Azure- und Microsoft-Dienste (PaaS/SaaS)
- Generieren Sie Schlüssel (oder importieren Sie sie unter Verwendung von BYOK), und verwenden Sie sie zum Verschlüsseln ruhender Daten in Azure-Diensten wie Azure Storage, Azure SQL, Azure Information Protection und Customer Key for Microsoft 365. Eine vollständigere Liste der Azure-Dienste, die mit Managed HSM funktionieren, finden Sie unter Datenverschlüsselungsmodelle.
Verwendung der gleichen API und Verwaltungsschnittstellen wie Key Vault
- Bereits vorhandene Anwendungen, die einen Tresor (mehrere Mandanten) nutzen, können ganz einfach für die Verwendung verwalteter HSMs migriert werden.
- Nutzen Sie für alle Ihre Anwendungen die gleichen Muster für die Anwendungsentwicklung und -bereitstellung – unabhängig von der verwendeten Schlüsselverwaltungslösung: Tresore mit mehreren Mandanten oder verwaltete HSMs mit einem einzelnen Mandanten.
Importieren von Schlüsseln aus Ihren lokalen HSMs
- Generieren Sie durch HSM geschützte Schlüssel in Ihrem lokalen HSM, und importieren Sie sie sicher in verwaltete HSMs.
Nächste Schritte
- Schlüsselverwaltung in Azure
- Technische Details finden Sie unter So implementiert das verwaltete HSM die Schlüsselsouveränität, Verfügbarkeit, Leistung und Skalierbarkeit ohne Kompromisse
- Weitere Informationen finden Sie unter Schnellstart: Bereitstellen und Aktivieren eines verwalteten HSM mithilfe der Azure-Befehlszeilenschnittstelle. Dort erfahren Sie, wie Sie ein verwaltetes HSM erstellen und aktivieren.
- Sicherheitsbaseline für verwaltete Azure-HSMs
- Siehe Sichere Azure Managed HSM-Bereitstellung
- Verwaltetes HSM: Status
- SLA für Verwaltetes HSM
- Regionale Verfügbarkeit von verwaltetem HSM
- Was ist Zero Trust?