Partilhar via


O que é o HSM Gerido do Azure Key Vault?

Importante

Estamos atualizando nossa frota de HSM para um firmware validado FIPS 140-3 nível 3 para o Azure Key Vault Managed HSM e o Azure Key Vault Premium. Veja todos os detalhes em Atualizando o firmware do HSM gerenciado para segurança e conformidade aprimoradas.

O Azure Key Vault Managed HSM (Hardware Security Module) é um serviço de nuvem totalmente gerenciado, altamente disponível, de locatário único e compatível com os padrões que permite proteger chaves criptográficas para seus aplicativos em nuvem, usando HSMs validados pelo FIPS 140-2 Nível 3 . É uma das várias soluções de gerenciamento de chaves no Azure.

Para obter informações sobre preços, consulte a seção Pools HSM gerenciados na página de preços do Azure Key Vault. Para tipos de chave suportados, consulte Sobre chaves.

O termo "instância de HSM gerenciada" é sinônimo de "pool de HSM gerenciado". Para evitar confusão, usamos "Instância HSM gerenciada" ao longo destes artigos.

Nota

O Zero Trust é uma estratégia de segurança composta por três princípios: "Verificar explicitamente", "Usar acesso com privilégios mínimos" e "Assumir violação". A proteção de dados, incluindo o gerenciamento de chaves, apoia o princípio de "usar acesso com privilégios mínimos". Para obter mais informações, consulte O que é Zero Trust?

Por que usar o HSM gerenciado?

HSM como serviço totalmente gerenciado, altamente disponível e de locatário único

  • Totalmente gerenciado: o serviço lida com provisionamento, configuração, aplicação de patches e manutenção do HSM.
  • Altamente disponível: cada cluster HSM consiste em várias partições HSM. Se o hardware falhar, as partições membro do cluster HSM serão migradas automaticamente para nós íntegros. Para obter mais informações, consulte Contrato de Nível de Serviço do HSM Gerenciado
  • Locatário único: cada instância do HSM gerenciado é dedicada a um único cliente e consiste em um cluster de várias partições HSM. Cada cluster HSM usa um domínio de segurança separado específico do cliente que isola criptograficamente o cluster HSM de cada cliente.

Controle de acesso, proteção de dados aprimorada e conformidade

  • Gerenciamento centralizado de chaves: gerencie chaves críticas e de alto valor em toda a sua organização em um só lugar. Com permissões granulares por chave, controle o acesso a cada chave com base no princípio de "acesso menos privilegiado".
  • Controle de acesso isolado: o modelo de controle de acesso "RBAC local" do HSM gerenciado permite que os administradores de cluster HSM designados tenham controle total sobre os HSMs que nem mesmo os administradores de grupo de gerenciamento, assinatura ou grupo de recursos podem substituir.
  • Pontos de extremidade privados: use pontos de extremidade privados para se conectar de forma segura e privada ao HSM gerenciado a partir do seu aplicativo em execução em uma rede virtual.
  • HSMs validados pelo FIPS 140-2 Nível 3: proteja seus dados e atenda aos requisitos de conformidade com os HSMs validados pelo FIPS (Federal Information Protection Standard) 140-2 Nível 3. Os HSMs gerenciados usam adaptadores HSM Marvell LiquidSecurity.
  • Monitor e auditoria: totalmente integrado com o monitor do Azure. Obtenha registos completos de todas as atividades através do Azure Monitor. Use o Azure Log Analytics para análises e alertas.
  • Residência de dados: o HSM gerenciado não armazena/processa dados do cliente fora da região em que o cliente implanta a instância do HSM.

Integrado com serviços Azure e Microsoft PaaS/SaaS

Usa a mesma API e interfaces de gerenciamento do Key Vault

  • Migre facilmente seus aplicativos existentes que usam um cofre (um multilocatário) para usar HSMs gerenciados.
  • Use os mesmos padrões de desenvolvimento e implantação de aplicativos para todos os seus aplicativos, independentemente da solução de gerenciamento de chaves em uso: cofres multilocatários ou HSMs gerenciados de locatário único.

Importar chaves de seus HSMs locais

  • Gere chaves protegidas por HSM em seu HSM local e importe-as com segurança para o HSM gerenciado.

Próximos passos