Informazioni su Modulo di protezione hardware dedicato di Azure
Modulo di protezione hardware dedicato di Azure è un servizio di Azure che offre l'archiviazione di chiavi crittografiche in Azure. Tale servizio soddisfa i requisiti di sicurezza più rigorosi. È la soluzione ideale per i clienti che richiedono dispositivi convalidati dalla certificazione FIPS 140-2 Livello 3 e il controllo completo ed esclusivo dell'appliance HSM.
I dispositivi HSM vengono distribuiti a livello globale in diverse aree di Azure. È possibile eseguirne facilmente il provisioning come una coppia di dispositivi e configurarli per la disponibilità elevata. È anche possibile effettuare il provisioning dei dispositivi HSM tra varie aree per garantire il failover a livello regionale. Microsoft fornisce il servizio HSM dedicato grazie alle appliance Thales Luna 7 HSM modello A790. Questo dispositivo offre i livelli più elevati di prestazioni e opzioni di integrazione crittografica.
Una volta eseguito il provisioning, i dispositivi HSM sono connessi direttamente alla rete virtuale del cliente. Sono anche accessibili dalle applicazioni e dagli strumenti di gestione in locale quando si configura la connettività VPN da sito a sito o da punto a sito. I clienti possono ottenere il software e la documentazione per configurare e gestire i dispositivi HSM dal portale di supporto tecnico di Thales.
Perché usare HSM dedicato di Azure?
Conformità FIPS 140-2 livello 3
Molte organizzazioni sottostanno a severe normative di settore che impongono che le chiavi crittografiche debbano essere archiviate in moduli di protezione hardware convalidati FIPS 140-2 livello 3. HSM dedicato di Azure e una nuova offerta a tenant singolo, modulo di protezione hardware gestito di Azure Key Vault, aiutano i clienti di diversi segmenti di settore, ad esempio il settore dei servizi finanziari, le agenzie governative e altri a soddisfare i requisiti FIPS 140-2 Livello 3. Il servizio multi tenant Azure Key Vault attualmente usa invece moduli di protezione hardware convalidati FIPS 140-2 di Livello 2.
Dispositivi a tenant singolo
Molti clienti hanno un requisito per una singola tenancy del dispositivo di archiviazione crittografica. Il servizio HSM dedicato di Azure consente loro di effettuare il provisioning di un dispositivo fisico da uno dei data center Microsoftdistribuiti a livello globale. Dopo il provisioning a un cliente, solo tale cliente può accedere al dispositivo.
Controllo amministrativo completo
Molti clienti richiedono il controllo amministrativo completo e l'accesso esclusivo al dispositivo a scopo amministrativo. Dopo il provisioning di un dispositivo, solo il cliente ha accesso amministrativo o a livello di applicazione al dispositivo.
Microsoft non ha alcun controllo amministrativo dopo che il cliente accede al dispositivo per la prima volta, a quel punto il cliente modifica la password. A questo punto, il cliente è un vero tenant singolo con controllo amministrativo completo e funzionalità di gestione delle applicazioni. Microsoft mantiene l'accesso a livello di monitoraggio (non un ruolo amministratore) per i dati di telemetria tramite connessione a porta seriale. Questo accesso riguarda i monitoraggi hardware, ad esempio temperatura, integrità dell'alimentatore e integrità della ventola.
Il cliente è libero di disabilitare questo monitoraggio se necessario. Tuttavia, se viene disabilitato, non riceverà gli avvisi di integrità proattivi da Microsoft.
Prestazioni elevate:
Il dispositivo Thales è stato selezionato per questo servizio per diversi motivi. Offre il supporto per diversi algoritmi di crittografia, una vasta gamma di sistemi operativi e numerose API. Il modello specifico distribuito offre prestazioni eccellenti con 10.000 operazioni al secondo per RSA-2048. Supporta 10 partizioni che possono essere usate per le istanze di applicazione univoche. Si tratta di un dispositivo a bassa latenza, capacità elevata e velocità effettiva elevata.
Offerta unica basata sul cloud
Microsoft ha riconosciuto un'esigenza specifica per un set unico di clienti. È l'unico provider di servizi cloud a offrire ai nuovi clienti un servizio HSM dedicato convalidato con certificazione FIPS 140-2 Livello 3 e un'integrazione di applicazioni basate sul cloud e locali di tale portata.
HSM dedicato di Azure è la scelta giusta?
HSM dedicato di Azure è un servizio specializzato che soddisfa requisiti unici per un tipo specifico di organizzazione su larga scala. Di conseguenza, è previsto che la maggior parte dei clienti di Azure non rientri nel profilo d'uso per questo servizio. Molti troveranno che il servizio Azure Key Vault o modulo di protezione hardware gestito di Azure sia più appropriato e conveniente. Per aiutare il cliente nella scelta della soluzione giusta per i propri requisiti, sono stati identificati i criteri seguenti.
Soluzione ottimale
HSM dedicato di Azure è la soluzione più adatta a scenari di trasferimento in modalità "lift-and-shift", che richiedono l'accesso diretto ed esclusivo ai dispositivi HSM. Alcuni esempi:
- La migrazione delle applicazioni dalle macchine locali alle macchine virtuali di Azure
- La migrazione delle applicazioni da Amazon AWS EC2 alle macchine virtuali che usano il servizio AWS Cloud HSM Classic (Amazon non offre questo servizio ai nuovi clienti)
- L'esecuzione di software standard, come Apache/Ngnix SSL Offload, Oracle TDE e ADCS, nelle macchine virtuali di Microsoft Azure
Soluzione non idonea
HSM dedicato di Azure non rappresenta una soluzione adatta per il tipo di scenario seguente: i servizi cloud Microsoft che supportano la crittografia con chiavi gestite dal cliente (ad esempio Azure Information Protection, Crittografia dischi di Azure, Azure Data Lake Store, Archiviazione di Azure, Database SQL di Azure e Customer Key per Office 365) non sono integrati con HSM dedicato di Azure.
Nota
I clienti devono disporre di un gestore dell'account Microsoft assegnato e soddisfare il requisito monetario di cinque milioni di dollari ($5 milioni) o superiore di ricavi complessivi di Azure impegnati annualmente per qualificarsi per l'onboarding e l'uso del servizio HSM dedicato di Azure.
Dipende
Determinare se HSM dedicato di Azure rappresenti o meno una soluzione idonea per una specifica situazione dipende da una combinazione potenzialmente complessa di requisiti e compromessi. Un esempio è il requisito FIPS 140-2 Livello 3. Questo requisito è comune e HSM dedicato di Azure e una nuova offerta a tenant singolo, il modulo di protezione hardware gestito di Azure Key Vault, sono attualmente le uniche opzioni per soddisfarlo. Se questi requisiti obbligatori non sono rilevanti, spesso è possibile scegliere tra Azure Key Vault e HSM dedicato di Azure. Valutare i requisiti prima di prendere una decisione.
Le situazioni in cui sarà necessario valutare le opzioni disponibili includono:
- Nuovo codice in esecuzione nella macchina virtuale di Azure di un cliente
- TDE di SQL Server in una macchina virtuale di Azure
- Crittografia lato client di archiviazione di Azure
- Tecnologia Always Encrypted di SQL Server e database SQL di Azure
Passaggi successivi
Questo è un servizio altamente specializzato. È pertanto consigliabile assicurarsi di aver compreso a fondo i concetti principali illustrati in questa documentazione, inclusi i prezzi, il supporto e i contratti di servizio.
Le guide all'integrazione di Thales consentono di semplificare il provisioning dei moduli di protezione hardware in un ambiente di rete virtuale esistente. Sono inoltre disponibili guide pratiche, utili per determinare come impostare l'architettura di distribuzione.