Mi az az Azure Dedicated HSM?
Az Azure Dedikált HSM egy Azure-szolgáltatás, amely titkosítási kulcstárolót biztosít az Azure-ban. A dedikált HSM megfelel a legszigorúbb biztonsági követelményeknek. Ez az ideális megoldás azoknak az ügyfeleknek, akik FIPS 140-2 3. szintű, 3. szintű eszközöket igényelnek, és teljes körű és kizárólagos vezérlést igényelnek a HSM-berendezés felett.
A HSM-eszközök globálisan vannak üzembe helyezve számos Azure-régióban. Könnyen kiépíthetik őket eszközpárként, és konfigurálhatók magas rendelkezésre állásra. A HSM-eszközök régiók között is kiépíthetők, így biztosítva a regionális szintű feladatátvételt. A Microsoft a Thales Luna 7 HSM modell A790 készülékekkel biztosítja a dedikált HSM szolgáltatást. Ez az eszköz a legmagasabb szintű teljesítményt és titkosítási integrációs lehetőségeket kínálja.
A kiépítés után a HSM-eszközök közvetlenül csatlakoznak az ügyfél virtuális hálózatához. A helyszíni alkalmazás- és felügyeleti eszközök is elérhetők, ha pont–hely vagy helyek közötti VPN-kapcsolatot konfigurál. Az ügyfelek a Thales ügyfélszolgálati portáljáról szerzik be a HSM-eszközök konfigurálására és kezelésére szolgáló szoftvereket és dokumentációt.
Miért érdemes azure dedikált HSM-et használni?
FIPS 140-2 Level-3 megfelelőség
Számos szervezet szigorú iparági előírásokkal rendelkezik, amelyek megkövetelik, hogy a titkosítási kulcsokat FIPS 140-2 3. szintű hitelesített HSM-ben kell tárolni. Az Azure Dedikált HSM és egy új egybérlős ajánlat, az Azure Key Vault által felügyelt HSM segít a különböző iparági szegmensekből származó ügyfeleknek, például a pénzügyi szolgáltatási ágazatnak, a kormányzati ügynökségeknek és másoknak megfelelni a FIPS 140-2 3. szintű követelményeinek. Míg a Microsoft több-bérlős Azure Key Vault szolgáltatása jelenleg FIPS 140-2 2. szintű hitelesített HSM-eket használ.
Egybérlős eszközök
Számos ügyfelünknek követelménye van a kriptográfiai tárolóeszköz önálló bérlői szerződésének. Az Azure Dedikált HSM szolgáltatás lehetővé teszi számukra, hogy fizikai eszközt építsenek ki a Microsoft egyik globálisan elosztott adatközpontjából. Miután kiépítette egy ügyfél számára, csak az ügyfél férhet hozzá az eszközhöz.
Teljes felügyeleti vezérlés
Sok ügyfél teljes körű rendszergazdai ellenőrzést igényel, és csak rendszergazdai célokból férhet hozzá az eszközéhez. Az eszköz üzembe helyezése után csak az ügyfél rendelkezik rendszergazdai vagy alkalmazásszintű hozzáféréssel az eszközhöz.
A Microsoft nem rendelkezik rendszergazdai ellenőrzéssel, miután az ügyfél első alkalommal hozzáfér az eszközhöz, és ekkor az ügyfél megváltoztatja a jelszót. Ettől a ponttól kezdve az ügyfél valódi egybérlős, teljes körű felügyeleti vezérléssel és alkalmazásfelügyeleti képességgel. A Microsoft monitorszintű hozzáférést (nem rendszergazdai szerepkört) tart fenn a telemetriához soros portkapcsolaton keresztül. Ez a hozzáférés olyan hardvermonitorokra terjed ki, mint a hőmérséklet, az energiaellátás állapota és a ventilátor állapota.
Az ügyfél szabadon letilthatja ezt a szükséges monitorozást. Ha azonban letiltják, nem kapnak proaktív állapotriasztásokat a Microsofttól.
Nagy teljesítmény
A Thales-eszköz többféle okból lett kiválasztva ehhez a szolgáltatáshoz. A titkosítási algoritmusok támogatásának széles skáláját, számos támogatott operációs rendszert és széles KÖRŰ API-támogatást kínál. Az üzembe helyezett konkrét modell kiváló teljesítményt nyújt másodpercenként 10 000 művelettel az RSA-2048-hoz. 10 partíciót támogat, amelyek egyedi alkalmazáspéldányokhoz használhatók. Ez az eszköz alacsony késésű, nagy kapacitású és nagy átviteli sebességű eszköz.
Egyedi felhőalapú ajánlat
A Microsoft felismerte, hogy egyedi ügyfelekre van szükség. Ez az egyetlen felhőszolgáltató, amely dedikált HSM-szolgáltatást kínál az új ügyfeleknek, amely FIPS 140-2 3. szintű, és ilyen mértékben nyújt felhőalapú és helyszíni alkalmazásintegrációt.
Az Azure Dedicated HSM önnek megfelelő?
Az Azure Dedikált HSM egy speciális szolgáltatás, amely egy adott típusú nagyvállalat egyedi követelményeit kezeli. Ennek eredményeképpen várható, hogy az Azure-ügyfelek nagy része nem fog illeszkedni a szolgáltatás használati profiljához. Sokan találják az Azure Key Vaultot vagy az Azure Managed HSM szolgáltatást megfelelőbbnek és költséghatékonyabbnak. Annak eldöntéséhez, hogy megfelel-e a követelményeknek, a következő feltételeket határoztuk meg.
Legjobb illesztés
Az Azure Dedikált HSM leginkább olyan "átemeléses" forgatókönyvekhez alkalmas, amelyek közvetlen és kizárólagos hozzáférést igényelnek a HSM-eszközökhöz. Ide sorolhatóak például a kövekezők:
- Alkalmazások migrálása a helyszíni gépekről az Azure-beli virtuális gépekre
- Alkalmazások migrálása az Amazon AWS EC2-ről a klasszikus AWS cloud HSM szolgáltatást használó virtuális gépekre (az Amazon nem kínálja ezt a szolgáltatást az új ügyfeleknek)
- Zsugorított szoftver, például Apache/Ngnix SSL-kiszervezés, Oracle TDE és ADCS futtatása azure-beli virtuális gépeken
Nem illeszkedik
Az Azure Dedikált HSM nem megfelelő a következő típusú forgatókönyvekhez: az ügyfél által felügyelt kulcsokkal (például Az Azure Information Protection, az Azure Disk Encryption, az Azure Data Lake Store, az Azure Storage, az Azure SQL Database és az Office 365 ügyfélkulcsa) rendelkező titkosítást támogató Microsoft-felhőszolgáltatások, amelyek nem integrálva vannak az Azure Dedikált HSM-sel.
Feljegyzés
Az ügyfeleknek rendelkezniük kell egy hozzárendelt Microsoft-fiókkezelővel, és meg kell felelniük az azure-beli dedikált HSM előkészítésére és használatára való jogosultsághoz évente legalább öt millió USD (5 MILLIÓ USD) vagy annál nagyobb pénzügyi követelménynek.
Attól függ
Az, hogy az Azure Dedikált HSM működni fog-e Ön helyett, a követelmények és a kompromisszumok lehetséges összetett kombinációjától függ, amelyeket ön vagy nem tud elérni. Ilyen például a FIPS 140-2 3. szintű követelménye. Ez a követelmény gyakori, és az Azure Dedikált HSM és egy új egybérlős ajánlat, az Azure Key Vault felügyelt HSM jelenleg az egyetlen lehetőség az értekezletre. Ha ezek a kötelező követelmények nem relevánsak, akkor gyakran az Azure Key Vault és az Azure Dedikált HSM közötti választás. A döntés előtt értékelje ki a követelményeket.
Az alábbi helyzetekben kell mérlegelnie a lehetőségeket:
- Új kód, amely egy ügyfél Azure-beli virtuális gépén fut
- SQL Server TDE egy Azure-beli virtuális gépen
- Azure Storage ügyféloldali titkosítás
- SQL Server és Azure SQL DB Always Encrypted
Következő lépések
Ez egy speciális szolgáltatás. Ezért azt javasoljuk, hogy teljes mértékben megértse a dokumentációs készlet legfontosabb fogalmait, beleértve a díjszabást, a támogatást és a szolgáltatási szintű szerződéseket.
A Thales-integrációs útmutatók segítségével megkönnyítheti a HSM-ek meglévő virtuális hálózati környezetbe való kiépítését. Útmutatók is találhatók az üzembehelyezési architektúra beállításának meghatározásához.