O que é o HSM Gerido do Azure Key Vault?

O Azure Key Vault Managed HSM (Hardware Security Module) é um serviço de nuvem totalmente gerenciado, altamente disponível, de locatário único e compatível com os padrões que permite proteger chaves criptográficas para seus aplicativos em nuvem, usando HSMs validados pelo FIPS 140-2 Nível 3 . É uma das várias soluções de gerenciamento de chaves no Azure.

Para obter informações sobre preços, consulte a seção Pools HSM gerenciados na página de preços do Azure Key Vault. Para tipos de chave suportados, consulte Sobre chaves.

O termo "instância de HSM gerenciada" é sinônimo de "pool de HSM gerenciado". Para evitar confusão, usamos "Instância HSM gerenciada" ao longo destes artigos.

Nota

O Zero Trust é uma estratégia de segurança composta por três princípios: "Verificar explicitamente", "Usar acesso com privilégios mínimos" e "Assumir violação". A proteção de dados, incluindo o gerenciamento de chaves, apoia o princípio de "usar acesso com privilégios mínimos". Para obter mais informações, consulte O que é Zero Trust?

Por que usar o HSM gerenciado?

HSM como serviço totalmente gerenciado, altamente disponível e de locatário único

• Totalmente gerenciado: o provisionamento, a configuração, a aplicação de patches e a manutenção do HSM são tratados pelo serviço.
• Altamente disponível: cada cluster HSM consiste em várias partições HSM. Se o hardware falhar, as partições membro do cluster HSM serão migradas automaticamente para nós íntegros. Para obter mais informações, consulte Contrato de Nível de Serviço do HSM Gerenciado
• Locatário único: cada instância do HSM gerenciado é dedicada a um único cliente e consiste em um cluster de várias partições HSM. Cada cluster HSM usa um domínio de segurança separado específico do cliente que isola criptograficamente o cluster HSM de cada cliente.

Controle de acesso, proteção de dados aprimorada e conformidade

• Gerenciamento centralizado de chaves: gerencie chaves críticas e de alto valor em toda a sua organização em um só lugar. Com permissões granulares por chave, controle o acesso a cada chave com base no princípio de "acesso menos privilegiado".
• Controle de acesso isolado: o modelo de controle de acesso "RBAC local" do HSM gerenciado permite que os administradores de cluster HSM designados tenham controle total sobre os HSMs que nem mesmo os administradores de grupo de gerenciamento, assinatura ou grupo de recursos podem substituir.
• Pontos de extremidade privados: use pontos de extremidade privados para se conectar de forma segura e privada ao HSM gerenciado a partir do seu aplicativo em execução em uma rede virtual.
• HSMs validados pelo FIPS 140-2 Nível 3: proteja seus dados e atenda aos requisitos de conformidade com os HSMs validados pelo FIPS (Federal Information Protection Standard) 140-2 Nível 3. Os HSMs gerenciados usam adaptadores HSM Marvell LiquidSecurity.
• Monitor e auditoria: totalmente integrado com o monitor do Azure. Obtenha registos completos de todas as atividades através do Azure Monitor. Use o Azure Log Analytics para análises e alertas.
• Residência de dados: o HSM gerenciado não armazena/processa dados do cliente fora da região em que o cliente implanta a instância do HSM.

Integrado com serviços Azure e Microsoft PaaS/SaaS

• Gere (ou importe usando BYOK) chaves e use-as para criptografar seus dados em repouso nos serviços do Azure, como Armazenamento do Azure, Azure SQL, Proteção de Informações do Azure e Chave do Cliente para Microsoft 365. Para obter uma lista mais completa dos serviços do Azure que funcionam com HSM gerenciado, consulte Modelos de criptografia de dados.

Usa a mesma API e interfaces de gerenciamento do Key Vault

• Migre facilmente seus aplicativos existentes que usam um cofre (um multilocatário) para usar HSMs gerenciados.
• Use os mesmos padrões de desenvolvimento e implantação de aplicativos para todos os seus aplicativos, independentemente da solução de gerenciamento de chaves em uso: cofres multilocatários ou HSMs gerenciados de locatário único.

Importar chaves de seus HSMs locais

• Gere chaves protegidas por HSM em seu HSM local e importe-as com segurança para o HSM gerenciado.

Próximos passos

• Gerenciamento de chaves no Azure
• Para obter detalhes técnicos, consulte Como o HSM gerenciado implementa soberania, disponibilidade, desempenho e escalabilidade importantes sem compensações
• Consulte Guia de início rápido: provisionar e ativar um HSM gerenciado usando a CLI do Azure para criar e ativar um HSM gerenciado
• Linha de base de segurança do Azure Managed HSM
• Consulte Práticas recomendadas usando o HSM gerenciado do Azure Key Vault
• Status do HSM gerenciado
• Contrato de Nível de Serviço de HSM Gerenciado
• Disponibilidade da região HSM gerenciada
• O que é Zero Trust?