Merekomendasikan kapan harus menggunakan Modul Keamanan Perangkat Keras (HSM) khusus
Azure Dedicated HSM adalah layanan Azure yang menyediakan penyimpanan kunci kriptografi di Azure. Dedicated HSM memenuhi persyaratan keamanan yang paling ketat. Ini adalah solusi ideal untuk pelanggan yang memerlukan perangkat yang divalidasi FIPS 140-2 Level 3 dan kontrol lengkap dan eksklusif dari appliance HSM.
Perangkat HSM disebarkan secara global di beberapa wilayah Azure. Mereka dapat dengan mudah disediakan sebagai sepasang perangkat dan dikonfigurasi untuk ketersediaan tinggi. Perangkat HSM juga dapat disediakan di seluruh wilayah untuk memastikan kesiapan terhadap failover tingkat regional. Microsoft memberikan layanan Dedicated HSM dengan menggunakan appliance A790 model Thales Luna 7 HSM. Perangkat ini menawarkan tingkat performa tertinggi dan opsi integrasi kriptografi.
Setelah disediakan, perangkat HSM terhubung langsung ke jaringan virtual pelanggan. Mereka juga dapat diakses oleh aplikasi lokal dan alat manajemen saat Anda mengonfigurasi konektivitas VPN titik-ke-situs atau situs-ke-situs. Pelanggan mendapatkan perangkat lunak dan dokumentasi untuk mengonfigurasi dan mengelola perangkat HSM dari portal dukungan pelanggan Thales.
Mengapa menggunakan Azure Dedicated HSM?
Kepatuhan FIPS 140-2 Tingkat 3
Banyak organisasi memiliki peraturan industri ketat yang menentukan bahwa kunci kriptografi harus disimpan dalam HSM tervalidasi FIPS 140-2 Level-3. Azure Dedicated HSM dan penawaran penyewa tunggal baru, Azure Key Vault Managed HSM, membantu pelanggan dari berbagai segmen industri, seperti industri layanan keuangan, lembaga pemerintah, dan lainnya memenuhi persyaratan FIPS 140-2 Level-3. Layanan Azure Key Vault milik Microsoft dengan sistem multipenyewa saat ini menggunakan Perangkat Keamanan Keras (HSM) yang tervalidasi FIPS 140-2 Level-2.
Perangkat dengan satu penyewa
Banyak pelanggan kami memiliki persyaratan untuk penyewaan tunggal perangkat penyimpanan kriptografi. Layanan Azure Dedicated HSM memungkinkan mereka menyediakan perangkat fisik dari salah satu pusat data Microsoft yang didistribusikan secara global. Setelah disediakan untuk pelanggan, hanya pelanggan yang dapat mengakses perangkat.
Kontrol administratif penuh
Banyak pelanggan memerlukan kontrol administratif penuh dan akses tunggal ke perangkat mereka untuk tujuan administratif. Setelah perangkat disediakan, hanya pelanggan yang memiliki akses administratif atau tingkat aplikasi ke perangkat.
Microsoft tidak memiliki kontrol administratif setelah pelanggan mengakses perangkat untuk pertama kalinya, di mana pelanggan mengubah kata sandi. Sejak saat itu, pelanggan adalah penyewa tunggal sejati dengan kontrol administratif penuh dan kemampuan manajemen aplikasi. Microsoft mempertahankan akses tingkat monitor (bukan peran admin) untuk telemetri melalui koneksi port serial. Akses ini mencakup monitor perangkat keras seperti suhu, kesehatan catu daya, dan kesehatan kipas.
Pelanggan bebas menonaktifkan pemantauan ini yang diperlukan. Namun, jika menonaktifkannya, mereka tidak akan menerima pemberitahuan kesehatan proaktif dari Microsoft.
Performa tinggi
Perangkat Thales dipilih untuk layanan ini karena berbagai alasan. Ini menawarkan berbagai dukungan algoritma kriptografi, berbagai sistem operasi yang didukung, dan dukungan API yang luas. Model spesifik yang disebarkan menawarkan performa yang sangat baik dengan 10.000 operasi per detik untuk RSA-2048. Ini mendukung 10 partisi yang dapat digunakan untuk instans aplikasi unik. Perangkat ini memiliki latensi rendah, kapasitas tinggi, dan throughput tinggi.
Penawaran unik berbasis cloud
Microsoft mengenali kebutuhan khusus untuk sekumpulan pelanggan yang unik. Ini adalah satu-satunya penyedia cloud yang menawarkan pelanggan baru layanan HSM khusus yang divalidasi FIPS 140-2 Level 3 dan menawarkan sejauh mana integrasi aplikasi berbasis cloud dan lokal.
Apakah Azure Dedicated HSM tepat untuk Anda?
Azure Dedicated HSM adalah layanan khusus yang memenuhi persyaratan unik untuk jenis organisasi skala besar tertentu. Akibatnya, diharapkan bahwa sebagian besar pelanggan Azure tidak akan sesuai dengan profil penggunaan layanan ini. Banyak yang akan menemukan layanan Azure Key Vault atau Azure Managed HSM lebih tepat dan hemat biaya. Untuk membantu Anda memutuskan apakah itu sesuai dengan kebutuhan Anda, kami telah mengidentifikasi kriteria berikut.
Paling pas
Azure Dedicated HSM paling cocok untuk skenario "lift-and-shift" yang memerlukan akses langsung dan tunggal ke perangkat HSM. Contohnya meliputi:
- Memigrasikan aplikasi dari lokal ke Azure Virtual Machines.
- Memigrasikan aplikasi dari Amazon AWS EC2 ke komputer virtual yang menggunakan layanan AWS Cloud HSM Classic (Amazon tidak menawarkan layanan ini kepada pelanggan baru).
- Menjalankan perangkat lunak siap pakai seperti Apache/Nginx SSL Offload, Oracle TDE, dan ADCS di Azure Virtual Machines.
Tidak cocok
Azure Dedicated HSM tidak cocok untuk jenis skenario berikut: Layanan cloud Microsoft yang mendukung enkripsi dengan kunci yang dikelola pelanggan (seperti Perlindungan Informasi Azure, Azure Disk Encryption, Azure Data Lake Store, Azure Storage, Azure SQL Database, dan Kunci Pelanggan untuk Office 365) yang tidak terintegrasi dengan Azure Dedicated HSM.
Nota
Pelanggan harus memiliki Manajer Akun Microsoft yang ditetapkan dan memenuhi persyaratan moneter dengan keseluruhan pendapatan Azure yang telah dikomitmenkan sebesar lima juta USD ($5 juta) atau lebih setiap tahun untuk dapat memulai dan menggunakan Azure Dedicated HSM.
Itu tergantung
Apakah Azure Dedicated HSM akan berfungsi untuk Anda tergantung pada campuran persyaratan dan kompromi yang berpotensi kompleks yang dapat atau tidak dapat Anda buat. Contohnya adalah persyaratan FIPS 140-2 Level 3. Persyaratan ini umum, dan Azure Dedicated HSM dan penawaran penyewa tunggal baru, Azure Key Vault Managed HSM saat ini adalah satu-satunya opsi untuk memenuhinya. Jika persyaratan yang diamanatkan ini tidak relevan, seringkali itu adalah pilihan antara Azure Key Vault dan Azure Dedicated HSM. Menilai persyaratan Anda sebelum membuat keputusan.
Situasi di mana Anda harus menimbang opsi Anda meliputi:
- Kode baru yang berjalan di Azure Virtual Machine pelanggan
- SQL Server TDE di Azure Virtual Machine
- Enkripsi Azure Storage pada sisi klien
- SQL Server dan Azure SQL DB Always Encrypted