Arsitektur penyebaran Azure Dedicated HSM
Azure Dedicated HSM menyediakan penyimpanan kunci kriptografi di Azure. Ini memenuhi persyaratan keamanan yang ketat. Pelanggan akan mendapat manfaat dari menggunakan Azure Dedicated HSM jika mereka:
- Harus memenuhi sertifikasi FIPS 140-2 Level-3
- Mengharuskan mereka memiliki akses eksklusif ke HSM
- harus memiliki kontrol penuh atas perangkat mereka
HSM didistribusikan di seluruh pusat data Microsoft dan dapat dengan mudah disediakan sebagai sepasang perangkat sebagai dasar solusi dengan ketersediaan tinggi. Mereka juga dapat disebarkan di seluruh wilayah untuk solusi ketahanan bencana. Wilayah yang menyediakan Dedicated HSM saat ini dapat diperiksa menggunakan halaman Produk menurut Wilayah.
- AS Timur
- AS Timur 2
- AS Barat
- US Barat 2
- Kanada Timur
- Kanada Tengah
- US Tengah Selatan
- Asia Tenggara
- India Tengah
- India Selatan
- Jepang Timur
- Jepang Barat
- Eropa Utara
- Eropa Barat
- UK Selatan
- UK Barat
- Australia Timur
- Australia Tenggara
- Swiss Utara
- Swiss Barat
- US Gov Virginia
- US Gov Texas
Masing-masing wilayah ini memiliki rak HSM yang disebarkan di dua pusat data independen atau setidaknya dua zona ketersediaan independen. Asia Tenggara memiliki tiga zona ketersediaan dan AS Timur 2 memiliki dua. Ada total dua puluh tiga wilayah di seluruh Eropa, Asia, dan Amerika Utara yang menawarkan layanan Dedicated HSM. Untuk informasi selengkapnya tentang wilayah Azure, lihat informasi wilayah Azure resmi. Beberapa faktor desain untuk solusi berbasis Dedicated HSM adalah lokasi/latensi, ketersediaan tinggi, dan dukungan untuk aplikasi terdistribusi lainnya.
Lokasi perangkat
Lokasi perangkat HSM yang optimal berada yang paling dekat dengan aplikasi yang melakukan operasi kriptografi. Latensi dalam wilayah diharapkan menjadi milidetik satu digit. Latensi lintas wilayah bisa 5 hingga 10 kali lebih tinggi dari ini.
Ketersediaan tinggi
Untuk mencapai ketersediaan tinggi, pelanggan harus menggunakan dua perangkat HSM di wilayah yang dikonfigurasi menggunakan perangkat lunak Thales sebagai pasangan ketersediaan tinggi. Jenis penyebaran ini memastikan ketersediaan kunci jika satu perangkat mengalami masalah yang mencegahnya memproses operasi kunci. Ini juga secara signifikan mengurangi risiko ketika melakukan perawatan putus/perbaikan seperti penggantian catu daya. Penting bagi desain untuk memperhitungkan segala jenis kegagalan tingkat regional. Kegagalan tingkat regional dapat terjadi ketika ada bencana alam seperti angin topan, banjir, atau gempa bumi. Jenis peristiwa ini harus dimitigasi dengan menyediakan perangkat HSM di wilayah lain. Perangkat yang disebarkan di wilayah lain dapat dipasangkan bersama melalui konfigurasi perangkat lunak Thales. Ini berarti bahwa penyebaran minimum untuk solusi tahan bencana dan dengan ketersesiaan tinggi adalah empat perangkat HSM di dua wilayah. Redundansi lokal dan redundansi di seluruh wilayah dapat digunakan sebagai garis dasar untuk menambahkan penyebaran perangkat HSM lebih lanjut untuk mendukung latensi, kapasitas, atau untuk memenuhi persyaratan khusus aplikasi lainnya.
Dukungan aplikasi terdistribusi
Perangkat Dedicated HSM biasanya digunakan untuk mendukung aplikasi yang perlu melakukan penyimpanan kunci dan operasi pengambilan kunci. Perangkat Dedicated HSM memiliki 10 partisi untuk dukungan aplikasi independen. Lokasi perangkat harus didasarkan pada tampilan holistik dari semua aplikasi yang perlu menggunakan layanan tersebut.
Langkah berikutnya
Setelah arsitektur penyebaran ditentukan, sebagian besar aktivitas konfigurasi untuk mengimplementasikan arsitektur tersebut akan disediakan oleh Thales. Ini termasuk konfigurasi perangkat serta skenario integrasi aplikasi. Untuk informasi lebih lanjut, gunakan portal dukungan pelanggan Thales dan unduh panduan administrasi dan konfigurasi. Situs mitra Microsoft memiliki berbagai panduan integrasi. Disarankan bahwa semua konsep utama layanan, seperti tingginya ketersediaan dan keamanan misalnya, dipahami dengan baik sebelum provisi perangkat atau desain dan penyebaran aplikasi. Topik konsep tingkat lebih lanjut: