O que é o HSM Gerenciado do Azure Key Vault?

  • Artigo

O HSM (Módulos de Segurança de Hardware) Gerenciado do Azure Key Vault é um serviço de nuvem em conformidade com os padrões de um único locatário, altamente disponível e totalmente gerenciado que permite proteger chaves criptográficas para seus aplicativos de nuvem, usando HSMs validados FIPS 140-2 Nível 3. É uma das várias soluções de gerenciamento de chaves no Azure.

Para obter informações sobre preços, confira a seção Pools do HSM gerenciado na página de preços do Azure Key Vault. Para tipos de chave com suporte, confira Sobre as chaves.

O termo "instância de HSM Gerenciado" é sinônimo de "pool de HSM Gerenciado". Para evitar confusão, usamos "instância de HSM Gerenciado" em todos esses artigos.

Observação

Confiança Zero é uma estratégia de segurança composta por três princípios: "Verificar explicitamente", "Usar acesso de privilégios mínimos" e "Assumir a violação". A proteção de dados, incluindo o gerenciamento de chaves, dá suporte ao princípio de "usar acesso de privilégios mínimos". Para obter mais informações, consulte O que é Confiança Zero?

Por que usar o HSM Gerenciado?

HSM totalmente gerenciado, altamente disponível e de locatário único como serviço

  • Totalmente gerenciado: o provisionamento, a configuração, a aplicação de patch e a manutenção do HSM são processados pelo serviço.
  • Altamente disponível: cada cluster HSM consiste em várias partições HSM. Se o hardware falhar, as partições de membro para o cluster do HSM serão migradas automaticamente para nós íntegros. Para saber mais, confira Contrato de Nível de Serviço do HSM Gerenciado
  • Locatário único: cada instância do HSM Gerenciado é dedicada a um único cliente e consiste em um cluster de várias partições do HSM. Cada cluster HSM usa um domínio de segurança específico de cliente separado que isola criptograficamente o cluster do HSM de cada cliente.

Controle de acesso, proteção avançada de dados e conformidade

  • Gerenciamento centralizado de chaves: gerencie chaves críticas e de alto valor em uma organização em um único lugar. Com as permissões granulares por chave, controle o acesso a cada chave conforme o princípio de "acesso com privilégios mínimos".
  • Controle de acesso isolado: o modelo de controle de acesso "RBAC local" do HSM Gerenciado permite que os administradores de cluster do HSM designados tenham controle total sobre os HSMs que nem mesmo administradores de grupo de recursos, assinatura ou grupo de gerenciamento podem substituir.
  • Pontos de extremidade privados: use pontos de extremidade privados para se conectar de forma segura e privada ao HSM Gerenciado do seu aplicativo em execução em uma rede virtual.
  • HSMs validados para FIPS 3 Nível 140-2: proteja seus dados e cumpra os requisitos de conformidade com HSMs validados para FIPS (Federal Information Protection Standard) 140-2 Nível 3. Os HSMs gerenciados usam adaptadores HSM Marvell LiquidSecurity.
  • Monitorar e auditar: totalmente integrado ao Azure Monitor. Obtenha logs completos de todas as atividades por meio do Azure Monitor. Use o Log Analytics do Azure para análise e alertas.
  • Residência de dados: o HSM gerenciado não armazena/processa dados do cliente fora da região em que o cliente implanta a instância do HSM.

Integrado ao Azure e aos serviços de PaaS/SaaS da Microsoft

Usa as mesmas interfaces de API e de gerenciamento que o Key Vault

  • Migre facilmente seus aplicativos existentes que usam um cofre (multilocatário) para usar HSMs Gerenciados.
  • Use os mesmos padrões de desenvolvimento e implantação de aplicativos para todos os aplicativos, não importa a solução de gerenciamento de chaves em uso: cofres multilocatários ou HSMs Gerenciados de locatário único.

Importar chaves dos HSMs locais

  • Gerar chaves protegidas por HSM em seu HSM local e importá-las com segurança para o HSM Gerenciado.

Próximas etapas