Az Azure Key Vault Managed HSM bemutatása
Az Azure Key Vault felügyelt HSM (hardveres biztonsági modul) egy teljes körűen felügyelt, magas rendelkezésre állású, egybérlős, szabványoknak megfelelő felhőszolgáltatás, amely lehetővé teszi a titkosítási kulcsok védelmét a felhőalkalmazások számára a FIPS 140-2 3. szintű hitelesített HSM-ek használatával. Ez az Azure számos kulcsfontosságú felügyeleti megoldásának egyike.
A díjszabással kapcsolatos információkért tekintse meg a Felügyelt HSM-készletek szakaszt az Azure Key Vault díjszabási oldalán. A támogatott kulcstípusokról további információt a Kulcsok ismertetése című témakörben talál.
A "Felügyelt HSM-példány" kifejezés a "Felügyelt HSM-készlet" szinonimája. A félreértések elkerülése érdekében a cikkekben a "Felügyelt HSM-példányt" használjuk.
Feljegyzés
Teljes felügyelet egy biztonsági stratégia, amely három alapelvből áll: "Ellenőrzés explicit módon", "A legkevésbé jogosultsági hozzáférés használata" és a "Behatolás feltételezése". Az adatvédelem, beleértve a kulcskezelést is, támogatja a "legkevésbé jogosultsági hozzáférés használata" elvet. További információ: Mi Teljes felügyelet?
Miért érdemes felügyelt HSM-et használni?
Teljes körűen felügyelt, magas rendelkezésre állású, egybérlős HSM szolgáltatásként
- Teljes körűen felügyelt: A HSM kiépítését, konfigurálását, javítását és karbantartását a szolgáltatás kezeli.
- Magas rendelkezésre állás: Minden HSM-fürt több HSM-partícióból áll. Ha a hardver meghibásodik, a rendszer automatikusan áttelepíti a HSM-fürt tagpartícióit az kifogástalan állapotú csomópontokra. További információ: Felügyelt HSM szolgáltatásiszint-szerződés
- Egybérlős: Minden felügyelt HSM-példány egyetlen ügyfélnek van dedikáltan, és több HSM-partícióból álló fürtből áll. Minden HSM-fürt egy külön ügyfélspecifikus biztonsági tartományt használ, amely kriptográfiailag elkülöníti az egyes ügyfelek HSM-fürtjét.
Hozzáférés-vezérlés, fokozott adatvédelem és megfelelőség
- Központosított kulcskezelés: A kritikus fontosságú, nagy értékű kulcsok kezelése a szervezetben egy helyen. A kulcsonkénti részletes engedélyekkel szabályozhatja az egyes kulcsokhoz való hozzáférést a "legkevésbé kiemelt hozzáférés" elven.
- Izolált hozzáférés-vezérlés: A felügyelt HSM "helyi RBAC" hozzáférés-vezérlési modellje lehetővé teszi a kijelölt HSM-fürtgazdák számára, hogy teljes körű vezérléssel rendelkezzenek a HSM-ek felett, amelyeket még a felügyeleti csoport, az előfizetés vagy az erőforráscsoport rendszergazdái sem tudnak felülbírálni.
- Privát végpontok: Privát végpontok használatával biztonságosan és privát módon csatlakozhat a felügyelt HSM-hez a virtuális hálózaton futó alkalmazásból.
- FIPS 140-2 3. szintű érvényesített HSM-ek: Az adatok védelme és a fips (Federal Information Protection Standard) 140-2 3. szintű hitelesített HSM-ek megfelelőségi követelményeinek való megfelelés. A felügyelt HSM-k Marvell LiquidSecurity HSM-adaptereket használnak.
- Monitorozás és naplózás: teljes mértékben integrálva az Azure Monitorral. Az Összes tevékenység teljes naplóinak lekérése az Azure Monitoron keresztül. Az Azure Log Analytics használata elemzésekhez és riasztásokhoz.
- Adattárolás: A felügyelt HSM nem tárol/dolgoz fel ügyféladatokat azon a régión kívül, amelyben az ügyfél üzembe helyezi a HSM-példányt.
Integrálva az Azure-ral és a Microsoft PaaS/SaaS-szolgáltatásokkal
- Hozzon létre (vagy importáljon BYOK-kulcsokat), és használja őket inaktív adatok titkosításához az Azure-szolgáltatásokban, például az Azure Storage-ban, az Azure SQL-ben, az Azure Information Protectionben és a Microsoft 365 ügyfélkulcsában. A felügyelt HSM-sel működő Azure-szolgáltatások teljesebb listájáért tekintse meg az adattitkosítási modelleket.
Ugyanazt az API-t és felügyeleti felületet használja, mint a Key Vault
- A felügyelt HSM-ek használatához egyszerűen migrálhatja a tárolót (több-bérlős) tárolót használó meglévő alkalmazásokat.
- A használatban lévő kulcskezelési megoldástól függetlenül használja ugyanazokat az alkalmazásfejlesztési és üzembehelyezési mintákat az összes alkalmazáshoz: több-bérlős tárolókhoz vagy egybérlős felügyelt HSM-ekhez.
Kulcsok importálása a helyszíni HSM-ekből
- Hozzon létre HSM által védett kulcsokat a helyszíni HSM-ben, és importálja őket biztonságosan a felügyelt HSM-be.
Következő lépések
- Kulcskezelés az Azure-ban
- Technikai részletekért lásd : Hogyan valósítja meg a felügyelt HSM a fő szuverenitást, a rendelkezésre állást, a teljesítményt és a méretezhetőséget kompromisszumok nélkül
- Rövid útmutató: Felügyelt HSM kiépítése és aktiválása az Azure CLI használatával felügyelt HSM létrehozásához és aktiválásához
- Az Azure Managed HSM biztonsági alapkonfigurációja
- Ajánlott eljárások az Azure Key Vault felügyelt HSM használatával
- Felügyelt HSM-állapot
- Felügyelt HSM szolgáltatásiszint-szerződés
- Felügyelt HSM-régió rendelkezésre állása
- Mi az a Teljes felügyelet?