Baca dalam bahasa Inggris Edit

Bagikan melalui


Pertanyaan Umum (FAQ)

Temukan jawaban atas pertanyaan umum tentang Microsoft Azure Dedicated HSM.

Dasar-dasarnya

Apa itu hardware security module (HSM)?

Hardware Security Module (HSM) adalah perangkat komputasi fisik yang digunakan untuk melindungi dan mengelola kunci kriptografi. Kunci yang disimpan dalam HSM dapat digunakan untuk operasi kriptografi. Materi utama tetap aman dalam modul perangkat keras yang tahan terhadap perusakan. HSM hanya memungkinkan aplikasi yang diautentikasi dan resmi untuk menggunakan kunci. Materi kunci tidak pernah meninggalkan batas perlindungan HSM.

Apa yang Azure Dedicated HSM tawarkan?

Azure Dedicated HSM adalah layanan berbasis cloud yang menyediakan HSM yang dihosting di pusat data Azure yang terhubung langsung ke jaringan virtual pelanggan. HSM ini merupakan peralatan jaringan Thales Luna 7 HSM khusus. Mereka disebarkan langsung ke ruang alamat IP privat pelanggan dan Microsoft tidak memiliki akses apa pun ke fungsionalitas kriptografi HSM. Hanya pelanggan yang memiliki kontrol administratif dan kriptografi penuh atas perangkat ini. Pelanggan bertanggung jawab atas pengelolaan perangkat dan mereka bisa mendapatkan log aktivitas penuh langsung dari perangkat mereka. Dedicated HSM membantu pelanggan memenuhi persyaratan kepatuhan/peraturan seperti FIPS 140-2 Level 3, HIPAA, PCI-DSS, dan eIDAS dan banyak lainnya.

Apa saja pembatasan onboarding dan penggunaan untuk Dedicated HSM?

Pelanggan harus memiliki Manajer Akun Microsoft yang ditetapkan dan memenuhi persyaratan moneter sebesar 5 juta ($ 5 juta) USD atau lebih besar dalam keseluruhan pendapatan Azure yang berkomitmen setiap tahun untuk memenuhi syarat untuk onboarding dan penggunaan Azure Dedicated HSM.

Perangkat keras apa yang digunakan untuk Azure Dedicated HSM?

Microsoft bermitra dengan Thales untuk memberikan layanan Azure Dedicated HSM. Perangkat spesifik yang digunakan adalah Thales Luna 7 HSM model A790. Perangkat ini tidak hanya menyediakan firmware tervalidasi FIPS 140-2 Level-3, tetapi juga menawarkan latensi rendah, performa tinggi, dan kapasitas tinggi melalui 10 partisi.

Digunakan untuk apa HSM?

HSM digunakan untuk menyimpan kunci kriptografi, yang digunakan untuk fungsionalitas kriptografi seperti TLS (keamanan lapisan transportasi), data enkripsi, PKI (infrastruktur kunci publik), Digital rights management (manajemen hak digital), dan dokumen penandatanganan.

Bagaimana cara kerja Azure Dedicated HSM?

Pelanggan dapat menprovisikan HSM di wilayah tertentu menggunakan PowerShell atau antarmuka baris perintah. Pelanggan menentukan jaringan virtual apa yang terhubung dengan HSM dan setelah disediakan, HSM tersedia di subnet yang ditunjuk pada alamat IP yang ditetapkan di ruang alamat IP privat pelanggan. Kemudian pelanggan dapat terhubung ke HSM menggunakan SSH untuk manajemen dan administrasi peralatan, mengatur koneksi klien HSM, menginisialisasi HSM, membuat partisi, mendefinisikan, dan menetapkan peran seperti petugas partisi, petugas kripto, dan pengguna kripto. Kemudian pelanggan menggunakan alat klien/SDK/perangkat lunak HSM yang disediakan Thales untuk melakukan operasi kriptografi dari aplikasi mereka.

Perangkat lunak apa yang disediakan dengan layanan Azure Dedicated HSM?

Thales menyediakan semua perangkat lunak untuk perangkat HSM yang pernah diprovisikan oleh Microsoft. Perangkat lunak ini tersedia di portal dukungan pelanggan Thales. Pelanggan yang menggunakan layanan Azure Dedicated HSM wajib didaftarkan untuk dukungan Thales dan memiliki ID Pelanggan yang mengaktifkan akses dan mengunduh perangkat lunak yang relevan. Perangkat lunak klien yang didukung adalah versi 7.2, yang kompatibel dengan firmware tervalidasi FIPS 140-2 Level 3 versi 7.0.3.

Biaya tambahan apa yang mungkin dikeluarkan dengan layanan Azure Dedicated HSM?

Item berikut dikenakan biaya tambahan saat menggunakan layanan Dedicated HSM.

  • Penggunaan perangkat cadangan lokal khusus layak digunakan dengan layanan Dedicated HSM, tetapi dikenakan biaya tambahan dan harus langsung bersumber dari Thales.
  • Dedicated HSM disediakan dengan lisensi partisi 10. Pelanggan dapat meminta lebih banyak partisi dan membayar lebih banyak lisensi yang bersumber langsung dari Thales.
  • Dedicated HSM memerlukan infrastruktur jaringan (jaringan virtual, VPN Gateway, Dll.) dan sumber daya seperti komputer virtual untuk konfigurasi perangkat. Sumber daya ini dikenakan biaya tambahan dan tidak termasuk dalam harga layanan Dedicated HSM.

Apakah Azure Dedicated HSM menawarkan autentikasi berbasis Kata Sandi dan PED?

Tidak. Azure Dedicated HSM hanya menyediakan HSM dengan autentikasi berbasis kata sandi.

Apakah Azure Dedicated HSM mendukung modul fungsionalitas?

Tidak. Layanan Azure Dedicated HSM tidak mendukung modul fungsionalitas.

Akankah Azure Dedicated HSM menyelenggarakan HSM untuk saya?

Microsoft hanya menawarkan Thales Luna 7 HSM model A790 melalui layanan Azure Dedicated HSM dan tidak dapat meng-host perangkat yang disediakan pelanggan.

Apakah Azure Dedicated HSM mendukung fitur pembayaran (PIN/EFT)?

Layanan Azure Dedicated HSM menggunakan Thales Luna 7 HSM. Perangkat ini tidak mendukung fungsionalitas khusus HSM pembayaran (seperti PIN atau TDE) atau sertifikasi. Jika Anda ingin layanan Azure Dedicated HSM mendukung Pembayaran HSM di masa mendatang, teruskan umpan balik ini ke Perwakilan Akun Microsoft Anda.

Di Wilayah Azure mana saja Azure Dedicated HSM tersedia?

Mulai Oktober 2022, Dedicated HSM tersedia di 22 wilayah. Wilayah lebih lanjut direncanakan dan dapat dibahas melalui Perwakilan Akun Microsoft Anda.

  • AS Timur
  • AS Timur 2
  • AS Barat
  • US Barat 2
  • Kanada Timur
  • Kanada Tengah
  • US Tengah Selatan
  • Asia Tenggara
  • India Tengah
  • India Selatan
  • Jepang Timur
  • Jepang Barat
  • Eropa Utara
  • Eropa Barat
  • UK Selatan
  • UK Barat
  • Australia Timur
  • Australia Tenggara
  • Swiss Utara
  • Swiss Barat
  • US Gov Virginia
  • US Gov Texas

Interoperabilitas

Bagaimana aplikasi saya terhubung ke Azure Dedicated HSM?

Anda menggunakan Thales yang disediakan alat klien HSM/SDK/Perangkat lunak untuk melakukan operasi kriptografi dari aplikasi Anda. Perangkat lunak ini tersedia di portal dukungan pelanggan Thales. Pelanggan yang menggunakan layanan Azure Dedicated HSM wajib didaftarkan untuk dukungan Thales dan memiliki ID Pelanggan yang mengaktifkan akses dan mengunduh perangkat lunak yang relevan.

Dapatkah aplikasi terhubung ke Dedicated HSM dari jaringan virtual yang berbeda di atau di seluruh wilayah?

Ya, Anda perlu menggunakan peering jaringan virtual dalam suatu wilayah untuk membangun konektivitas di seluruh jaringan virtual. Untuk konektivitas lintas wilayah, Anda harus menggunakan VPN Gateway.

Dapatkah saya menyinkronkan Azure Dedicated HSM dengan HSM lokal?

Ya, Anda dapat menyinkronkan HSM lokal dengan Dedicated HSM. Konektivitas VPN point-to-point atau point-to-site dapat digunakan untuk membangun konektivitas dengan jaringan lokal Anda.

Bisakah saya mengenkripsi data yang digunakan oleh layanan Azure lainnya menggunakan kunci yang disimpan di Azure Dedicated HSM?

Tidak. Azure Dedicated HSM hanya dapat diakses dari dalam jaringan virtual Anda.

Bisakah saya mengimpor kunci dari HSM Lokal yang ada ke Azure Dedicated HSM?

Ya, jika Anda memiliki Thales Luna 7 HSM lokal. Ada beberapa metode. Lihat dokumentasi Thales HSM.

Sistem operasi apa yang didukung perangkat lunak klien Dedicated HSM?

  • Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
  • Virtual: VMware, Hyper-V, Xen, KVM

Bagaimana cara mengonfigurasi aplikasi klien saya untuk membuat konfigurasi ketersediaan tinggi dengan beberapa partisi dari beberapa HSM?

Untuk memiliki ketersediaan tinggi, Anda perlu menyiapkan konfigurasi aplikasi klien HSM Anda untuk menggunakan partisi dari setiap HSM. Lihat dokumentasi perangkat lunak klien Thales HSM.

Mekanisme autentikasi apa yang didukung oleh Azure Dedicated HSM?

Azure Dedicated HSM menggunakan perangkat Thales Luna 7 HSM model A790 dan mendukung autentikasi berbasis kata sandi.

SDK, API, dan perangkat lunak klien apa saja yang tersedia untuk digunakan dengan Azure Dedicated HSM?

PKCS#11, Java (JCA/JCE), Microsoft CAPI, dan CNG, OpenSSL

Bisakah saya mengimpor/memigrasikan kunci dari Luna 5/6 HSM ke Azure Dedicated HSM?

Ya. Hubungi perwakilan Thales Anda untuk panduan migrasi Thales yang sesuai.

Dapatkah saya menginstal modul fungsionalitas ke Azure Dedicated HSMs?

Tidak. Layanan Azure Dedicated HSM tidak mendukung modul fungsionalitas.

Menggunakan HSM Anda

Bagaimana cara memutuskan apakah akan menggunakan Azure Key Vault atau Azure Dedicated HSM?

Azure Dedicated HSM adalah pilihan yang tepat untuk perusahaan yang bermigrasi ke aplikasi lokal Azure yang menggunakan HSM. Dedicated HSM menghadirkan opsi untuk memigrasikan aplikasi dengan perubahan minimal. Jika operasi kriptografi dilakukan dalam kode aplikasi yang berjalan di Azure VM atau Aplikasi Web, mereka dapat menggunakan Azure Dedicated HSM. Secara umum, perangkat lunak yang dibungkus menyusut yang berjalan dalam model IaaS (infrastruktur sebagai layanan) yang mendukung HSM sebagai penyimpanan kunci dapat menggunakan Dedikasikan HSM, seperti manajer lalu lintas untuk TLS tanpa kunci, ADCS (Layanan Sertifikat Direktori Aktif), atau alat PKI serupa, alat/aplikasi yang digunakan untuk penandatanganan dokumen, penandatanganan kode, atau SQL Server (IaaS) yang dikonfigurasi dengan TDE (enkripsi database transparan) dengan kunci utama dalam HSM menggunakan penyedia EKM (manajemen kunci yang dapat diperluas). Azure Key Vault cocok untuk aplikasi "born-in-cloud" atau untuk enkripsi pada skenario istirahat di mana data pelanggan diproses oleh PaaS (platform as a service atau platform sebagai layanan) atau skenario SaaS (Software as a service atau Perangkat lunak sebagai layanan) seperti Kunci Pelanggan Office 365, Perlindungan Informasi Azure, Enkripsi Disk Azure, enkripsi Azure Data Lake Store dengan kunci yang dikelola pelanggan, enkripsi Penyimpanan Azure dengan kunci yang dikelola pelanggan, dan Azure SQL dengan kunci yang dikelola pelanggan.

Skenario penggunaan seperti apa yang paling sesuai dengan Azure Dedicated HSM?

Azure Dedicated HSM paling cocok untuk skenario migrasi di mana Anda memigrasikan aplikasi lokal ke Azure yang sudah menggunakan HSM, menyediakan metode gesekan rendah untuk bermigrasi ke Azure dengan perubahan minimal pada aplikasi. Jika operasi kriptografi dilakukan dalam kode aplikasi yang berjalan di Azure VM atau Web App, Dedicated HSM dapat digunakan. Secara umum, perangkat lunak yang dibungkus menyusut yang berjalan dalam model IaaS (infrastruktur sebagai layanan) yang mendukung HSM sebagai penyimpanan kunci dapat menggunakan Dedikasikan HSM, seperti:

  • Azure Traffic Manager untuk TLS Tanpa Kunci
  • ADCS (Active Directory Certificate Services atau Layanan Sertifikat Direktori Aktif)
  • Alat PKI serupa
  • Alat/aplikasi yang digunakan untuk penandatanganan dokumen
  • Penandatanganan kode
  • SQL Server (IaaS) dikonfigurasi dengan TDE (enkripsi database transparan) dengan kunci primer dalam HSM menggunakan penyedia EKM (manajemen kunci yang dapat diperluas)

Dapatkah Azure Dedicated HSM digunakan dengan Office 365 Customer Key, Microsoft Azure Information Protection, Azure Data Lake Storage, Azure Disk Encryption, enkripsi Microsoft Azure Storage, Azure SQL TDE?

Tidak. Dedicated HSM disediakan langsung ke ruang Alamat IP pribadi pelanggan sehingga tidak dapat diakses oleh layanan Azure atau Microsoft lainnya.

Administrasi, akses, dan kontrol

Apakah pelanggan mendapatkan kontrol eksklusif penuh atas HSM dengan Dedicated HSM?

Ya. Setiap perangkat HSM sepenuhnya dikhususkan untuk satu pelanggan tunggal dan tidak ada orang lain yang memiliki kontrol administratif setelah tersedia dan kata sandi administrator berubah.

Tingkat akses apa yang Microsoft miliki ke HSM saya?

Microsoft tidak memiliki kontrol administratif atau kriptografi atas HSM. Microsoft memiliki akses tingkat pemantauan melalui koneksi port serial untuk mengambil telemetri dasar seperti suhu dan kesehatan komponen, untuk memungkinkan Microsoft memberikan pemberitahuan proaktif tentang masalah kesehatan. Jika perlu, pelanggan dapat menonaktifkan akun ini.

Apa yang digunakan akun "admin penyewa" Microsoft? Saya terbiasa dengan pengguna admin yang menjadi "admin" di Thales Luna HSMs

Perangkat HSM dikirim dengan admin pengguna default dengan kata sandi default yang biasa. Microsoft tidak ingin memiliki kata sandi default yang digunakan saat perangkat apa pun berada di kumpulan yang menunggu provisi oleh pelanggan. Ini tidak akan memenuhi persyaratan keamanan kami yang ketat. Untuk alasan ini, kami mengatur kata sandi yang kuat, yang dihapus pada saat provisi. Selain itu, pada saat provisi kami membuat pengguna baru dalam peran admin yang disebut "admin penyewa". Pengguna "admin penyewa" memiliki kata sandi default, yang diubah pelanggan sebagai tindakan pertama saat pertama kali masuk ke perangkat yang baru disediakan. Proses ini memastikan tingkat keamanan yang tinggi dan mempertahankan janji kami atas kontrol administratif tunggal bagi pelanggan kami. Perlu dicatat bahwa pengguna "admin penyewa" dapat digunakan untuk mengatur ulang kata sandi pengguna admin jika pelanggan lebih memilih menggunakan akun tersebut.

Bisakah Microsoft atau siapa pun di Microsoft mengakses kunci di Azure Dedicated HSM saya?

Tidak. Microsoft tidak memiliki akses apa pun pada kunci yang disimpan di Azure Dedicated HSM yang dialokasikan pelanggan.

Apakah Azure Dedicated HSM menyimpan data pelanggan?

Tidak. Azure Dedicated HSM adalah HSM baremetal untuk layanan sewa. Layanan kami tidak menyimpan data pelanggan. Semua materi dan data utama disimpan dalam appliance HSM pelanggan. Setiap appliance HSM sepenuhnya didedikasikan untuk satu pelanggan tunggal, yang mereka memiliki kontrol administratif penuh.

Dapatkah saya meningkatkan perangkat lunak /firmware pada HSM yang dialokasikan untuk saya?

Pelanggan memiliki kontrol administratif penuh termasuk meningkatkan perangkat lunak/firmware jika fitur tertentu diperlukan dari versi firmware yang berbeda. Sebelum membuat perubahan, konsultasikan dengan Dukungan Thales tentang skenario peningkatan perangkat lunak/firmware Anda.

Bagaimana cara mengelola Azure Dedicated HSM?

Anda dapat mengelola Azure Dedicated HSM dengan mengaksesnya menggunakan SSH.

Bagaimana cara mengelola partisi pada Azure Dedicated HSM?

Perangkat lunak klien Thales HSM digunakan untuk mengelola HSM dan partisi.

Bagaimana cara memantau HSM saya?

Pelanggan memiliki akses penuh ke log aktivitas HSM melalui syslog dan SNMP. Pelanggan harus menyiapkan server syslog atau server SNMP untuk menerima log atau peristiwa dari HSM.

Bisakah saya mendapatkan log akses penuh semua operasi HSM dari Azure Dedicated HSM?

Ya. Anda dapat mengirim log dari alat HSM ke server syslog

Ketersediaan tinggi

Apakah mungkin untuk mengonfigurasikan ketersediaan tinggi di wilayah yang sama atau di beberapa lintas wilayah?

Ya. Konfigurasi dan persiapan ketersediaan tinggi dilakukan dalam perangkat lunak klien HSM yang disediakan oleh Thales. HSM dari jaringan virtual yang sama atau VNET lainnya di wilayah yang sama atau di seluruh wilayah, atau HSM lokal yang terhubung ke jaringan virtual menggunakan VPN situs-ke-situs atau titik-ke-titik dapat ditambahkan ke konfigurasi ketersediaan tinggi yang sama. Perlu dicatat bahwa ini hanya menyinkronkan materi kunci dan bukan item konfigurasi tertentu seperti peran.

Bisakah saya menambahkan HSM dari jaringan lokal saya ke grup ketersediaan tinggi dengan Azure Dedicated HSM?

Ya. Mereka harus memenuhi persyaratan ketersediaan tinggi untuk Thales Luna 7 HSM

Bisakah saya menambahkan Luna 5/6 HSM dari jaringan lokal ke grup ketersediaan tinggi dengan Azure Dedicated HSM?

Tidak.

Berapa banyak HSM yang dapat saya tambahkan ke konfigurasi ketersediaan tinggi yang sama dari satu aplikasi tunggal?

Enam belas anggota grup KETERSEDIAAN TINGGI memiliki pengujian pembatasan penuh yang kurang dengan hasil yang sangat baik.

Dukungan

Apa itu SLA untuk layanan Azure Dedicated HSM?

Tidak ada jaminan spesifik waktu aktif yang disediakan untuk layanan Azure Dedicated HSM. Microsoft memastikan akses tingkat jaringan ke perangkat, dan karenanya SLA jaringan Azure standar berlaku.

Bagaimana HSM yang digunakan dalam Azure Dedicated HSM dilindungi?

Pusat data Azure memiliki kontrol keamanan fisik dan prosedural yang luas. Selain itu Dedicated HSM dihosting di area akses terbatas lebih lanjut dari pusat data. Area ini memiliki lebih banyak kontrol akses fisik dan pengawasan kamera video untuk keamanan tambahan.

Apa yang terjadi jika ada pelanggaran keamanan atau peristiwa perusakan perangkat keras?

Layanan Dedicated HSM menggunakan peralatan Thales Luna 7 HSM. Perangkat ini mendukung deteksi perusak fisik dan logis. Jika pernah ada peristiwa perusakan, HSM secara otomatis di-nol.

Bagaimana cara memastikan bahwa kunci di Azure Dedicated HSM saya tidak hilang karena kesalahan atau serangan orang dalam yang berbahaya?

Sangat disarankan untuk menggunakan perangkat cadangan HSM lokal untuk melakukan pencadangan berkala reguler dari HSM untuk pemulihan bencana. Anda harus menggunakan koneksi VPN peer-to-peer atau situs-ke-situs ke stasiun kerja lokal yang terhubung ke perangkat cadangan HSM.

Bagaimana cara saya mendapatkan dukungan untuk Azure Dedicated HSM?

Dukungan disediakan oleh Microsoft dan Thales. Jika Anda memiliki masalah dengan akses perangkat keras atau jaringan, naikkan permintaan dukungan dengan Microsoft dan jika Anda memiliki masalah dengan konfigurasi, perangkat lunak, dan pengembangan aplikasi HSM, akan meningkatkan permintaan dukungan dengan Thales. Jika Anda memiliki masalah yang belum ditentukan, ajukan permintaan dukungan dengan Microsoft dan kemudian Thales dapat diaktifkan sesuai permintaan.

Bagaimana cara mendapatkan perangkat lunak, dokumentasi, dan akses ke panduan integrasi untuk Thales Luna 7 HSM?

Setelah Mendaftar untuk layanan, Anda akan menerima ID Pelanggan Thales yang memungkinkan pendaftaran di portal dukungan pelanggan Thales, memungkinkan akses ke semua perangkat lunak dan dokumentasi serta permintaan dukungan langsung dengan Thales.

Jika ada kerentanan keamanan ditemukan dan patch yang dirilis oleh Thales, siapa yang bertanggung jawab untuk meningkatkan/menambal OS/Firmware?

Microsoft tidak memiliki kemampuan untuk terhubung ke HSM yang dialokasikan untuk pelanggan. Pelanggan harus meningkatkan dan menambal HSM mereka.

Bagaimana jika saya perlu me-boot ulang HSM saya?

HSM memiliki opsi reboot baris perintah, namun, kami mengalami masalah di mana reboot berhenti merespons sewaktu-waktu dan untuk alasan ini disarankan untuk reboot teraman yang Anda sarankan untuk reboot paling aman bahwa Anda meningkatkan permintaan dukungan dengan Microsoft agar perangkat direboot secara fisik.

Kriptografi dan standar

Apakah aman menyimpan kunci enkripsi untuk data terpenting saya di Azure Dedicated HSM?

Ya, Ketentuan Azure Dedicated HSM Thales Luna 7 HSM yang divalidasi FIPS 140-2 Tingkat-3.

Dedicated HSM mendukung kunci dan algoritma kriptografi mana?

Layanan Dedicated HSM memprovisikan peralatan Thales Luna 7 HSM. Mereka mendukung berbagai jenis kunci kriptografi dan algoritme termasuk: dukungan Full Suite B

  • Asimetris:
    • RSA
    • DSA
    • Diffie-Hellman
    • Kurva Elips
    • Kriptografi (ECDSA, ECDH, Ed25519, ECIES) dengan kurva bernama, didefinisikan pengguna, dan Brainpool, KCDSA
  • Simetris:
    • AES-GCM
    • Triple DES
    • DES
    • ARIA, SEED
    • RC2
    • RC4
    • RC5
    • CAST
    • Hash/Message Digest/HMAC: SHA-1, SHA-2, SM3
    • Derivasi Kunci: Mode Penghitung SP 800-108
    • Pembungkus kunci: SP 800-38F
    • Pembuatan Nomor Acak: DRBG yang disetujui FIPS 140-2 (mode SP 800-90 CTR), mematuhi BSI DRG.4

Apakah Azure Dedicated HSM FIPS 140-2 Tingkat 3 divalidasi?

Ya. Layanan Dedicated HSM memprovisikan peralatan Thales Luna 7 HSM model A790 yang divalidasi FIPS 140-2 Level-3.

Apa yang harus saya lakukan untuk memastikan saya mengoperasikan Azure Dedicated HSM dalam mode tervalidasi FIPS 140-2 Tingkat 3?

Layanan Azure Dedicated HSM memprovisikan appliance Thales Luna 7 HSM. Perangkat ini adalah HSM tervalidasi FIPS 140-2 Level 3. Konfigurasi, sistem operasi, dan firmware yang disebarkan secara default juga divalidasi FIPS.id. Anda tidak perlu mengambil tindakan apa pun untuk kepatuhan FIPS 140-2 Level 3.

Bagaimana pelanggan memastikan bahwa ketika HSM dibatalkan semua materi kunci dihapuskan secara menyeluruh?

Sebelum meminta deprovisioning, pelanggan harus memiliki nol HSM menggunakan Thales menyediakan alat klien HSM.

Performa dan skala

Berapa banyak operasi kriptografi yang didukung per detik dengan Azure Dedicated HSM?

Dedicated HSM memprovisikan Thales Luna 7 HSM. Berikut adalah ringkasan kinerja maksimum untuk beberapa operasi:

  • RSA-2048: 10.000 transaksi per detik
  • ECC P256: 20.000 transaksi per detik
  • AES-GCM: 17.000 transaksi per detik

Berapa banyak partisi yang dapat dibuat di Azure Dedicated HSM?

Thales Luna 7 HSM model A790 yang digunakan mencakup lisensi untuk 10 partisi dalam biaya layanan. Perangkat ini memiliki batas 100 partisi dan menambahkan partisi hingga batas ini akan dikenakan biaya lisensi ekstra dan memerlukan pemasangan file lisensi baru pada perangkat.

Berapa banyak kunci yang dapat didukung di Azure Dedicated HSM?

Jumlah maksimum tombol adalah fungsi memori yang tersedia. Thales Luna 7 model A790 yang digunakan memiliki memori 32 MB. Angka-angka berikut juga berlaku untuk pasangan kunci jika menggunakan kunci asimetris.

  • RSA-2048 - 19,000
  • ECC-P256 - 91,000

Kapasitas bervariasi tergantung pada atribut kunci tertentu yang diatur dalam templat pembuatan kunci dan jumlah partisi.