Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Microsoft Azure Cloud HSM to wysoce dostępna, zweryfikowana na poziomie 3 FIPS 140-3 jednodzierżawcza usługa, spełniająca standardy branżowe. Chmura Azure HSM zapewnia klientom pełną władzę administracyjną nad sprzętowymi modułami zabezpieczeń (HSM). Zapewnia bezpieczny i należący do klienta klaster HSM do przechowywania kluczy kryptograficznych i wykonywania operacji kryptograficznych.
Azure Cloud HSM obsługuje różne aplikacje, w tym PKCS#11, odciążanie przetwarzania protokołów Secure Sockets Layer (SSL) lub Transport Layer Security (TLS), ochronę klucza prywatnego urzędu certyfikacji (CA) oraz przezroczyste szyfrowanie danych (TDE). Obsługuje również podpisywanie dokumentów i kodu.
Dlaczego warto używać modułu HSM w chmurze Azure?
W pełni zarządzane rozwiązanie
Wielu klientów wymaga kontroli administracyjnej nad swoim modułem HSM, ale nie chce narzutów i dodatkowych kosztów związanych z zarządzaniem klastrem w celu zapewnienia wysokiej dostępności, stosowania poprawek i konserwacji. Azure klienci modułu HSM w chmurze mają bezpieczny, bezpośredni, kompleksowo zaszyfrowany dostęp do węzłów HSM w klastrze HSM za pośrednictwem prywatnego, dedykowanego linku z sieci wirtualnej.
Gdy klient konfiguruje klaster HSM w chmurze Azure, zachowuje dostęp administracyjny do swoich modułów HSM. Usługa Azure Cloud HSM zajmuje się wysoką dostępnością, stosowaniem poprawek i konserwacją.
Należący do klienta, wysoce dostępny, jedno-dzierżawny moduł HSM jako usługa
Azure Moduł HSM w chmurze zapewnia wysoką dostępność i nadmiarowość przez grupowanie wielu modułów HSM w klastrze HSM. Usługa automatycznie synchronizuje klucze i zasady w każdym węźle HSM.
Każdy klaster HSM składa się z trzech węzłów HSM. Jeśli zasób HSM stanie się niedostępny, węzły członkowskie klastra HSM są automatycznie i bezpiecznie migrowane do węzłów w dobrej kondycji.
Klaster Azure Cloud HSM obsługuje równoważenie obciążenia operacji kryptograficznych. Okresowe kopie zapasowe modułu HSM pomagają zapewnić bezpieczne i proste odzyskiwanie danych.
Miejsce przechowywania danych: moduł HSM w chmurze nie przechowuje ani nie przetwarza danych klientów poza regionem, w którym klient wdraża wystąpienie modułu HSM.
Klastry HSM dla jednego najemcy
Każde wystąpienie modułu HSM w chmurze Azure jest dedykowane jednemu klientowi. Każdy klaster HSM używa oddzielnej domeny zabezpieczeń specyficznej dla klienta, która kryptograficznie go izoluje.
Zgodność i certyfikacja
Moduł HSM w chmurze platformy Azure spełnia wiele branżowych standardów zgodności i certyfikatów, aby pomóc klientom spełnić wymagania prawne.
FIPS 140-3 Poziom 3
Wiele organizacji ma rygorystyczne przepisy branżowe, które określają, że klucze kryptograficzne muszą być przechowywane w zweryfikowanych modułach HSM fiPS 140-3 poziom 3 . Moduł HSM w chmurze platformy Azure oferuje moduły HSM zweryfikowane pod kątem spełnienia standardów FIPS 140-3 poziom 3. Aby zapoznać się z procedurami weryfikacji autentyczności modułu HSM, w tym sprawdzeniem certyfikatu FIPS 140-3 poziomu 3 wydanego przez NIST, zapoznaj się z przewodnikiem dołączania. Azure Moduł HSM w chmurze pomaga klientom z różnych segmentów branżowych (branży usług finansowych, agencji rządowych i innych) spełnić te wymagania FIPS.
eIDAS
Moduł HSM w chmurze platformy Azure obsługuje zgodność z usługą eIDAS w ramach austriackiego systemu, zapewniając bezpieczne zarządzanie kluczami, operacje kryptograficzne i zweryfikowane sprzęt FIPS 140-3 poziom 3 w celu spełnienia rygorystycznych wymagań dotyczących kwalifikowanych podpisów elektronicznych i pieczęć w celu zapewnienia zgodności z przepisami. Dowiedz się więcej o Certyfikacie QSCD.
PCI i PCI 3DS
Moduł HSM w chmurze platformy Azure udostępnia moduły HSM, które są weryfikowane w celu spełnienia standardów PCI i PCI 3DS. Aby uzyskać więcej informacji na temat certyfikacji zgodności PCI dla modułu HSM w chmurze platformy Azure, zobacz Zaświadczenie zgodności PCI 3DS (AOC) w Centrum zaufania usług firmy Microsoft.
Azure przydatność HSM w chmurze
Moduł HSM w chmurze Azure obsługuje następujące funkcje:
- PKCS#11, OpenSSL, Java Cryptography Architecture (JCA), Java Cryptography Extension (JCE), Cryptography API: Next Generation (CNG) i key storage provider (KSP).
- Usługi certyfikatów Active Directory (AD CS).
- Odciążanie protokołu SSL/TLS (Apache lub NGINX).
- TDE (Microsoft SQL Server lub Oracle).
- Magazyn certyfikatów
- Dokument, plik i podpisywanie kodu.
Moduł HSM Azure w chmurze nie jest:
- Bez systemu operacyjnego urządzenie HSM.
- Tajny sklep
- Oferta zarządzania cyklem życia certyfikatów.
Najlepsze dopasowanie
Azure moduł HSM w chmurze jest najbardziej odpowiedni dla następujących typów scenariuszy:
- Migrowanie aplikacji ze środowiska lokalnego do Azure Virtual Machines
- Migrowanie aplikacji z Azure Dedicated HSM lub AWS Cloud HSM
- Obsługa aplikacji wymagających PKCS#11
- Uruchamianie oprogramowania opakowanego typu shrink-wrap, takiego jak odciążanie SSL programem Apache lub NGINX, SQL Server lub Oracle TDE oraz AD CS w maszynach wirtualnych Azure
Nie pasuje
Azure Cloud HSM nie integruje się z innymi usługami platformy jako usługi (PaaS) ani oprogramowania jako usługi (SaaS) usługami Azure. Azure moduł HSM w chmurze to tylko infrastruktura jako usługa (IaaS).
Azure moduł HSM w chmurze nie jest dobrym rozwiązaniem dla usług w chmurze firmy Microsoft, które wymagają obsługi szyfrowania przy użyciu kluczy zarządzanych przez klienta. Te usługi obejmują Azure Information Protection, Azure Disk Encryption, Azure Data Lake Storage, Azure Storage i klucz klienta Microsoft Purview. W tych scenariuszach klienci powinni używać Azure Key Vault zarządzanego modułu HSM.
Bezpieczeństwo fizyczne
Azure centra danych mają obszerne mechanizmy kontroli zabezpieczeń fizycznych i proceduralnych. Moduły HSM w usłudze Azure Cloud HSM są hostowane w ograniczonym obszarze dostępu centrum danych z kontrolą dostępu fizycznego i nadzorem wideo w celu zapewnienia dodatkowego bezpieczeństwa.
Azure Cloud HSM obejmuje zarówno fizyczne, jak i logiczne mechanizmy wykrywania manipulacji i reagowania, które inicjują usuwanie klucza (zerowanie) sprzętu. Te środki są przeznaczone do wykrywania manipulacji w przypadku naruszenia bariery fizycznej.
Moduły HSM są chronione przed atakami logowania siłowymi. System blokuje funkcjonariuszy kryptografii (CO) po określonej liczbie nieudanych prób dostępu. Podobnie powtarzające się nieudane próby uzyskania dostępu do modułu HSM przy użyciu poświadczeń użytkownika kryptografii (CU) powodują zablokowanie użytkownika. Główny Oficer musi następnie odblokować Jednostkę Sterującą. Odblokowanie CO wymaga polecenia getChallenge, podpisanie wyzwania kluczem właściciela partycji PO.key przy wykorzystaniu protokołu OpenSSL, a następnie poleceń unlockCO oraz changePswd.
Operacje serwisowe
Moduł HSM w chmurze platformy Azure nie ma zaplanowanych okien obsługi. Jednak firma Microsoft może wymagać przeprowadzenia konserwacji w celu przeprowadzenia niezbędnych uaktualnień lub wadliwego zastąpienia sprzętu. Klienci są powiadamiani z wyprzedzeniem, jeśli przewiduje się jakikolwiek wpływ.
Dalsze kroki
Te zasoby ułatwiają aprowizację i konfigurację modułów HSM w istniejącym środowisku sieci wirtualnej: