Azure Dedicated HSM は、Azure 内に暗号化キーの保管場所を提供する Azure サービスです。 Dedicated HSM は、最も厳格なセキュリティ要件に適合しています。 これは、FIPS 140-2 レベル 3 検証済みデバイスを必要としていて、HSM アプライアンスを完全かつ独占的に制御する必要のあるお客様にとって、理想的なソリューションです。
HSM デバイスは、複数の Azure リージョン全体にグローバルにデプロイされます。 高可用性を確保するために、これらを一対のデバイスとして容易にプロビジョニングして構成することができます。 HSM デバイスを複数のリージョン全体にプロビジョニングすることで、リージョン レベルのフェールオーバーに対応することもできます。 Microsoft では、 Thales Luna 7 HSM モデル A790 アプライアンスを使用して専用 HSM サービスを提供しています。 このデバイスは、最高レベルのパフォーマンスと暗号統合オプションを備えています。
プロビジョニングした HSM デバイスは、お客様の仮想ネットワークに直接接続されます。 また、ポイント対サイトまたはサイト間の VPN 接続を構成することで、オンプレミスのアプリケーションや管理ツールからもアクセスできます。 お客様は 、Thales カスタマー サポート ポータルから HSM デバイスを構成および管理するためのソフトウェアとドキュメントを入手できます。
Azure Dedicated HSM を使用する理由
FIPS 140-2 レベル 3 準拠
多くの組織には、暗号化キーを FIPS 140-2 レベル 3 の検証済み HSM に格納する必要があることを規定する厳しい業界規制があります。 Azure Dedicated HSM と新しいシングルテナント オファリング である Azure Key Vault Managed HSM は、金融サービス業界、政府機関などのさまざまな業界セグメントのお客様が FIPS 140-2 レベル 3 の要件を満たすのに役立ちます。 Microsoft のマルチテナント Azure Key Vault サービスでは現在、FIPS 140-2 レベル 2 の検証済み HSM が使用されています。
シングルテナント・デバイス
Microsoft のお客様の多くは、暗号の保管デバイスのシングル テナントに関する要件を抱えています。 Azure Dedicated HSM サービスでは、世界中に分散されている Microsoft のいずれかのデータセンターから物理デバイスをプロビジョニングすることができます。 顧客にプロビジョニングされた後は、その顧客のみがデバイスにアクセスできます。
完全な管理制御
多くのお客様は、完全な管理制御や、管理目的での単独アクセスを求めています。 デバイスのプロビジョニング後、そのデバイスに管理レベルまたはアプリケーション レベルでアクセスできるのはそのお客様だけです。
お客様がデバイスへの初回アクセス時にパスワードを変更すると、その後は Microsoft による管理制御は行えなくなります。 その時点からお客様は、完全な管理制御とアプリケーション管理能力を有する真のシングル テナントとなります。 ただしテレメトリについては、シリアル ポート接続を通じた (管理者ロールではなく) モニター レベルのアクセス権を Microsoft が保持します。 これにより、温度、電源の正常性、ファンの正常性などのハードウェア モニターがカバーされます。
この監視は必要であればお客様が自由に無効化できます。 ただし、これを無効にした場合、Microsoft からプロアクティブな正常性アラートは通知されません。
高パフォーマンス
Thales デバイスは、複数の理由でこのサービスに対して選択されました。 幅広い暗号化アルゴリズムのサポート、サポートされる多様なオペレーティング システム、および広範な API サポートが提供されます。 デプロイされた特定のモデルは、RSA-2048 の場合に毎秒 10,000 操作という優れたパフォーマンスを発揮します。 一意のアプリケーションのインスタンスについて、10 個のパーティションを使用することができます。 短い待ち時間、大容量、高スループットのデバイスです。
他にはないクラウドベースのオファリング
Microsoft は、一部のお客様に固有のニーズを把握しています。 これは、FIPS 140-2 レベル 3 検証済みの専用 HSM サービスを新規のお客様に提供し、クラウドベースとオンプレミスのアプリケーション統合の範囲を提供する唯一のクラウド プロバイダーです。
Azure 専用 HSM はあなたに適していますか?
Azure Dedicated HSM は、特定の種類の大規模な組織に固有の要件に対応する特殊なサービスです。 その結果、Azure のお客様の大部分がこのサービスの使用プロファイルに適合しないことが予想されます。 多くの場合、Azure Key Vault または Azure Managed HSM サービスは、より適切でコスト効率が高いことがわかります。 ご自分の要件に適しているかどうかを判断しやすいように、次の基準を特定しました。
最適
Azure Dedicated HSM は、HSM デバイスに直接かつ単独でアクセスすることが求められる "リフトアンドシフト" のシナリオに最適です。 たとえば、次のようになります。
- オンプレミスから Azure Virtual Machines にアプリケーションを移行する
- Amazon AWS EC2 から AWS Cloud HSM クラシック サービスを使用する仮想マシンへのアプリケーションの移行 (Amazon はこのサービスを新しい顧客に提供していません)
- Azure Virtual Machines で市販のソフトウェアを実行している (Apache/Ngnix SSL Offload、Oracle TDE、ADCS など)
適していない
Azure Dedicated HSM は、次のようなシナリオには適していません。お客様によって管理されるキーを使った暗号化をサポートする Microsoft クラウド サービス (Azure Information Protection、Azure Disk Encryption、Azure Data Lake Store、Azure Storage、Azure SQL Database、Office 365 のカスタマー キーなど) は、Azure Dedicated HSM とは統合されません。
注
お客様は、Microsoft アカウント マネージャーが割り当てられており、Azure Dedicated HSM のオンボードと使用の資格を得るために、年間Azureの契約総収益が 500 万ドル ($5M) 以上の財務要件を満たしている必要があります。
場合によって異なります
Azure Dedicated HSM が適しているかどうかは、複雑な要件と妥協の組み合わせに対応できるかどうかに依存します。 その例が FIPS 140-2 レベル 3 要件です。 この要件は一般的であり、Azure Dedicated HSM と新しいシングルテナント オファリングである Azure Key Vault Managed HSM は、現在、それを満たすための唯一のオプションです。 こうした義務付けられている要件が該当しないようであれば、たいていは、Azure Key Vault か Azure Dedicated HSM のどちらかを選ぶことになります。 意思決定を行う前にお客様自身の要件を評価してください。
オプションの重み付けを行う必要がある状況は次のとおりです。
- お客様の Azure 仮想マシンで実行中の新しいコード
- Azure 仮想マシンにおける SQL Server TDE
- Azure Storage のクライアント側暗号化
- SQL Server と Azure SQL DB の常時暗号化
次のステップ
専用 HSM は、高度に特殊化されたサービスです。 そのため、価格、サポート、サービス レベルアグリーメントなど、このドキュメント セットの主要な概念を十分に理解することをお勧めします。
Thales 統合ガイドは、既存の仮想ネットワーク環境への HSM のプロビジョニングを容易にするのに役立ちます。 デプロイ アーキテクチャの設定方法を決定するためのハウツー ガイドもあります。