¿Qué es HSM administrado de Azure Key Vault?

HSM (módulo de seguridad de hardware) administrado de Azure Key Vault es un servicio en la nube totalmente administrado, de alta disponibilidad y un solo inquilino y compatible con los estándares que le permite proteger las claves criptográficas de las aplicaciones en la nube mediante HSM validados FIPS 140-2 de nivel 3. Es una de las diversas soluciones de administración de claves en Azure.

Para información sobre los precios, consulte la sección sobre los grupos de HSM administrados en la página de precios de Azure Key Vault. Para conocer los tipos de clave admitidos, consulte Acerca de las claves.

El término "instancia de HSM administrado" es sinónimo de "grupo de HSM administrado". Para evitar confusiones, en estos artículos se usará "instancia de HSM administrado".

Nota

Confianza cero es una estrategia de seguridad que consta de tres principios: "Comprobar explícitamente", "Usar acceso con privilegios mínimos" y "Asumir una vulneración". La protección de datos, incluida la administración de claves, admite el principio de "Usar acceso con privilegios mínimos". Para obtener más información, consulte ¿Qué es la Confianza cero?

Motivos para usar Managed HSM

HSM totalmente administrado, de alta disponibilidad y de un solo inquilino como servicio

• Totalmente administrado El servicio controla el aprovisionamiento, la configuración, la revisión y el mantenimiento de HSM.
• Alta disponibilidad: cada clúster de HSM consta de varias particiones HSM. Si se produce un error de hardware, las particiones de miembro de su clúster de HSM se migrarán automáticamente a los nodos correctos. Para más información, consulte Acuerdo de Nivel de servicio de HSM administrado
• Inquilino único: cada instancia de HSM administrada está dedicada a un solo cliente y consta de un clúster de varias particiones de HSM. Cada clúster de HSM usa un dominio de seguridad independiente específico del cliente que aísla de forma criptográfica el clúster de HSM de cada cliente.

Control de acceso, protección de datos mejorada y cumplimiento

• Administración de claves centralizada: administre claves críticas y de alto valor en su organización en un solo lugar. Con permisos pormenorizados por clave, controle el acceso a todas las claves en base al principio de "acceso con menos privilegios".
• Control de acceso aislado: El modelo de control de acceso "RBAC local" de HSM administrado permite a los administradores de clústeres de HSM designados tener un control completo sobre los HSM que ni siquiera los administradores de grupos de administración, de suscripciones o de grupos de recursos pueden invalidar.
• Puntos de conexión privados: use puntos de conexión privados para conectarse de forma segura y privada a HSM administrado desde la aplicación que se ejecuta en una red virtual.
• HSM validados con FIPS 3 nivel 140-2: Proteja sus datos y cumpla los requisitos de cumplimiento con los HSM validados con FIPS (Federal Information Protection Standard) 140-2 de nivel 3. Los HSM administrados usan adaptadores HSM de Marvell LiquidSecurity.
• Supervisión y auditoría: completamente integrado con Azure Monitor. Obtenga registros completos de toda la actividad a través de Azure Monitor. Use Azure Log Analytics para los análisis y las alertas.
• Residencia de datos: HSM administrado no almacena ni procesa datos del cliente fuera de la región en la que el cliente implementa la instancia de HSM.

Integración con los servicios PaaS y SaaS de Microsoft y Azure

• Genere (o importe mediante BYOK) claves y úselas para cifrar los datos en reposo en servicios de Azure como Azure Storage, Azure SQL, Azure Information Protection y Customer Key for Microsoft 365. Para una lista más completa de los servicios de Azure que funcionan con Managed HSM, consulte Modelos de cifrado de datos.

Usa la misma API y las mismas interfaces de administración que Key Vault

• Migre fácilmente las aplicaciones existentes que usan un almacén (multiinquilino) al uso de HSM administrados.
• Utilice los mismos patrones de implementación y desarrollo de aplicaciones para todas las aplicaciones, con independencia de la solución de administración de claves en uso: almacenes multiinquilino o HSM administrados con un solo inquilino.

Importación de claves desde sistemas HSM locales

• Genere claves protegidas con HSM en el HSM local e impórtelas de forma segura en HSM administrados.

Pasos siguientes

• Administración de claves en Azure
• Para más información técnica, consulte Cómo implementa HSM administrado la soberanía, la disponibilidad, el rendimiento y la escalabilidad clave sin inconvenientes
• Consulte Quickstart: Aprovisionamiento y activación de un HSM administrado mediante la CLI de Azure para crear y activar un HSM administrado.
• Línea base de seguridad de HSM administrado de Azure
• Consulte Procedimientos recomendados para usar Azure Key Vault Managed HSM
• Estado de HSM administrado
• Acuerdo de Nivel de Servicio de HSM administrado
• Disponibilidad de la región de HSM administrado
• ¿Qué es la Confianza cero?