Apa itu Azure Key Vault Managed HSM?

  • Artikel

HSM (Hardware Security Module) Terkelola Azure Key Vault adalah layanan cloud yang dikelola penuh, memiliki ketersediaan tinggi, memiliki penyewa tunggal, dan memenuhi standar yang memungkinkan Anda untuk melindungi kunci kriptografi di aplikasi cloud Anda, menggunakan HSM yang divalidasi FIPS 140-2 Tingkat 3. Ini adalah salah satu dari beberapa solusi manajemen utama di Azure.

Untuk informasi harga, lihat bagian Kumpulan HSM Terkelola di halaman harga Azure Key Vault. Untuk jenis kunci yang didukung, lihat Tentang kunci.

Istilah "instans HSM Terkelola" mirip dengan istilah "kumpulan HSM Terkelola". Untuk menghindari kebingungan, kami menggunakan istilah "instans HSM Terkelola" di seluruh artikel ini.

Catatan

Zero Trust adalah strategi keamanan yang terdiri dari tiga prinsip: "Verifikasi secara eksplisit", "Gunakan akses hak istimewa paling sedikit", dan "Asumsikan pelanggaran". Perlindungan data, termasuk manajemen kunci, mendukung prinsip "gunakan akses hak istimewa paling sedikit". Untuk informasi selengkapnya, lihat Apa itu Zero Trust?

Mengapa menggunakan Managed HSM?

HSM penyewa tunggal, terkelola penuh, dengan ketersediaan tingkat tinggi sebagai layanan

  • Terkelola penuh:Provisi, konfigurasi, patching dan pemeliharaan HSM ditangani oleh layanan.
  • Sangat tersedia: Setiap kluster HSM terdiri dari beberapa partisi HSM. Jika perangkat keras gagal, partisi anggota untuk kluster HSM Anda akan secara otomatis dimigrasikan ke node yang sehat. Untuk informasi selengkapnya, lihat Perjanjian Tingkat Layanan HSM Terkelola
  • Penyewa tunggal :Setiap instans Managed HSM didedikasikan untuk satu pelanggan dan terdiri dari kluster beberapa partisi HSM. Setiap kluster HSM menggunakan domain keamanan khusus pelanggan yang terpisah yang secara kriptografis mengisolasi kluster HSM setiap pelanggan.

Kontrol akses, kepatuhan & perlindungan data yang disempurnakan

  • Manajemen kunci terpusat:Mengelola kunci penting bernilai tinggi di seluruh organisasi Anda dalam satu tempat. Dengan izin granular per kunci, mengontrol akses ke setiap kunci pada prinsip 'akses dengan hak istimewa terkecil'.
  • Kontrol akses terisolasi: Model kontrol akses "RBAC lokal" Managed HSM memungkinkan admin kluster HSM yang ditunjuk untuk memiliki kontrol penuh atas HSM yang bahkan admin grup manajemen, langganan, atau grup sumber daya tidak dapat mengambil alih.
  • Titik akhir privat: Menggunakan titik akhir privat untuk dapat tersambung ke HSM Terkelola dengan aman dan privat dari aplikasi Anda yang berjalan di jaringan virtual.
  • HSM tervalidasi FIPS 140-2 Tingkat 3: Melindungi data Anda dan memenuhi persyaratan kepatuhan dengan HSM tervalidasi FIPS (Federal Information Protection Standard) 140-2 Tingkat 3. Managed HSM menggunakan adapter HSM Marvell LiquidSecurity.
  • Monitor dan audit: terintegrasi penuh dengan Azure monitor. Dapatkan log lengkap semua aktivitas melalui Azure Monitor. Gunakan Azure Log Analytics untuk analitik dan pemberitahuan.
  • Residensi data: Managed HSM tidak menyimpan/memproses data pelanggan di luar wilayah tempat pelanggan menyebarkan instans HSM.

Terintegrasi dengan layanan Azure dan Microsoft PaaS/SaaS

Menggunakan API dan antarmuka manajemen yang sama dengan Key Vault

  • Migrasikan aplikasi yang menggunakan vault (multi-penyewa) dengan mudah untuk menggunakan HSM Terkelola.
  • Gunakan pola pengembangan dan penyebaran aplikasi yang sama untuk semua aplikasi Anda terlepas dari solusi manajemen kunci yang digunakan: vault multi-penyewa atau HSM Terkelola penyewa tunggal.

Mengimpor kunci dari HSM lokal Anda

  • Buat kunci yang dilindungi HSM di HSM lokal Anda dan impor kunci tersebut dengan aman ke HSM Terkelola.

Langkah berikutnya