Apa yang dimaksud dengan Azure Dedicated HSM?
Azure Dedicated HSM adalah layanan Azure yang menyediakan penyimpanan kunci kriptografi di Azure. Dedicated HSM memenuhi persyaratan keamanan yang paling ketat. Ia adalah solusi ideal untuk konsumen yang memerlukan perangkat yang divalidasi FIPS 140-2 Level 3 serta kontrol lengkap dan eksklusif dari peralatan HSM.
Perangkat HSM disebarkan secara global di beberapa region Azure. Ia dapat dengan mudah disediakan sebagai sepasang perangkat dan dikonfigurasi untuk ketersediaan tinggi. Perangkat HSM juga dapat disediakan melintasi region untuk memastikan tidak adanya kegagalan tingkat regional. Microsoft memberikan layanan Dedicated HSM dengan menggunakan peralatan Thales Luna 7 HSM model A790. Perangkat ini menawarkan tingkat kinerja tertinggi dan opsi integrasi kriptografi.
Setelah disediakan, perangkat HSM terhubung langsung ke jaringan virtual konsumen. Perangkat juga dapat diakses oleh aplikasi on-premise dan alat pengelolaan ketika Anda mengonfigurasi konektivitas VPN titik-ke-situs atau situs-ke-situs. Konsumen mendapatkan perangkat lunak dan dokumentasi untuk mengonfigurasi dan mengelola perangkat HSM dari portal dukungan pelanggan Thales.
Mengapa menggunakan Azure Dedicated HSM?
Kepatuhan FIPS 140-2 Level-3
Banyak organisasi memiliki peraturan industri yang ketat yang mengharuskan kunci kriptografi disimpan dalam HSM yang divalidasi FIPS 140-2 Level-3. Azure Dedicated HSM dan penawaran penyewa tunggal baru, Azure Key Vault Managed HSM, membantu konsumen dari berbagai segmen industri, seperti industri jasa keuangan, lembaga pemerintah, dan lainnya memenuhi persyaratan FIPS 140-2 Level-3. Sementara layanan Azure Key Vault multi-penyewa Microsoft saat ini menggunakan HSM yang divalidasi FIPS 140-2 Level-2.
Perangkat penyewa tunggal
Banyak konsumen kami memiliki persyaratan untuk penyewaan tunggal dari perangkat penyimpanan kriptografi. Layanan Azure Dedicated HSM memungkinkannya untuk menyediakan perangkat fisik dari salah satu pusat data Microsoft yang didistribusikan secara global. Setelah disediakan untuk konsumen, hanya konsumen yang dapat mengakses perangkat.
Kontrol administratif penuh
Banyak pelanggan memerlukan kontrol administratif penuh dan akses tunggal ke perangkat mereka untuk tujuan administratif. Setelah perangkat disediakan, hanya konsumen yang memiliki akses tingkat administratif atau aplikasi ke perangkat.
Microsoft tidak memiliki kontrol administratif setelah konsumen mengakses perangkat untuk pertama kalinya, saat konsumen mengubah kata sandi. Sejak saat itu, konsumen adalah penyewa tunggal sejati dengan kontrol administratif penuh dan kemampuan pengelolaan aplikasi. Microsoft memang mempertahankan akses tingkat pemantauan (bukan peran admin) untuk telemetri melalui koneksi port serial. Akses ini mencakup pemantauan perangkat keras seperti suhu, kesehatan catu daya, dan kesehatan kipas.
Konsumen bebas untuk menonaktifkan pemantauan ini jika diperlukan. Akan tetapi, jika mereka menonaktifkannya, mereka tidak akan menerima peringatan kesehatan proaktif dari Microsoft.
Performa tinggi
Perangkat Thales dipilih untuk layanan ini karena berbagai alasan. Ia menawarkan berbagai dukungan algoritma kriptografi, beragam sistem operasi yang didukung, dan dukungan API yang luas. Model spesifik yang disebarkan menawarkan kinerja luar biasa dengan 10.000 operasi per detik untuk RSA-2048. Ia mendukung 10 partisi yang dapat digunakan untuk instans aplikasi yang unik. Perangkat ini memiliki latensi rendah, kapasitas tinggi, dan perangkat throughput tinggi.
Penawaran berbasis cloud yang unik
Microsoft menyadari adanya kebutuhan spesifik untuk sekumpulan konsumen yang unik. Ia merupakan satu-satunya penyedia cloud yang menawarkan kepada konsumen baru layanan HSM terdedikasi yang divalidasi FIPS 140-2 Level 3 dan menawarkan tingkat integrasi aplikasi berbasis cloud dan on-premise.
Apakah Azure Dedicated HSM tepat untuk Anda?
Azure Dedicated HSM adalah layanan khusus yang ditujukan untuk persyaratan unik untuk jenis organisasi skala besar spesifik. Akibatnya, ada ekspektasi bahwa banyak dari konsumen Azure tidak sesuai dengan profil penggunaan untuk layanan ini. Banyak yang akan menemukan layanan Azure Key Vault atau Azure Managed HSM lebih tepat dan hemat biaya. Untuk membantu Anda memutuskan apakah ia sesuai dengan kebutuhan Anda, kami telah mengidentifikasi kriteria berikut.
Paling cocok
Azure Dedicated HSM paling cocok untuk skenario "lift-and-shift" yang memerlukan akses langsung dan tunggal ke perangkat HSM. Contohnya meliputi:
- Memigrasikan aplikasi dari on-premise ke Azure Virtual Machines
- Memigrasikan aplikasi dari Amazon AWS EC2 ke komputer virtual yang menggunakan layanan AWS Cloud HSM Classic (Amazon tidak menawarkan layanan ini kepada konsumen baru)
- Menjalankan perangkat lunak yang terbungkus ketat seperti Apache/Ngnix SSL Offload, Oracle TDE, dan ADCS di Azure Virtual Machines
Tidak cocok
Azure Dedicated HSM tidak cocok untuk jenis skenario berikut: Layanan cloud Microsoft yang mendukung enkripsi dengan kunci yang dikelola pelanggan (seperti Azure Information Protection, Azure Disk Encryption, Azure Data Lake Storage, Azure Storage, Azure SQL Database, dan Kunci Konsumen untuk Office 365) yang tidak terintegrasi dengan Azure Dedicated HSM.
Catatan
Pelanggan harus memiliki Manajer Akun Microsoft yang ditetapkan dan memenuhi persyaratan moneter lima juta ($ 5 juta) USD atau lebih besar dalam keseluruhan pendapatan Azure yang berkomitmen setiap tahun untuk memenuhi syarat untuk onboarding dan penggunaan Azure Dedicated HSM.
Tergantung.
Apakah Azure Dedicated HSM akan berfungsi untuk Anda tergantung pada perpaduan persyaratan dan kompromi yang berpotensi kompleks yang dapat atau tidak dapat Anda buat. Contohnya adalah persyaratan FIPS 140-2 Level 3. Persyaratan ini bersifat umum, dan Azure Dedicated HSM dan penawaran penyewa tunggal baru, Azure Key Vault Managed HSM saat ini adalah satu-satunya opsi untuk memenuhinya. Jika persyaratan yang diamanatkan ini tidak relevan, maka seringkali pilihannya antara Azure Key Vault dan Azure Dedicated HSM. Nilailah persyaratan Anda sebelum membuat keputusan.
Situasi di mana Anda harus menimbang opsi Anda meliputi:
- Kode baru yang berjalan di komputer virtual konsumen Azure
- SQL Server TDE di komputer virtual Azure
- Enkripsi sisi klien Azure Storage
- SQL Server dan Azure SQL DB Always Encrypted
Langkah berikutnya
Ini adalah layanan yang sangat khusus. Oleh karena itu, kami menyarankan agar Anda sepenuhnya memahami konsep utama dalam kumpulan dokumentasi ini, termasuk harga, dukungan, dan perjanjian tingkat layanan.
Panduan integrasi Thales membantu Anda memfasilitasi penyediaan HSM ke lingkungan jaringan virtual yang ada. Ada juga panduan cara penggunaan untuk membantu Anda menentukan cara menyiapkan arsitektur penyebaran Anda.