Che cos'è il modulo di protezione hardware gestito di Azure Key Vault?

Azure Key Vault Managed HSM (Hardware Security Module) è un servizio cloud conforme agli standard e completamente gestito, a disponibilità elevata e a disponibilità elevata che consente di proteggere le chiavi crittografiche per le applicazioni cloud, usando HSMS convalidati FIPS 140-2 Livello 3. È una delle diverse soluzioni di gestione delle chiavi in Azure.

Per informazioni sui prezzi, vedere La sezione Pool HSM gestiti in Azure Key Vault pagina dei prezzi. Per i tipi di chiavi supportati, vedere Informazioni sulle chiavi.

Il termine "Istanza HSM gestita" è sinonimo di "Pool HSM gestito". Per evitare confusione, si usa "Istanza di HSM gestita" in questi articoli.

Nota

Zero Trust è una strategia di sicurezza che comprende tre principi: "Verificare in modo esplicito", "Usare l'accesso con privilegi minimi" e "Presuppone violazione". La protezione dei dati, inclusa la gestione delle chiavi, supporta il principio "usare l'accesso con privilegi minimi". Per altre informazioni, vedere Informazioni Zero Trust?

Perché usare il modulo di protezione hardware gestito?

Modulo di protezione hardware come servizio completamente gestito, a disponibilità elevata e a tenant singolo

• Completamente gestito: le attività di provisioning, configurazione, applicazione di patch e manutenzione del modulo di protezione hardware sono gestite dal servizio.
• Disponibilità elevata: ogni cluster HSM è costituito da più partizioni HSM. In caso di guasto dell'hardware, verrà eseguita automaticamente la migrazione delle partizioni membro del cluster di moduli di protezione hardware in nodi integri. Per altre informazioni, vedere Contratto di servizio HSM gestito
• A tenant singolo: ogni istanza di modulo di protezione hardware gestito è dedicata a un singolo cliente ed è costituita da un cluster di più partizioni HSM. Ogni cluster di moduli di protezione hardware usa un dominio di sicurezza specifico del cliente, che isola tramite crittografia il cluster di moduli di protezione hardware di ciascun cliente.

Controllo di accesso, conformità avanzata alla protezione dei & dati

• Gestione centralizzata delle chiavi: le chiavi con valore elevato di importanza critica nell'intera organizzazione vengono gestite in un'unica posizione. Con le autorizzazioni granulari per chiave è possibile controllare l'accesso a ogni chiave in base al principio dei privilegi di accesso minimi.
• Controllo di accesso isolato: il modello di controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito consente agli amministratori designati del cluster di moduli di protezione hardware di avere il controllo completo su tali moduli e nemmeno gli amministratori del gruppo di gestione, della sottoscrizione o del gruppo di risorse possono aggirare questo controllo.
• Endpoint privati: usare endpoint privati per connettersi in modo sicuro e privato a Managed HSM dall'applicazione in esecuzione in una rete virtuale.
• HSMS convalidati FIPS 140-2 Livello 3: proteggere i dati e soddisfare i requisiti di conformità con FIPS (Federal Information Protection Standard) 140-2 Livello 3 convalidati. I moduli di protezione hardware gestiti usano schede HSM Marvell LiquidSecurity.
• Monitoraggio e controllo: integrazione completa con Monitoraggio di Azure. È possibile ottenere i log completi di tutte le attività tramite Monitoraggio di Azure e usare Azure Log Analytics per l'analisi e gli avvisi.
• Residenza dei dati: L'HSM gestito non archivia/elabora i dati dei clienti all'esterno dell'area in cui il cliente distribuisce l'istanza di HSM.

Integrazione con i servizi PaaS/SaaS di Azure e Microsoft

• Generare o importare le chiavi BYOK e usarle per crittografare i dati inattivi nei servizi di Azure, ad esempio Archiviazione di Azure, Azure SQL, Azure Information Protection e Customer Key per Microsoft 365. Per un elenco più completo dei servizi di Azure che funzionano con Managed HSM, vedere Modelli di crittografia dei dati.

Uso delle stesse interfacce API e di gestione di Key Vault

• Eseguire facilmente la migrazione delle applicazioni esistenti che usano un insieme di credenziali (un multi-tenant) per usare le macchine virtuali gestite.
• Usare gli stessi modelli di sviluppo e distribuzione di applicazioni per tutte le applicazioni indipendentemente dalla soluzione di gestione delle chiavi in uso: insiemi di credenziali multi-tenant o HSMS gestiti a tenant singolo.

Importare chiavi dalle macchine virtuali locali

• Generare chiavi protette da HSM nell'HSM locale e importarle in modo sicuro in Managed HSM.

Passaggi successivi

• Gestione delle chiavi in Azure
• Per informazioni tecniche, vedere How Managed HSM implementa la sovranità chiave, la disponibilità, le prestazioni e la scalabilità senza compromessi
• Vedere Avvio rapido: Effettuare il provisioning di un modulo di protezione hardware gestito e attivarlo tramite l'interfaccia della riga di comando di Azure per creare e attivare un modulo di protezione hardware gestito
• Baseline di sicurezza di Azure Managed HSM
• Vedere le procedure consigliate per l'uso del modulo di protezione hardware gestito di Azure Key Vault
• Stato del modulo di protezione hardware gestito
• Contratto di servizio HSM gestito
• Disponibilità dell'area HSM gestita
• Che cos'è Zero Trust?