Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Azure Cloud HSM — это высокодоступная, сертифицированная по FIPS 140-3 уровня 3, одноарендаторная служба, которая соответствует отраслевым стандартам. Azure Cloud HSM предоставляет клиентам полный административный контроль над аппаратными модулями безопасности (HSM). Он предоставляет безопасный и клиентский кластер HSM для хранения криптографических ключей и выполнения криптографических операций.
Azure Cloud HSM поддерживает различные приложения, включая PKCS#11, разгрузку протокола SSL или TLS, защиту закрытого ключа центра сертификации (ЦСК) и прозрачное шифрование данных (TDE). Он также поддерживает подписывание документов и кода.
Зачем использовать Azure Cloud HSM?
Полностью управляемое решение
Многие клиенты требуют административного контроля над их HSM, но не хотят накладных и дополнительных расходов, связанных с управлением кластерами для высокой доступности, установки исправлений и обслуживания. Клиенты Azure Cloud HSM имеют безопасный, прямой и сквозной зашифрованный доступ к экземплярам их HSM в кластере HSM через частную выделенную ссылку из своей виртуальной сети.
После того как клиент подготавливает кластер Azure Cloud HSM, клиент сохраняет административный доступ к своим HSM. Служба Azure Cloud HSM заботится о высокой доступности, исправлении и обслуживании.
Клиентская, высокодоступная, однотенантная HSM как услуга
Azure Cloud HSM обеспечивает высокую доступность и избыточность путем группировки нескольких модулей HSM в кластер HSM. Служба автоматически синхронизирует ключи и политики в каждом экземпляре HSM.
Каждый кластер HSM состоит из трех партиций HSM. Если ресурс HSM становится недоступным, членские разделы вашего кластера HSM автоматически и безопасно переносятся на исправные узлы.
Кластер Azure Cloud HSM поддерживает балансировку нагрузки криптографических операций. Периодические резервные копии HSM помогают обеспечить безопасное и простое восстановление данных.
Расположение данных: Cloud HSM не хранит или обрабатывает данные клиента за пределами региона, в котором клиент развертывает экземпляр HSM.
Кластеры HSM с одним клиентом
Каждый экземпляр Azure Cloud HSM предназначен для одного клиента. Каждый кластер HSM использует отдельный домен безопасности для конкретного клиента, который криптографически изолирует его.
Соответствие FIPS 140-3 уровня 3
Многие организации имеют строгие отраслевые правила, которые определяют, что криптографические ключи должны храниться в FIPS 140-3 уровня 3 , проверенных HSM. Azure Cloud HSM помогает клиентам из различных отраслевых сегментов (отрасли финансовых услуг, государственных учреждений и других) соответствовать этим требованиям FIPS.
Пригодность облачного устройства HSM в Azure
Azure Cloud HSM поддерживает:
- PKCS#11, OpenSSL, архитектура шифрования Java (JCA), расширение шифрования Java (JCE), API шифрования: следующее поколение (CNG) и поставщик хранилища ключей (KSP).
- Службы сертификатов Active Directory (AD CS).
- Разгрузка SSL/TLS (Apache или NGINX).
- TDE (Microsoft SQL Server или Oracle).
- Хранилище сертификатов
- Подписывание документа, файла и кода.
Azure Cloud HSM — это не:
- Устройство HSM без операционной системы.
- Хранилище секретов.
- Предложение для управления жизненным циклом сертификатов.
Оптимальный сценарий
Azure Cloud HSM наиболее подходит для следующих типов сценариев:
- Перенос приложений из локальной среды на виртуальные машины Azure.
- Миграция приложений из Azure Dedicated HSM или AWS Cloud HSM
- Поддержка приложений, требующих PKCS#11
- Запуск коробочного программного обеспечения, такого как перенос обработки SSL в Apache или NGINX, SQL Server или Oracle TDE, и AD CS в виртуальных машинах Azure.
Неоптимальный сценарий
Azure Cloud HSM не интегрируется с другими службами платформы как услуга (PaaS) или программное обеспечение как услуга (SaaS) Azure. Azure Cloud HSM — это только инфраструктура как услуга (IaaS).
Azure Cloud HSM не подходит для облачных служб Майкрософт, требующих поддержки шифрования с помощью ключей, управляемых клиентом. К этим службам относятся Azure Information Protection, шифрование дисков Azure, Azure Data Lake Storage, служба хранилища Azure и ключ клиента Microsoft Purview. Для этих сценариев клиенты должны использовать управляемый HSM в Azure Key Vault.
Связанный контент
Эти ресурсы помогут вам упростить подготовку и настройку HSM в существующей среде виртуальной сети: