Was ist verwaltetes HSM von Azure Key Vault?

Wichtig

Wir aktualisieren unsere HSM-Flotte auf eine nach FIPS 140-3-Level 3 validierte Firmware für Azure Key Vault Managed HSM und Azure Key Vault Premium. Ausführliche Informationen finden Sie unter Update der Managed HSM-Firmware für erweiterte Sicherheit und Compliance.

Verwaltetes HSM (Hardwaresicherheitsmodul) von Azure Key Vault ist ein vollständig verwalteter, hochverfügbarer und standardkonformer Einzelmandanten-Clouddienst. Dieser Dienst ermöglicht es Ihnen, kryptografische Schlüssel für Ihre Cloudanwendungen über Hardwaresicherheitsmodule (HSMs) zu schützen, die mit FIPS 140-2 Level 3 validiert sind. Er ist eine von mehreren wichtigen Verwaltungslösungen in Azure.

Informationen zu den Preisen finden Sie unter Azure Key Vault – Preise im Abschnitt „Managed HSM-Pools“. Informationen zu unterstützten Schlüsseltypen finden Sie unter Informationen zu Schlüsseln.

Der Begriff „Verwaltete HSM-Instanz“ ist ein Synonym für „Verwalteter HSM-Pool“. Um Verwirrung zu vermeiden, verwenden wir in diesen Artikeln die Bezeichnung „Verwaltete HSM-Instanz“.

Hinweis

Zero Trust ist eine Sicherheitsstrategie, die drei Prinzipien umfasst: „Explizit überprüfen“, „Zugriff mit geringsten Berechtigungen verwenden“ und „Von einer Verletzung ausgehen“. Der Datenschutz, einschließlich der Schlüsselverwaltung, unterstützt das Prinzip „Zugriff mit den geringsten Rechten verwenden“. Weitere Informationen finden Sie unter Was ist Zero Trust?

Gründe für die Verwendung von verwaltetem HSM

Vollständig verwaltetes, hochverfügbares Einzelmandanten-HSM als Dienst

• Vollständig verwaltet: Der Dienst sorgt für HSM-Bereitstellung, -Konfiguration, -Patching und -Wartung.
• Hochverfügbar: Jeder HSM-Cluster besteht aus mehreren HSM-Partitionen. Im Falle eines Hardwarefehlers werden Mitgliedspartitionen für Ihren HSM-Cluster automatisch zu fehlerfreien Knoten migriert. Weitere Informationen finden Sie unter SLA für verwaltetes HSM.
• Ein Mandant: Jede verwaltete HSM-Instanz ist für einen einzelnen Kunden dediziert und besteht aus einem Cluster mit mehreren HSM-Partitionen. Jeder HSM-Cluster verwendet eine separate, kundenspezifische Sicherheitsdomäne, um die HSM-Cluster der einzelnen Kunden kryptografisch zu isolieren.

Zugriffssteuerung, verbesserter Schutz von Daten und Konformität

• Zentrale Schlüsselverwaltung: Verwalten Sie kritische Schlüssel mit hohem Wert für Ihre gesamte Organisation an einem zentralen Ort. Dank präziser schlüsselspezifischer Berechtigungen können Sie den Zugriff auf die einzelnen Schlüssel gemäß dem Prinzip der möglichst geringen Zugriffsberechtigungen steuern.
• Isolierte Zugriffssteuerung: Mit dem Zugriffssteuerungsmodell der lokalen RBAC für verwaltete HSMs haben designierte HSM-Clusteradministratoren die volle Kontrolle über die HSMs und damit sogar Vorrang vor Verwaltungsgruppen-, Abonnement- und Ressourcengruppenadministratoren.
• Private Endpunkte: Verwenden Sie private Endpunkte, um von Ihrer Anwendung, die in einem virtuellen Netzwerk ausgeführt wird, eine sichere und private Verbindung mit dem verwalteten HSM herzustellen.
• FIPS 140-2 Level 3-zertifizierte HSMs: Schützen Sie Ihre Daten, und erfüllen Sie Complianceanforderungen mit FIPS 140-2 Level 3-zertifizierten HSMs (Federal Information Protection Standard). Verwaltete HSMs verwenden HSM-Adapter von Marvell LiquidSecurity.
• Überwachen und Überprüfen: Profitieren Sie von der vollständigen Azure Monitor-Integration. Erhalten Sie umfassende Protokolle aller Aktivitäten über Azure Monitor. Verwenden Sie Azure Log Analytics für Analysen und Warnungen.
• Datenresidenz: Von verwaltetem HSM werden Kundendaten nicht außerhalb der Region gespeichert oder verarbeitet, in der der Kunde die HSM-Instanz bereitstellt.

Integration in Azure- und Microsoft-Dienste (PaaS/SaaS)

• Generieren Sie Schlüssel (oder importieren Sie sie unter Verwendung von BYOK), und verwenden Sie sie zum Verschlüsseln ruhender Daten in Azure-Diensten wie Azure Storage, Azure SQL, Azure Information Protection und Customer Key for Microsoft 365. Eine vollständigere Liste der Azure-Dienste, die mit Managed HSM funktionieren, finden Sie unter Datenverschlüsselungsmodelle.

Verwendung der gleichen API und Verwaltungsschnittstellen wie Key Vault

• Bereits vorhandene Anwendungen, die einen Tresor (mehrere Mandanten) nutzen, können ganz einfach für die Verwendung verwalteter HSMs migriert werden.
• Nutzen Sie für alle Ihre Anwendungen die gleichen Muster für die Anwendungsentwicklung und -bereitstellung – unabhängig von der verwendeten Schlüsselverwaltungslösung: Tresore mit mehreren Mandanten oder verwaltete HSMs mit einem einzelnen Mandanten.

Importieren von Schlüsseln aus Ihren lokalen HSMs

• Generieren Sie durch HSM geschützte Schlüssel in Ihrem lokalen HSM, und importieren Sie sie sicher in verwaltete HSMs.

Nächste Schritte

• Schlüsselverwaltung in Azure
• Technische Details finden Sie unter So implementiert das verwaltete HSM die Schlüsselsouveränität, Verfügbarkeit, Leistung und Skalierbarkeit ohne Kompromisse
• Weitere Informationen finden Sie unter Schnellstart: Bereitstellen und Aktivieren eines verwalteten HSM mithilfe der Azure-Befehlszeilenschnittstelle. Dort erfahren Sie, wie Sie ein verwaltetes HSM erstellen und aktivieren.
• Sicherheitsbaseline für verwaltete Azure-HSMs
• Informieren Sie sich über bewährte Methoden bei der Verwendung verwalteter HSMs von Azure Key Vault.
• Verwaltetes HSM: Status
• SLA für Verwaltetes HSM
• Regionale Verfügbarkeit von verwaltetem HSM
• Was ist Zero Trust?