Az Azure Key Vault Managed HSM bemutatása

Az Azure Key Vault felügyelt HSM (hardveres biztonsági modul) egy teljes körűen felügyelt, magas rendelkezésre állású, egybérlős, szabványoknak megfelelő felhőszolgáltatás, amely lehetővé teszi a titkosítási kulcsok védelmét a felhőalkalmazások számára a FIPS 140-2 3. szintű hitelesített HSM-ek használatával. Ez az Azure számos kulcsfontosságú felügyeleti megoldásának egyike.

A díjszabással kapcsolatos információkért tekintse meg a Felügyelt HSM-készletek szakaszt az Azure Key Vault díjszabási oldalán. A támogatott kulcstípusokról további információt a Kulcsok ismertetése című témakörben talál.

A "Felügyelt HSM-példány" kifejezés a "Felügyelt HSM-készlet" szinonimája. A félreértések elkerülése érdekében a cikkekben a "Felügyelt HSM-példányt" használjuk.

Megjegyzés:

Teljes felügyelet egy biztonsági stratégia, amely három alapelvből áll: "Ellenőrzés explicit módon", "A legkevésbé jogosultsági hozzáférés használata" és a "Behatolás feltételezése". Az adatvédelem, beleértve a kulcskezelést is, támogatja a "legkevésbé jogosultsági hozzáférés használata" elvet. További információ: Mi Teljes felügyelet?

Miért érdemes felügyelt HSM-et használni?

Teljes körűen felügyelt, magas rendelkezésre állású, egybérlős HSM szolgáltatásként

  • Teljes körűen felügyelt: A HSM kiépítését, konfigurálását, javítását és karbantartását a szolgáltatás kezeli.
  • Magas rendelkezésre állás: Minden HSM-fürt több HSM-partícióból áll. Ha a hardver meghibásodik, a rendszer automatikusan áttelepíti a HSM-fürt tagpartícióit az kifogástalan állapotú csomópontokra. További információ: Felügyelt HSM szolgáltatásiszint-szerződés
  • Egybérlős: Minden felügyelt HSM-példány egyetlen ügyfélnek van dedikáltan, és több HSM-partícióból álló fürtből áll. Minden HSM-fürt egy külön ügyfélspecifikus biztonsági tartományt használ, amely kriptográfiailag elkülöníti az egyes ügyfelek HSM-fürtjét.

Hozzáférés-vezérlés, fokozott adatvédelem és megfelelőség

  • Központosított kulcskezelés: A kritikus fontosságú, nagy értékű kulcsok kezelése a szervezetben egy helyen. A kulcsonkénti részletes engedélyekkel szabályozhatja az egyes kulcsokhoz való hozzáférést a "legkevésbé kiemelt hozzáférés" elven.
  • Izolált hozzáférés-vezérlés: A felügyelt HSM "helyi RBAC" hozzáférés-vezérlési modellje lehetővé teszi a kijelölt HSM-fürtgazdák számára, hogy teljes körű vezérléssel rendelkezzenek a HSM-ek felett, amelyeket még a felügyeleti csoport, az előfizetés vagy az erőforráscsoport rendszergazdái sem tudnak felülbírálni.
  • Privát végpontok: Privát végpontok használatával biztonságosan és privát módon csatlakozhat a felügyelt HSM-hez a virtuális hálózaton futó alkalmazásból.
  • FIPS 140-2 3. szintű érvényesített HSM-ek: Az adatok védelme és a fips (Federal Information Protection Standard) 140-2 3. szintű hitelesített HSM-ek megfelelőségi követelményeinek való megfelelés. A felügyelt HSM-k Marvell LiquidSecurity HSM-adaptereket használnak.
  • Monitorozás és naplózás: teljes mértékben integrálva az Azure Monitorral. Az Összes tevékenység teljes naplóinak lekérése az Azure Monitoron keresztül. Az Azure Log Analytics használata elemzésekhez és riasztásokhoz.
  • Adattárolás: A felügyelt HSM nem tárol/dolgoz fel ügyféladatokat azon a régión kívül, amelyben az ügyfél üzembe helyezi a HSM-példányt.

Integrálva az Azure-ral és a Microsoft PaaS/SaaS-szolgáltatásokkal

Ugyanazt az API-t és felügyeleti felületet használja, mint a Key Vault

  • A felügyelt HSM-ek használatához egyszerűen migrálhatja a tárolót (több-bérlős) tárolót használó meglévő alkalmazásokat.
  • A használatban lévő kulcskezelési megoldástól függetlenül használja ugyanazokat az alkalmazásfejlesztési és üzembehelyezési mintákat az összes alkalmazáshoz: több-bérlős tárolókhoz vagy egybérlős felügyelt HSM-ekhez.

Kulcsok importálása a helyszíni HSM-ekből

  • Hozzon létre HSM által védett kulcsokat a helyszíni HSM-ben, és importálja őket biztonságosan a felügyelt HSM-be.

További lépések