Что собой представляет управляемое устройство HSM в Azure Key Vault?

Внимание

Мы обновляем наш флот HSM до проверенного встроенного ПО уровня 3 FIPS 140-3 для управляемого HSM в Azure Key Vault и Azure Key Vault Premium. Дополнительные сведения см. в статье об обновлении встроенного ПО управляемого модуля HSM для повышения безопасности и соответствия требованиям.

Управляемое устройство HSM (Hardware Security Module) в Azure Key Vault — это соответствующая стандартам и полностью управляемая облачная служба с высоким уровнем доступности для одного клиента. С ее помощью можно защищать криптографические ключи для облачных приложений, используя устройства HSM, отвечающие стандартам FIPS 140-2 уровня 3. Это одно из нескольких решений по управлению ключами в Azure.

Сведения о ценах см. в разделе "Управляемые пулы HSM" на странице цен Azure Key Vault. Поддерживаемые типы ключей см. в статье Сведения о ключах.

Термин "экземпляр Управляемого устройства HSM" синонимичен термину "пул Управляемых устройств HSM". Чтобы избежать путаницы, мы используем в этих статьях только вариант "экземпляр Управляемого устройства HSM".

Примечание.

Нулевое доверие — это стратегия безопасности, состоящая из трех принципов: "Проверка явным образом", "Использование минимального доступа к привилегиям" и "Предполагать нарушение". Защита данных, включая управление ключами, поддерживает принцип "использовать минимальный доступ к привилегиям". Дополнительные сведения см. в разделе "Что такое нулевое доверие"?

Зачем использовать Управляемое устройство HSM?

Полностью управляемое высокодоступное однотенантное устройство HSM как услуга

• Полностью управляемое: служба обрабатывает подготовку, настройку, исправление и обслуживание HSM.
• Высокая доступность: каждый кластер HSM состоит из нескольких секций HSM. Если оборудование завершается сбоем, секции-члены кластера HSM автоматически переносятся на здоровые узлы. Дополнительные сведения см. в соглашении об уровне обслуживания управляемого устройства HSM
• С одним арендатором. Каждый экземпляр управляемого модуля HSM выделен для одного арендатора и состоит из кластера с несколькими разделами HSM. Каждый кластер HSM использует отдельный домен безопасности, определяемый клиентом, который криптографически изолирует кластер HSM каждого клиента.

Контроль доступа, улучшенная защита данных и соответствие требованиям

• Централизованное управление ключами. Управляйте критически важными и ценными ключами организации в одном расположении. Благодаря избирательным разрешениям на ключ вы можете контролировать доступ к каждому ключу по принципу минимального привилегированного доступа.
• Изолированный контроль доступа. Локальная модель управления доступом на основе ролей (RBAC) позволяет назначенным администраторам кластера HSM полностью контролировать устройства HSM, и это не переопределяется даже администраторами групп управления, подписок и групп ресурсов.
• Частные конечные точки. Используйте частные конечные точки для безопасного частного подключения к управляемому модулю HSM из приложения, запущенного в виртуальной сети.
• Устройства HSM, отвечающие стандартам FIPS 140-2 уровня 3. Защитите свои данные и соблюдайте требования, определяемые стандартом FIPS 140-2 уровня 3 (Федеральный стандарт по обработке информации), благодаря использованию устройств HSM. Управляемые устройства HSM используют адаптеры HSM от Marvell LiquidSecurity.
• Мониторинг и аудит — полная интеграция с Azure Monitor. Получайте полные журналы всех действий с помощью Azure Monitor. Используйте Azure Log Analytics для аналитики и оповещений.
• Место расположения данных — управляемое устройство HSM не хранит и не обрабатывает данные клиентов за пределами региона, в котором клиент развертывает экземпляр HSM.

Интеграция с Azure и службами Microsoft PaaS и SaaS

• Создайте (или импортируйте с помощью BYOK) ключи и используйте их для шифрования неактивных данных в службах Azure, таких как служба хранилища Azure, Azure SQL, Azure Information Protection и Ключ клиента для Microsoft 365. Полный список служб Azure, работающих с управляемым HSM, см. в статье "Модели шифрования данных".

Использование тех же API и интерфейсов управления, что и для Key Vault

• Легко переносить существующие приложения, использующие хранилище (мультитенантное) для использования управляемых виртуальных машин HSM.
• Используйте одинаковые шаблоны разработки и развертывания приложений для всех приложений независимо от используемого решения управления ключами: мультитенантные хранилища или управляемые HSM с одним клиентом.

Импорт ключей из локальных устройств HSM

• Создавайте ключи, защищенные модулем HSM, на локальном устройстве HSM и безопасно импортируйте их в Управляемое устройство HSM.

Следующие шаги

• Управление ключами в Azure
• Технические сведения см. в статье о том, как управляемый HSM реализует суверенитет ключей, доступность, производительность и масштабируемость без компромиссов.
• Воспользуйтесь статьей Краткое руководство. Подготовка и активация управляемого устройства HSM с помощью Azure CLI, чтобы выполнить описанные в ней действия.
• Базовые показатели безопасности управляемого устройства HSM Azure
• См. рекомендации по использованию Управляемого устройства HSM в Azure Key Vault.
• Состояние управляемого устройства HSM
• Соглашение об уровне обслуживания управляемого устройства HSM
• Доступность управляемого устройства HSM по регионам
• Что такое нулевое доверие?