Share via

Implementatiearchitectuur van Azure Dedicated HSM

  • Artikel

Azure Dedicated HSM biedt cryptografische sleutelopslag in Azure. Het voldoet aan strenge veiligheidseisen. Klanten profiteren van het gebruik van Azure Dedicated HSM als ze:

De HSM's worden gedistribueerd over de datacenters van Microsoft en kunnen eenvoudig worden ingericht als een paar apparaten als basis van een maximaal beschikbare oplossing. Ze kunnen ook worden geïmplementeerd in verschillende regio's voor een noodbestendige oplossing. De regio's met toegewezen HSM die momenteel beschikbaar zijn, kunnen worden gecontroleerd op de pagina Producten per regio.

  • VS - oost
  • VS - oost 2
  • VS - west
  • VS - west 2
  • Canada - oost
  • Canada - midden
  • VS - zuid-centraal
  • Azië - zuidoost
  • India - centraal
  • India - zuid
  • Japan - oost
  • Japan - west
  • Europa - noord
  • Europa -west
  • Verenigd Koninkrijk Zuid
  • Verenigd Koninkrijk West
  • Australië - oost
  • Australië - zuidoost
  • Zwitserland - noord
  • Zwitserland - west
  • VS (overheid) - Virginia
  • VS (overheid) - Texas

In elk van deze regio's zijn HSM-rekken geïmplementeerd in twee onafhankelijke datacenters of ten minste twee onafhankelijke beschikbaarheidszones. Zuidoost-Azië heeft drie beschikbaarheidszones en VS - oost 2 heeft er twee. Er zijn in totaal drieëntwintig regio's in Europa, Azië en Noord-Amerika die de Dedicated HSM-service aanbieden. Zie de officiële informatie over Azure-regio's voor meer informatie over Azure-regio's. Enkele ontwerpfactoren voor een dedicated HSM-oplossing zijn locatie/latentie, hoge beschikbaarheid en ondersteuning voor andere gedistribueerde toepassingen.

Locatie apparaat

Optimale HSM-apparaatlocatie bevindt zich het dichtst bij de toepassingen die cryptografische bewerkingen uitvoeren. De latentie in de regio is naar verwachting in milliseconden met één cijfer. Latentie tussen regio's kan 5 tot 10 keer hoger zijn dan dit.

Hoge beschikbaarheid

Om hoge beschikbaarheid te bereiken, moet een klant twee HSM-apparaten in een regio gebruiken die zijn geconfigureerd met thales-software als een paar met hoge beschikbaarheid. Dit type implementatie zorgt voor de beschikbaarheid van sleutels als één apparaat een probleem ondervindt waardoor sleutelbewerkingen niet kunnen worden verwerkt. Het vermindert ook het risico bij het uitvoeren van onderbrekings-/herstelonderhoud, zoals het vervangen van de voeding. Het is belangrijk dat een ontwerp rekening houdt met elk soort storing op regionaal niveau. Storingen op regionaal niveau kunnen optreden wanneer zich natuurrampen voordoen, zoals orkanen, overstromingen of aardbevingen. Dit type gebeurtenissen moet worden beperkt door HSM-apparaten in een andere regio in te richten. Apparaten die in een andere regio zijn geïmplementeerd, kunnen worden gekoppeld via thales-softwareconfiguratie. Dit betekent dat de minimale implementatie voor een maximaal beschikbare en noodbestendige oplossing vier HSM-apparaten in twee regio's is. Lokale redundantie en redundantie tussen regio's kunnen worden gebruikt als basislijn om verdere implementaties van HSM-apparaten toe te voegen ter ondersteuning van latentie, capaciteit of om te voldoen aan andere toepassingsspecifieke vereisten.

Ondersteuning voor gedistribueerde toepassingen

Toegewezen HSM-apparaten worden doorgaans geïmplementeerd ter ondersteuning van toepassingen die bewerkingen voor sleutelopslag en sleutel ophalen moeten uitvoeren. Toegewezen HSM-apparaten hebben 10 partities voor onafhankelijke toepassingsondersteuning. De locatie van het apparaat moet zijn gebaseerd op een holistische weergave van alle toepassingen die de service moeten gebruiken.

Volgende stappen

Zodra de implementatiearchitectuur is bepaald, worden de meeste configuratieactiviteiten voor het implementeren van die architectuur verzorgd door Thales. Dit omvat zowel apparaatconfiguratie als toepassingsintegratiescenario's. Gebruik de Thales-klantondersteuningsportal en download beheer- en configuratiehandleidingen voor meer informatie. De Microsoft-partnersite bevat diverse integratiehandleidingen. Het wordt aanbevolen dat alle belangrijke concepten van de service, zoals hoge beschikbaarheid en beveiliging, goed worden begrepen voordat het apparaat wordt ingericht of het ontwerp en de implementatie van toepassingen. Andere onderwerpen op conceptniveau: