Wat is beheerde HSM van Azure Key Vault?

Artikel
01/30/2024

Azure Key Vault Managed HSM (Hardware Security Module) is een volledig beheerde, maximaal beschikbare cloudservice die compatibel is met één tenant, waarmee u cryptografische sleutels voor uw cloudtoepassingen kunt beveiligen met behulp van met FIPS 140-2 Level 3 gevalideerde HSM's. Het is een van de verschillende oplossingen voor sleutelbeheer in Azure.

Zie de sectie Beheerde HSM-pools op de pagina met prijzen van Azure Key Vault voor informatie over prijzen. Zie Over sleutels voor ondersteunde sleuteltypen.

De term 'Beheerd HSM-exemplaar' staat voor 'Beheerde HSM-pool'. Om verwarring te voorkomen, gebruiken we 'Beheerd HSM-exemplaar' in deze artikelen.

Notitie

Zero Trust is een beveiligingsstrategie die bestaat uit drie principes: 'Expliciet verifiëren', 'Minimale toegang tot bevoegdheden gebruiken' en 'Inbreuk aannemen'. Gegevensbeveiliging, inclusief sleutelbeheer, ondersteunt het principe 'toegang tot minimale bevoegdheden gebruiken'. Zie Wat is Zero Trust?

Waarom zou u Managed HSM gebruiken?

Volledig beheerde,maximaal beschikbare HSM met één tenant als een service

Volledig beheerd: HSM-inrichting, configuratie, patching en onderhoud wordt verwerkt door de service.
Maximaal beschikbaar: elk HSM-cluster bestaat uit meerdere HSM-partities. Als er een storing optreedt in de hardware, worden de lidpartities voor uw HSM-cluster automatisch naar knooppunten met een goede status gemigreerd. Zie Managed HSM Service Level Agreement voor meer informatie
Eén tenant: Elk beheerd HSM-exemplaar is toegewezen aan één klant en bestaat uit een cluster met meerdere HSM-partities. Elk HSM-cluster maakt gebruik van een afzonderlijk, klantspecifiek beveiligingsdomein dat het HSM-cluster van elke klant cryptografisch isoleert.

Toegangsbeheer, uitgebreide gegevensbescherming en compliance

Gecentraliseerd sleutelbeheer: beheer kritieke, hoogwaardige sleutels binnen uw organisatie op één plaats. Met gedetailleerde machtigingen per sleutel beheert u de toegang tot elke sleutel op basis van het principe 'minst bevoegde toegang'.
Geïsoleerd toegangsbeheer: met het beheerde HSM-toegangsbeheermodel 'lokaal RBAC' kunnen aangewezen HSM-clusterbeheerders volledige controle hebben over de HSM's die zelfs beheerders van beheergroepen, abonnementen of resourcegroepen niet kunnen overschrijven.
Privé-eindpunten: gebruik privé-eindpunten om veilig en privé verbinding te maken met beheerde HSM vanuit uw toepassing die wordt uitgevoerd in een virtueel netwerk.
Met FIPS 140-2 level 3 gevalideerde HSM's: bescherm uw gegevens en voldoen aan de nalevingsvereisten met FIPS (Federal Information Protection Standard) 140-2 Gevalideerde HSM's op niveau 3. Beheerde HSM's maken gebruik van de Marvell LiquidSecurity HSM-adapters.
Bewaken en controleren: volledig geïntegreerd met Azure Monitor. U kunt volledige logboeken van alle activiteiten ophalen via Azure Monitor. Gebruik Azure Log Analytics voor analyse en waarschuwingen.
Gegevenslocatie: De beheerde HSM slaat geen klantgegevens op buiten de regio waarin de klant het HSM-exemplaar implementeert.

Geïntegreerd met PaaS-/SaaS-services van Azure en Microsoft

Genereer (of importeer met BYOK)-sleutels en gebruik ze om uw data-at-rest te versleutelen in Azure-services zoals Azure Storage, Azure SQL, Azure Information Protection en Klantsleutel voor Microsoft 365. Zie Data Encryption Models (Gegevensversleutelingsmodellen) voor een volledigere lijst met Azure-services die met beheerde HSM werken.

Maakt gebruik van dezelfde API en beheerinterfaces als Key Vault

Migreer eenvoudig uw bestaande toepassingen die gebruikmaken van een kluis (een multitenant) om beheerde HSM's te gebruiken.
Gebruik dezelfde toepassingsontwikkelings- en implementatiepatronen voor al uw toepassingen, ongeacht de sleutelbeheeroplossing die wordt gebruikt: kluizen met meerdere tenants of beheerde HSM's met één tenant.

Sleutels importeren uit uw on-premises HSM's

Genereer met HSM beveiligde sleutels in uw on-premises HSM en importeer ze veilig in beheerde HSM.