Qu’est-ce que Azure Key Vault Managed HSM ?
Important
Nous mettons à jour notre flotte HSM vers une version de microprogramme validée FIPS 140-3 de niveau 3 pour Azure Key Vault Managed HSM et Azure Key Vault Premium. Retrouvez les détails complets dans Mise à jour du microprogramme HSM managé pour améliorer la sécurité et la conformité.
Azure Key Vault Managed HSM (Hardware Security Module) est un service cloud complètement managé, hautement disponible, monolocataire et conforme aux normes qui vous permet de protéger les clés de chiffrement de vos applications cloud via des HSM certifiés FIPS 140-2 de niveau 3. Il s’agit de l’une des nombreuses solutions de gestion des clés dans Azure.
Pour plus d’informations sur les prix, consultez la section Pools de HSM managés de la page de tarification Azure Key Vault. Pour plus d’informations sur les types de clés pris en charge, consultez À propos des clés.
Le terme « instance Managed HSM » est synonyme de « pool Managed HSM ». Pour éviter toute confusion, nous utilisons le terme « instance Managed HSM » dans ces articles.
Notes
Confiance Zéro est une stratégie de sécurité comprenant trois principes : « Vérifiez explicitement », « Utilisez l’accès à privilèges minimum » et « Supposez une violation ». La protection des données, y compris la gestion des clés, prend en charge le principe « Utilisez l’accès à privilèges minimum ». Pour plus d’informations, consultez Qu’est-ce qu’une Confiance Zéro ?
Pourquoi utiliser Managed HSM ?
HSM complètement managé, à haut niveau de disponibilité et monolocataire en tant que service
- Complètement managé : le service gère le provisionnement, la configuration, les mises à jour correctives et la maintenance de HSM.
- Hautement disponible : chaque cluster HSM se compose de plusieurs partitions HSM. Si le matériel connaît une défaillance, les partitions membres de votre cluster HSM sont automatiquement migrées vers des nœuds sains. Pour plus d’informations, consultez Contrats de niveau de service du HSM managé.
- Monolocataire : chaque instance Managed HSM est dédiée à un seul client et se compose d’un cluster de plusieurs partitions HSM. Chaque cluster HSM utilise un domaine de sécurité distinct propre au client qui isole par chiffrement le cluster HSM de chaque client.
Contrôle d’accès, protection améliorée des données et conformité
- Gestion centralisée des clés : gérez les clés critiques et à forte valeur à l’échelle de votre organisation depuis un seul et même emplacement. Avec des autorisations précises par clé, contrôlez l’accès à chaque clé selon le principe de l’accès à privilèges minimum.
- Contrôle d’accès isolé : le modèle de contrôle d’accès « RBAC local » de Managed HSM permet aux administrateurs de cluster HSM désignés de disposer d’un contrôle total sur les HSM que même les administrateurs de groupes d’administration, d’abonnements ou de groupes de ressources ne peuvent pas remplacer.
- Points de terminaison privés : Utilisez des points de terminaison privés pour vous connecter de façon sécurisée et privée à un HSM managé depuis votre application exécutée dans un réseau virtuel.
- HSM certifiés FIPS 140-2 de niveau 3 : Protégez vos données et respectez les exigences de conformité avec des HSM certifiés FIPS (Federal Information Protection Standard) 140-2 de niveau 3. Les HSM managés utilisent les adaptateurs HSM Marvell LiquidSecurity.
- Superviser et auditer : entièrement intégré à Azure Monitor. Obtenez des journaux complets de toutes les activités via Azure Monitor. Utilisez Azure Log Analytics pour l’analytique et les alertes.
- Résidence des données : Managed HSM ne stocke/traite pas les données client en dehors de la région dans laquelle le client déploie l’instance HSM.
Intégré aux services PaaS/SaaS d’Azure et Microsoft
- Générez des clés (ou importez-en avec BYOK) et utilisez-les pour chiffrer vos données au repos dans les services Azure comme le Stockage Azure, Azure SQL, Azure Information Protection et Clé du client pour Microsoft 365. Pour obtenir une liste plus complète des services Azure qui fonctionnent avec un HSM managé, consultez Modèles de chiffrement de données.
Utilise les mêmes interfaces d’API et de gestion que Key Vault
- Migrez facilement vos applications existantes qui utilisent un coffre (multilocataire) pour utiliser des HSM managés.
- Utilisez les mêmes modèles de développement et de déploiement d’applications pour toutes vos applications, quelle que soit la solution de gestion de clés utilisée : coffres multilocataires ou HSM managés monolocataire.
Importer des clés à partir de vos HSM locaux
- Générez des clés protégées par HSM dans votre module HSM local et importez-les de manière sécurisée dans un module HSM managé.
Étapes suivantes
- Gestion des clés dans Azure
- Pour les détails techniques, voir Comment le HSM managé implémente la souveraineté des clés, la disponibilité, les performances et la scalabilité sans compromis
- Consultez Démarrage rapide : Provisionner et activer un HSM managé à l’aide d’Azure CLI pour créer et activer un HSM managé
- Base de référence de sécurité Azure Managed HSM
- Consultez Bonnes pratiques pour utiliser Azure Key Vault Managed HSM
- État du HSM managé
- Contrat de niveau de service du HSM managé
- Disponibilité du HSM managé par région
- Qu’est-ce que la Confiance Zéro ?