Was ist Azure Dedicated HSM?

Azure Dedicated HSM ist ein Azure-Dienst, der Speicherung von kryptografischen Schlüsseln in Azure bietet. Dedicated HSM erfüllt die strengsten Sicherheitsanforderungen. Es ist die optimale Lösung für Kunden, die Geräte mit der Zertifizierung „FIPS 140-2 Level 3“ sowie die vollständige und uneingeschränkte Kontrolle über die HSM-Appliance benötigen.

HSM-Geräte werden weltweit über mehrere Azure-Regionen hinweg bereitgestellt. Sie können einfach als ein Gerätepaar bereitgestellt und für Hochverfügbarkeit konfiguriert werden. HSM-Geräte können zum Schutz vor regionalen Ausfällen auch regionsübergreifend bereitgestellt werden. Microsoft stellt den Dedicated HSM-Dienst mithilfe von Geräten vom Typ Thales Luna 7 HSM Modell A790 bereit. Dieses Gerät bietet ein Höchstmaß an Leistung und kryptografischen Integrationsoptionen.

Nachdem sie bereitgestellt wurden, sind die HSM-Geräte direkt mit dem virtuellen Netzwerk eines Kunden verbunden. Auf sie können auch lokale Anwendungen und Verwaltungstools zugreifen, wenn Sie Point-to-Site- oder Site-to-Site-VPN-Konnektivität konfigurieren. Kunden erhalten die Software und die Dokumentation für die Konfiguration und Verwaltung von HSM-Geräten über das Thales-Portal für den Kundensupport.

Argumente für die Verwendung von Azure Dedicated HSM

Konformität mit „FIPS 140-2 Level 3“

Aufgrund strenger branchenspezifischer Vorschriften müssen in vielen Organisationen die kryptografischen Schlüssel in HSMs gespeichert werden, die gemäß FIPS 140-2 Level 3 überprüft wurden. Azure Dedicated HSM und das neue Einzelmandantangebot Verwaltetes Azure Key Vault-HSM unterstützen Kunden aus verschiedenen Branchensegmenten (etwa Finanzdienstleister, Behörden usw.) dabei, die Anforderungen von „FIPS 140-2 Level-3“ zu erfüllen. Der mehrinstanzenfähige Azure Key Vault-Dienst von Microsoft nutzt derzeit nur HSMs, die gemäß „FIPS 140-2 Level 2“ überprüft wurden.

Geräte mit nur einem Mandanten

Bei vielen unserer Kunden darf das kryptografische Speichergerät nur über einen einzelnen Mandanten verfügen. Der Dedicated HSM-Dienst ermöglicht die Bereitstellung eines physischen Geräts über eines der weltweit verteilten Datencenter von Microsoft. Nach der Bereitstellung für einen Kunden kann nur noch dieser Kunde auf das Gerät zugreifen.

Vollständige administrative Kontrolle

Viele Kunden benötigen die vollständige administrative Kontrolle und den alleinigen Zugriff auf ihr Gerät für administrative Zwecke. Nachdem ein Gerät bereitgestellt wurde, besitzt nur noch der jeweilige Kunde Zugriff auf Administrator- oder Anwendungsebene.

Microsoft verfügt über keinerlei administrative Kontrolle, nachdem der Kunde zum ersten Mal auf das Gerät zugegriffen und das Kennwort geändert hat. Ab diesem Zeitpunkt ist der Kunde ein echter einzelner Mandant mit vollständiger administrativer Kontrolle und uneingeschränkter Anwendungsverwaltung. Microsoft behält den Zugriff auf die Telemetrie über die serielle Schnittstelle auf Überwachungsebene (keine Administratorrolle) bei. Dieser Zugriff umfasst Hardwareüberwachungen wie Temperatur, Integrität der Stromversorgung und Lüfterzustand.

Dem Kunden steht es frei, diese erforderliche Überwachung zu deaktivieren. Wenn er sie jedoch deaktiviert, erhält er keine proaktiven Integritätswarnungen von Microsoft.

Hohe Leistung

Das Thales-Gerät wurde aus verschiedenen Gründen für diesen Dienst gewählt. Es bietet eine breite Palette an kryptographischer Algorithmusunterstützung, eine Vielzahl von unterstützten Betriebssystemen und eine breite API-Unterstützung. Das bereitgestellte Modell bietet eine ausgezeichnete Leistung von 10.000 Vorgängen pro Sekunde für RSA-2048. Es unterstützt zehn Partitionen, die jeweils für individuelle Anwendungsinstanzen verwendet werden können. Dieses Gerät zeichnet sich durch geringe Latenz, hohe Kapazität und hohen Durchsatz aus.

Einzigartiges cloudbasiertes Angebot

Microsoft hat bei einigen Kunden einen ganz spezifischen Bedarf ausgemacht. Microsoft ist der einzige Cloudanbieter, der neuen Kunden einen Dienst für dedizierte HSMs bietet, der die Anforderungen von „FIPS 140-2 Level 3“ erfüllt und über eine so umfangreiche Integration für cloudbasierte und lokale Anwendungen verfügt.

Ist der Azure-Dienst für dedizierte HSMs das Richtige für Sie?

Azure Dedicated HSM ist ein spezieller Dienst, der die individuellen Anforderungen eines ganz bestimmten Typs großer Organisationen erfüllt. Der Großteil der Azure-Kunden wird daher voraussichtlich keine Verwendung für diesen Dienst haben. In den meisten Fällen dürfte der Azure Key Vault-Dienst oder der Azure Managed HSM-Dienst besser geeignet und kostengünstiger sein. Damit Sie leichter entscheiden können, ob der Dienst für Sie in Frage kommt, haben wir für Sie die folgenden Kriterien zusammengestellt.

Optimal geeignet

Azure Dedicated HSM eignet sich am besten für Lift & Shift-Szenarien, die einen direkten und alleinigen Zugriff auf HSM-Geräte erfordern. Beispiele:

• Migrieren von Anwendungen aus der lokalen Umgebung zu Azure Virtual Machines
• Migrieren von Anwendungen von Amazon AWS EC2 zu Virtual Machines mit dem Dienst „AWS Cloud HSM Classic“ (Amazon bietet diesen Dienst nicht für neue Kunden an)
• Ausführen von Software aus dem Handel (etwa Apache/Ngnix SSL Offload, Oracle TDE und ADCS) in Azure Virtual Machines

Nicht geeignet

Azure Dedicated HSM ist für die folgende Art von Szenario nicht gut geeignet: Für Microsoft-Clouddienste, die die Verschlüsselung mit von Kunden verwalteten Schlüsseln unterstützen (etwa Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store, Azure Storage, Azure SQL-Datenbank, Customer Key für Office 365), steht keine Integration für Azure Dedicated HSM zur Verfügung.

Hinweis

Kunden müssen über einen zugewiesenen Microsoft-Konto-Manager verfügen und die geldpolitische Anforderung von fünf Millionen USD oder höher in der gesamt engagierten Azure-Umsätze jährlich erfüllen, um sich für das Onboarding und die Verwendung von Azure Dedicated HSM zu qualifizieren.

Das ist unterschiedlich.

Ob Azure Dedicated HSM für Sie funktioniert, hängt von einer potenziell komplexen Mischung aus Anforderungen und Kompromissen ab, die Sie eingehen können oder auch nicht. Ein Beispiel ist die FIPS 140-2 Level 3-Anforderung. Diese Anforderung ist üblich, und derzeit wird sie nur von Azure Dedicated HSM und dem neuen Einzelmandantangebot Verwaltetes HSM von Azure Key Vault erfüllt. Wenn diese gesetzlichen Anforderungen nicht relevant sind, besteht häufig die Wahl zwischen Azure Key Vault und Azure Dedicated HSM. Werten Sie Ihre Anforderungen vor einer Entscheidung aus.

Zu den Situationen, in denen Sie Ihre Optionen abwägen müssen, gehören unter anderem:

• Neuer Code, der auf einem virtuellen Azure-Computer eines Kunden ausgeführt wird
• TDE von SQL Server auf einem virtuellen Azure-Computer
• Clientseitige Verschlüsselung von Azure Storage
• Always Encrypted für SQL Server und Azure SQL-Datenbank

Nächste Schritte

Dies ist ein hochgradig spezialisierter Dienst. Daher empfehlen wir Ihnen, die Schlüsselkonzepte in dieser Dokumentationssammlung (einschließlich Preisgestaltung, Support und SLAs) vollständig zu verstehen.

Die Thales-Integrationsleitfäden helfen dabei, die Bereitstellung von HSMs in einer vorhandenen virtuellen Netzwerkumgebung zu erleichtern. Es gibt auch Schrittanleitungen, die Sie beim Bestimmen der Einrichtung Ihrer Bereitstellungsarchitektur unterstützen.

• Hohe Verfügbarkeit
• Physische Sicherheit
• Netzwerk
• Unterstützungsmöglichkeiten
• Überwachung