Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Azure Cloud HSM is een maximaal beschikbare FIPS 140-3 Level 3 gevalideerde service met één tenant die voldoet aan de industriestandaarden. Azure Cloud HSM verleent klanten volledige administratieve autoriteit over hun HSM's (Hardware Security Modules). Het biedt een beveiligd HSM-cluster dat eigendom is van de klant voor het opslaan van cryptografische sleutels en het uitvoeren van cryptografische bewerkingen.
Azure Cloud HSM ondersteunt verschillende toepassingen, waaronder PKCS#11, offloading van SSL (Secure Sockets Layer) of TLS-verwerking (Transport Layer Security), beveiliging van privésleutels van de certificeringsinstantie (CA) en transparante gegevensversleuteling (TDE). Het biedt ook ondersteuning voor document- en codeondertekening.
Waarom Azure Cloud HSM gebruiken?
Volledig beheerde oplossing
Veel klanten hebben administratieve controle over hun HSM nodig, maar willen geen overhead- en bijkomende kosten die gepaard gaan met clusterbeheer voor hoge beschikbaarheid, patches en onderhoud. Klanten van Azure Cloud HSM hebben beveiligde, directe, end-to-end versleutelde toegang tot hun HSM-exemplaren in hun HSM-cluster via een privékoppeling van hun virtuele netwerk.
Nadat een klant een Azure Cloud HSM-cluster heeft geïmplementeerd, behoudt de klant beheerderstoegang tot hun HSM's. De Azure Cloud HSM-service zorgt voor hoge beschikbaarheid, patches en onderhoud.
Door de klant beheerde, hoogbeschikbare, single-tenant HSM als dienst
Azure Cloud HSM biedt hoge beschikbaarheid en redundantie door meerdere HSM's te groeperen in een HSM-cluster. De service synchroniseert automatisch sleutels en beleidsregels voor elk HSM-exemplaar.
Elk HSM-cluster bestaat uit drie HSM-partities. Als een HSM-resource niet meer beschikbaar is, worden lidpartities voor uw HSM-cluster automatisch en veilig gemigreerd naar gezonde knooppunten.
Het Azure Cloud HSM-cluster ondersteunt taakverdeling van cryptografische bewerkingen. Periodieke HSM-back-ups zorgen voor veilig en eenvoudig gegevensherstel.
Gegevenslocatie: Cloud HSM slaat geen klantgegevens op of verwerkt deze buiten de regio waarin de klant het HSM-exemplaar implementeert.
HSM-clusters met één tenant
Elk Azure Cloud HSM-exemplaar is toegewezen aan één klant. Elk HSM-cluster maakt gebruik van een afzonderlijk klantspecifiek beveiligingsdomein dat het cryptografisch isoleert.
FIPS 140-3-naleving van niveau 3
Veel organisaties hebben strenge branchevoorschriften die bepalen dat cryptografische sleutels moeten worden opgeslagen in MET FIPS 140-3 niveau 3 gevalideerde HSM's. Azure Cloud HSM helpt klanten uit verschillende branchesegmenten (financiële dienstverlening, overheidsinstanties en andere) aan deze FIPS-vereisten te voldoen.
Geschiktheid voor Azure Cloud HSM
Azure Cloud HSM ondersteunt:
- PKCS#11, OpenSSL, Java Cryptography Architecture (JCA), Java Cryptography Extension (JCE), Cryptografie-API: Next Generation (CNG) en sleutelopslagprovider (KSP).
- Active Directory Certificate Services (AD CS).
- SSL/TLS-offloading (Apache of NGINX).
- TDE (Microsoft SQL Server of Oracle).
- Certificaatopslag
- Document-, bestand- en codeondertekening.
Azure Cloud HSM is niet:
- Een bare-metal HSM-apparaat (een apparaat zonder besturingssysteem).
- Een geheime winkel.
- Een aanbod voor levenscyclusbeheer van certificaten.
Beste pasvorm
Azure Cloud HSM is het meest geschikt voor de volgende scenario's:
- Toepassingen migreren van on-premises naar Azure Virtual Machines
- Toepassingen migreren van Azure Dedicated HSM of AWS Cloud HSM
- Ondersteunende toepassingen waarvoor PKCS#11 is vereist
- Ingepakte software uitvoeren, zoals Apache of NGINX SSL-offloading, SQL Server of Oracle TDE, en AD CS in Azure Virtual Machines
Niet passend
Azure Cloud HSM integreert niet met andere platformdiensten (PaaS - Platform as a Service) of softwarediensten (SaaS - Software as a Service) van Azure. Azure Cloud HSM is alleen IaaS (Infrastructure as a Service).
Azure Cloud HSM is niet geschikt voor Microsoft-cloudservices die ondersteuning vereisen voor versleuteling met door de klant beheerde sleutels. Deze services omvatten Azure Information Protection, Azure Disk Encryption, Azure Data Lake Storage, Azure Storage en Microsoft Purview-klantsleutel. Voor deze scenario's moeten klanten azure Key Vault Managed HSM gebruiken.
Volgende stappen
Deze resources zijn beschikbaar om het inrichten en configureren van HSM's in uw bestaande virtuele netwerkomgeving te vergemakkelijken: