Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Dedicated HSM ist ein Azure-Dienst, der kryptografische Schlüsselspeicher in Azure bereitstellt. Dedizierte HSM erfüllt die strengsten Sicherheitsanforderungen. Es ist die ideale Lösung für Kunden, die FIPS 140-2 Level 3-validierte Geräte benötigen und die vollständige und exklusive Kontrolle der HSM-Appliance benötigen.
HSM-Geräte werden global in mehreren Azure-Regionen bereitgestellt. Sie können einfach als Gerätepaar bereitgestellt und für hohe Verfügbarkeit konfiguriert werden. HSM-Geräte können auch in allen Regionen bereitgestellt werden, um ein Failover auf regionaler Ebene zu gewährleisten. Microsoft liefert den Dedizierten HSM-Dienst mithilfe der Thales Luna 7 HSM-Modell A790-Geräte . Dieses Gerät bietet die höchsten Leistungs- und Kryptografieintegrationsoptionen.
Nachdem sie bereitgestellt wurden, werden HSM-Geräte direkt mit dem virtuellen Netzwerk eines Kunden verbunden. Sie können auch über lokale Anwendungs- und Verwaltungstools aufgerufen werden, wenn Sie die Vpn-Konnektivität zwischen Standort oder Standort zu Standort konfigurieren. Kunden erhalten die Software und Dokumentation zum Konfigurieren und Verwalten von HSM-Geräten über das Thales-Kundensupportportal.
Warum Azure Dedicated HSM verwenden?
FIPS 140-2 Level-3-Compliance
Viele Organisationen verfügen über strenge Branchenvorschriften, die diktieren, dass kryptografische Schlüssel in FIPS 140-2 Level-3 validierten HSMs gespeichert werden müssen. Azure Dedicated HSM und ein neues Einzelmandantenangebot, Azure Key Vault Managed HSM, helfen Kunden aus verschiedenen Branchensegmenten, z. B. Finanzdienstleistungsbranche, Behörden und andere, die FIPS 140-2 Level-3-Anforderungen erfüllen. Der mehrinstanzenfähige Azure Key Vault-Dienst von Microsoft nutzt derzeit nur HSMs, die gemäß FIPS 140-2 Level 2 überprüft wurden.
Einzelmandantengeräte
Viele unserer Kunden haben eine Anforderung für einen einzelnen Mandanten des kryptografischen Speichergeräts. Der Azure Dedicated HSM-Dienst ermöglicht es ihnen, ein physisches Gerät aus einem der global verteilten Rechenzentren von Microsoft bereitzustellen. Nachdem sie einem Kunden bereitgestellt wurde, kann nur dieser Kunde auf das Gerät zugreifen.
Vollständige administrative Kontrolle
Viele Kunden benötigen vollständige Administrative Kontrolle und alleinigen Zugriff auf ihr Gerät für administrative Zwecke. Nachdem ein Gerät bereitgestellt wurde, hat nur der Kunde Administrator- oder Anwendungszugriff auf das Gerät.
Microsoft hat keine administrative Kontrolle, nachdem der Kunde zum ersten Mal auf das Gerät zugreift, an dem der Kunde das Kennwort ändert. Ab diesem Zeitpunkt ist der Kunde ein echter Einzelmandant mit voll administrativer Kontrolle und Anwendungsverwaltungsfunktion. Microsoft verwaltet den Zugriff auf Überwachungsebene (keine Administratorrolle) für Telemetrie über die serielle Portverbindung. Dieser Zugriff umfasst Hardwaremonitore wie Temperatur, Stromversorgungsintegrität und Lüfterintegrität.
Der Kunde kann diese Überwachung kostenlos deaktivieren. Wenn sie sie jedoch deaktivieren, erhalten sie keine proaktiven Gesundheitswarnungen von Microsoft.
Hochleistung
Das Thales-Gerät wurde aus mehreren Gründen für diesen Dienst ausgewählt. Es bietet eine breite Palette von Kryptografiealgorithmus unterstützung, verschiedene unterstützte Betriebssysteme und umfassende API-Unterstützung. Das bereitgestellte spezifische Modell bietet eine hervorragende Leistung mit 10.000 Vorgängen pro Sekunde für RSA-2048. Es unterstützt 10 Partitionen, die für eindeutige Anwendungsinstanzen verwendet werden können. Dieses Gerät ist eine geringe Latenz, hohe Kapazität und ein Gerät mit hohem Durchsatz.
Einzigartiges cloudbasiertes Angebot
Microsoft hat einen bestimmten Bedarf für einen eindeutigen Satz von Kunden erkannt. Es ist der einzige Cloudanbieter, der neuen Kunden einen dedizierten HSM-Dienst bietet, der FIPS 140-2 Level 3 validiert ist und ein solches Ausmaß der cloudbasierten und lokalen Anwendungsintegration bietet.
Ist Azure Dedicated HSM für Sie geeignet?
Azure Dedicated HSM ist ein spezieller Dienst, der eindeutige Anforderungen für eine bestimmte Art von groß angelegter Organisation erfüllt. Daher wird erwartet, dass der Großteil der Azure-Kunden nicht in das Profil der Verwendung für diesen Dienst passt. Viele finden, dass der Azure Key Vault- oder der Azure Managed HSM-Dienst geeigneter und kostengünstiger als andere Optionen ist. Um Zu entscheiden, ob es für Ihre Anforderungen geeignet ist, haben wir die folgenden Kriterien identifiziert.
Optimale Passform
Azure Dedicated HSM eignet sich am besten für "Lift-and-Shift"-Szenarien, die direkten und alleinigen Zugriff auf HSM-Geräte erfordern. Beispiele sind:
- Migrieren von Anwendungen aus der lokalen Umgebung zu Azure Virtual Machines
- Migrieren von Anwendungen von Amazon AWS EC2 zu virtuellen Maschinen, die den AWS Cloud HSM Classic-Dienst verwenden (Amazon bietet diesen Dienst nicht neuen Kunden an)
- Ausführen von Software aus dem Handel (etwa Apache/Ngnix SSL Offload, Oracle TDE und ADCS) in Azure Virtual Machines
Nicht passend
Azure Dedicated HSM ist für die folgende Art von Szenario nicht gut geeignet: Für Microsoft-Clouddienste, die die Verschlüsselung mit von Kunden verwalteten Schlüsseln unterstützen (etwa Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store, Azure Storage, Azure SQL-Datenbank, Customer Key für Office 365), steht keine Integration für Azure Dedicated HSM zur Verfügung.
Hinweis
Kunden müssen über einen zugewiesenen Microsoft Account Manager verfügen und die monetäre Anforderung von fünf Millionen (5M) USD oder höher in der gesamt zugesicherten Azure-Einnahmen jährlich erfüllen, um sich für das Onboarding und die Nutzung von Azure Dedicated HSM zu qualifizieren.
Es hängt von
Ob Azure Dedicated HSM für Sie funktioniert, hängt von einer potenziell komplexen Mischung aus Anforderungen und Kompromittierungen ab, die Sie vornehmen können oder nicht. Ein Beispiel ist die FIPS 140-2 Level 3-Anforderung. Diese Anforderung ist üblich, und Azure Dedicated HSM sowie ein neues Einzelmandantenangebot, Azure Key Vault Managed HSM, sind derzeit die einzigen Optionen zum Erfüllen dieser Anforderung. Wenn diese vorgeschriebenen Anforderungen nicht relevant sind, ist es häufig eine Wahl zwischen Azure Key Vault und Azure Dedicated HSM. Bewerten Sie Ihre Anforderungen, bevor Sie eine Entscheidung treffen.
Situationen, in denen Sie Ihre Optionen abwägen müssen, sind:
- Neuer Code, der auf einem virtuellen Azure-Computer eines Kunden ausgeführt wird
- TDE von SQL Server auf einem virtuellen Azure-Computer
- Clientseitige Azure Storage-Verschlüsselung
- SQL Server und Azure SQL DB Always Encrypted
Nächste Schritte
Ein dediziertes HSM ist ein stark spezialisierter Dienst. Daher empfehlen wir Ihnen, die wichtigsten Konzepte in diesem Dokumentationssatz vollständig zu verstehen, einschließlich Preise, Support und Vereinbarungen auf Serviceebene.
Die Thales-Integrationsleitfäden helfen Ihnen dabei, die Bereitstellung von HSMs in einer vorhandenen virtuellen Netzwerkumgebung zu erleichtern. Es gibt auch Anleitungen, mit denen Sie bestimmen können, wie Sie Ihre Bereitstellungsarchitektur einrichten.