Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Azure Cloud HSM is een maximaal beschikbare FIPS 140-3 Level 3 gevalideerde service met één tenant die voldoet aan de industriestandaarden. Azure Cloud HSM verleent klanten volledige administratieve autoriteit over hun HSM's (Hardware Security Modules). Het biedt een beveiligd HSM-cluster dat eigendom is van de klant voor het opslaan van cryptografische sleutels en het uitvoeren van cryptografische bewerkingen.
Azure Cloud HSM ondersteunt verschillende toepassingen, waaronder PKCS#11, offloading van SSL (Secure Sockets Layer) of TLS-verwerking (Transport Layer Security), beveiliging van persoonlijke sleutels van certificeringsinstantie (CA) en transparante gegevensversleuteling (TDE). Het biedt ook ondersteuning voor document- en codeondertekening.
Waarom Azure Cloud HSM gebruiken?
Volledig beheerde oplossing
Veel klanten hebben administratieve controle over hun HSM nodig, maar willen geen overhead- en bijkomende kosten die gepaard gaan met clusterbeheer voor hoge beschikbaarheid, patches en onderhoud. Azure Cloud HSM-klanten beveiligde, directe, end-to-end versleutelde toegang hebben tot HSM-knooppunten in hun HSM-cluster via een privé-, toegewezen koppeling vanuit hun virtuele netwerk.
Nadat een klant een Azure Cloud HSM-cluster heeft geïmplementeerd, behoudt de klant beheerderstoegang tot hun HSM's. De Azure Cloud HSM-service zorgt voor hoge beschikbaarheid, patches en onderhoud.
Door de klant beheerde, hoogbeschikbare, single-tenant HSM als dienst
Azure Cloud HSM biedt hoge beschikbaarheid en redundantie door meerdere HSM's te groeperen in een HSM-cluster. De service synchroniseert automatisch sleutels en beleidsregels voor elk HSM-knooppunt.
Elk HSM-cluster bestaat uit drie HSM-knooppunten. Als een HSM-resource niet meer beschikbaar is, worden lidknooppunten voor uw HSM-cluster automatisch en veilig gemigreerd naar gezonde knooppunten.
Het Azure Cloud HSM-cluster ondersteunt taakverdeling van cryptografische bewerkingen. Periodieke HSM-back-ups zorgen voor veilig en eenvoudig gegevensherstel.
Gegevenslocatie: Cloud HSM slaat geen klantgegevens op of verwerkt deze buiten de regio waarin de klant het HSM-exemplaar implementeert.
HSM-clusters met één tenant
Elke Azure Cloud HSM-instantie is toegewezen aan één klant. Elk HSM-cluster maakt gebruik van een afzonderlijk klantspecifiek beveiligingsdomein dat het cryptografisch isoleert.
Naleving en certificering
Azure Cloud HSM voldoet aan meerdere industrienalevingsstandaarden en -certificeringen om klanten te helpen voldoen aan wettelijke vereisten.
FIPS 140-3 Niveau 3
Veel organisaties hebben strenge branchevoorschriften die bepalen dat cryptografische sleutels moeten worden opgeslagen in MET FIPS 140-3 niveau 3 gevalideerde HSM's. Azure Cloud HSM biedt HSM's die zijn gevalideerd om te voldoen aan FIPS 140-3 Level 3-standaarden. Raadpleeg de onboardinghandleiding voor procedures voor het controleren van de echtheid van uw HSM, inclusief het controleren van de FIPS 140-3 Level 3-certificering van NIST. Azure Cloud HSM helpt klanten uit verschillende branchesegmenten (financiële dienstverlening, overheidsinstanties en andere) aan deze FIPS-vereisten te voldoen.
eIDAS
Azure Cloud HSM ondersteunt eIDAS-naleving volgens het Oostenrijkse schema door veilig sleutelbeheer, cryptografische bewerkingen en gevalideerde FIPS 140-3 Niveau 3-hardware te bieden om te voldoen aan strenge vereisten voor gekwalificeerde elektronische handtekeningen en afdichtingen om naleving van regelgeving te waarborgen. Meer informatie vindt u in het QSCD-certificaat.
PCI en PCI 3DS
Azure Cloud HSM biedt HSM's die zijn gevalideerd om te voldoen aan PCI- en PCI 3DS-standaarden. Raadpleeg de PCI 3DS Attestation of Compliance (AOC) in het Microsoft Service Trust Center voor meer informatie over PCI-nalevingscertificering voor Azure Cloud HSM.
Azure geschiktheid voor Cloud HSM
Azure Cloud HSM ondersteunt:
- PKCS#11, OpenSSL, Java Cryptography Architecture (JCA), Java Cryptography Extension (JCE), Cryptography API: Next Generation (CNG) en Key Storage Provider (KSP).
- Active Directory Certificate Services (AD CS).
- SSL/TLS-offloading (Apache of NGINX).
- TDE (Microsoft SQL Server of Oracle).
- Certificaatopslag
- Document-, bestand- en codeondertekening.
Azure Cloud HSM is niet:
- Een bare-metal HSM-apparaat (een apparaat zonder besturingssysteem).
- Een geheime winkel.
- Een aanbod voor levenscyclusbeheer van certificaten.
Beste pasvorm
Azure Cloud HSM is het meest geschikt voor de volgende scenario's:
- Toepassingen migreren van on-premises naar Azure Virtual Machines
- Toepassingen migreren vanuit Azure Dedicated HSM of AWS Cloud HSM
- Ondersteunende toepassingen waarvoor PKCS#11 is vereist
- Het uitvoeren van verkleinde software zoals Apache of NGINX SSL-offloading, SQL Server of Oracle TDE en AD CS in Azure Virtual Machines
Niet passend
Azure Cloud HSM kan niet worden geïntegreerd met andere Azure-diensten zoals platform as a service (PaaS) of software as a service (SaaS). Azure Cloud HSM is alleen infrastructuur als een dienst (IaaS).
Azure Cloud HSM is niet geschikt voor Microsoft-cloudservices waarvoor ondersteuning is vereist voor versleuteling met door de klant beheerde sleutels. Deze services omvatten Azure Information Protection, Azure Disk Encryption, Azure Data Lake Storage, Azure Storage en Microsoft Purview klantsleutel. Voor deze scenario's moeten klanten Azure Key Vault Beheerde HSM gebruiken.
Fysieke beveiliging
Azure datacenters beschikken over uitgebreide fysieke en procedurele beveiligingscontroles. De HSM's in Azure Cloud HSM worden gehost in een beperkt toegangsgebied van het datacenter, met fysieke toegangsbeheer en videobewaking voor extra beveiliging.
Azure Cloud HSM bevat zowel fysieke als logische detectie- en reactiemechanismen om manipulatie te voorkomen, die de sleutelverwijdering (zeroization) van de hardware initiëren. Deze maatregelen zijn ontworpen om manipulatie te detecteren als de fysieke barrière wordt aangetast.
HSM's worden beschermd tegen brute-force-aanmeldingsaanvallen. Het systeem vergrendelt cryptografie-officieren (CA's) na een vast aantal mislukte toegangspogingen. Op dezelfde manier leiden herhaalde mislukte pogingen om toegang te krijgen tot een HSM met CU-referenties (cryptografiegebruiker) ertoe dat de gebruiker wordt vergrendeld. Een CO moet vervolgens de CU ontgrendelen. Voor het ontgrendelen van een CO is de getChallenge opdracht vereist, waarbij de uitdaging wordt ondertekend met de partitie-eigenaarsleutel (PO.key) via OpenSSL, gevolgd door de unlockCO opdrachten.changePswd
Serviceactiviteiten
Azure Cloud HSM heeft geen geplande onderhoudsvensters. Microsoft moet echter mogelijk onderhoud uitvoeren voor de benodigde upgrades of defecte hardwarevervanging. Klanten worden vooraf op de hoogte gesteld als er gevolgen worden verwacht.
Volgende stappen
Deze resources zijn beschikbaar om het inrichten en configureren van HSM's in uw bestaande virtuele netwerkomgeving te vergemakkelijken: