Co to jest dedykowany moduł HSM platformy Azure?

Dedykowany moduł HSM platformy Azure to usługa zapewniająca magazyn kluczy kryptograficznych na platformie Azure. Dedykowany moduł HSM spełnia większość najbardziej rygorystycznych wymagań dotyczących zabezpieczeń. To idealne rozwiązanie dla klientów, którzy potrzebują urządzeń zweryfikowanych w trybie FIPS 140-2 poziom 3 oraz kompletnej i wyłącznej kontroli nad urządzeniem HSM.

Urządzenia HSM są wdrażane globalnie w kilku regionach platformy Azure. Można je z łatwością aprowizować jako parę urządzeń i skonfigurować na potrzeby wysokiej dostępności. Urządzenia HSM można również aprowizować w kilku regionach, aby zabezpieczyć się przed pracą w trybie failover na poziomie regionu. Firma Microsoft dostarcza dedykowaną usługę HSM przy użyciu urządzeń firmy Thales Luna 7 HSM A790 . To urządzenie oferuje najwyższe poziomy wydajności oraz opcje integracji usług kryptograficznych.

Po aprowizacji urządzenia HSM są podłączane bezpośrednio do sieci wirtualnej klienta. W przypadku skonfigurowania łączności sieci VPN typu punkt-lokacja lub lokacja-lokacja dostęp do urządzeń HSM można uzyskiwać za pomocą aplikacji lokalnej i narzędzi do zarządzania. Klienci uzyskują oprogramowanie i dokumentację, aby skonfigurować urządzenia HSM i zarządzać nimi z portalu pomocy technicznej klienta firmy Thales.

Dlaczego warto używać usługi Azure Dedicated HSM?

Zgodność ze standardem FIPS 140-2 poziom 3

Wiele organizacji ma rygorystyczne przepisy branżowe, które określają, że klucze kryptograficzne muszą być przechowywane w zweryfikowanych modułach HSM fiPS 140-2 Level-3 . Dedykowany moduł HSM platformy Azure i nowa oferta z jedną dzierżawą, Azure Key Vault Managed HSM, pomaga klientom z różnych segmentów branżowych, takich jak branża usług finansowych, agencje rządowe i inne spełniają wymagania FIPS 140-2 Level-3. Podczas gdy wielodostępna usługa Azure Key Vault firmy Microsoft obecnie używa zweryfikowanych modułów HSM ze standardem FIPS 140-2 level-2.

Urządzenia dla jednej dzierżawy

Wielu naszych klientów potrzebuje urządzenia magazynu kryptograficznego obsługującego jedną dzierżawę. Usługa Azure Dedicated HSM umożliwia aprowizację urządzenia fizycznego z jednego z globalnie rozproszonych centrów danych firmy Microsoft. Po aprowizowaniu u klienta tylko ten klient ma dostęp do danego urządzenia.

Pełna kontrola administracyjna

Wielu klientów wymaga pełnej kontroli administracyjnej oraz wyłącznego dostępu do swojego urządzenia w celach administracyjnych. Po aprowizacji urządzenia tylko dany klient ma wszelki dostęp administracyjny i na poziomie aplikacji do tego urządzenia.

Kiedy klient uzyska dostęp do urządzenia po raz pierwszy i zmieni hasło, firma Microsoft nie ma już żadnej kontroli administracyjnej nad urządzeniem. Od tego momentu klient jest rzeczywistym jedynym dzierżawcą z pełną kontrolą administracyjną i możliwością zarządzania aplikacją. Firma Microsoft zachowuje dostęp na poziomie monitorowania (nie jest to rola administratora) na potrzeby telemetrii za pośrednictwem połączenia portu szeregowego. Ten dostęp obejmuje monitory sprzętowe, takie jak temperatura, kondycja zasilacza i kondycja wentylatora.

Klient może w każdej chwili wyłączyć to monitorowanie. Jeśli jednak zostanie ono wyłączone, klient nie będzie otrzymywać proaktywnych alertów dotyczących kondycji od firmy Microsoft.

Wysoka wydajność

Urządzenie Thales zostało wybrane dla tej usługi z różnych powodów. Oferuje ono obsługę szerokiej gamy algorytmów kryptograficznych, różnych systemów operacyjnych i szerokiego zakresu interfejsów API. Określony model, który został wdrożony, oferuje doskonałą wydajność dzięki obsłudze 10 000 operacji na sekundę dla szyfrowania RSA-2048. Obsługuje on 10 partycji, których można użyć na potrzeby unikatowych wystąpień aplikacji. Jest to urządzenie o małych opóźnieniach, dużej pojemności i wysokiej przepływności.

Unikatowa oferta chmurowa

Firma Microsoft zauważyła specyficzną potrzebę unikatowego zestawu klientów. Jesteśmy jedynym dostawcą usług w chmurze, który oferuje nowym klientom dedykowaną usługę modułu HSM zweryfikowaną w trybie FIPS 140-2 poziom 3 i oferującą tak duży zakres integracji aplikacji chmurowych i lokalnych.

Czy dedykowany moduł HSM platformy Azure jest dla Ciebie odpowiedni?

Azure Dedicated HSM to wyspecjalizowana usługa zaspokajająca unikatowe wymagania dużych organizacji określonego typu. Z tego względu spodziewamy się, że większość klientów platformy Azure nie będzie pasować do profilu użycia dla tej usługi. Wiele z tych elementów znajdzie usługę Azure Key Vault lub Azure Managed HSM, która będzie bardziej odpowiednia i ekonomiczna. Aby ułatwić podjęcie decyzji, czy ta usługa odpowiada Twoim potrzebom, określiliśmy następujące kryteria.

Najlepsze dopasowanie

Usługa Azure Dedicated HSM jest najbardziej odpowiednia dla scenariuszy migracji metodą „lift-and-shift”, które wymagają bezpośredniego i wyłącznego dostępu do urządzeń HSM. Przykłady:

• Migrowanie aplikacji ze środowiska lokalnego do usługi Azure Virtual Machines
• Migrowanie aplikacji z usługi Amazon AWS EC2 na maszyny wirtualne, które korzystają z usługi AWS Cloud HSM Classic (firma Amazon nie oferuje tej usługi dla nowych klientów)
• Uruchamianie oprogramowania w otoce, takiego jak Apache/Ngnix SSL Offload, Oracle TDE i ADCS, w usłudze Azure Virtual Machines

Brak dopasowania

Dedykowany moduł HSM platformy Azure nie jest odpowiedni dla następującego typu scenariusza: usługi firmy Microsoft w chmurze, które obsługują szyfrowanie przy użyciu kluczy zarządzanych przez klienta (takich jak Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store, Azure Storage, Azure SQL Database i Klucz klienta dla Office 365), które nie są zintegrowane z dedykowanym modułem HSM platformy Azure.

Uwaga

Klienci muszą mieć przypisanego menedżera kont Microsoft i spełnić wymóg pieniężny pięciu milionów dolarów (5 mln USD) lub większy w ogólnym zatwierdzonym przychodzie platformy Azure rocznie, aby kwalifikować się do dołączania i korzystania z dedykowanego modułu HSM platformy Azure.

To zależy

To, czy usługa Azure Dedicated HSM sprawdzi się w Twoim przypadku, zależy od potencjalnie złożonego połączenia wymagań i kompromisów, na które możesz lub nie możesz sobie pozwolić. Przykładem jest wymaganie zgodności ze standardem FIPS 140-2 poziom 3. To wymaganie jest typowe, a dedykowany moduł HSM platformy Azure i nowa oferta z jedną dzierżawą, usługa Azure Key Vault Managed HSM są obecnie jedynymi opcjami ich spełnienia. Jeśli te wymagane wymagania nie są istotne, często jest to wybór między usługą Azure Key Vault a dedykowanym modułem HSM platformy Azure. Przed podjęciem decyzji oceń swoje wymagania.

Sytuacje, w których trzeba będzie rozważyć dostępne opcje, mogą być następujące:

• Nowy kod działający na maszynie wirtualnej platformy Azure klienta
• SQL Server TDE na maszynie wirtualnej platformy Azure
• Szyfrowanie po stronie klienta usługi Azure Storage
• SQL Server i Azure SQL DB Always Encrypted

Następne kroki

Ta usługa jest wysoce wyspecjalizowana. Z tego względu zalecamy, aby szczegółowo zapoznać się z kluczowymi pojęciami opisanymi w tym zestawie dokumentacji, w tym z cenami, pomocą techniczną i umowami dotyczącymi poziomu usług.

Przewodniki integracji firmy Thales ułatwiają aprowizowanie modułów HSM w istniejącym środowisku sieci wirtualnej. Istnieją również przewodniki z instrukcjami ułatwiające określenie sposobu konfigurowania architektury wdrażania.

• Wysoka dostępność
• Zabezpieczenia fizyczne
• Sieć
• Możliwości obsługi
• Monitorowanie