Архитектура развертывания Выделенного устройства HSM Azure
Служба выделенных устройств HSM Azure обеспечивает хранение криптографических ключей в Azure, которое соответствует строгим требованиям к безопасности. Служба выделенных устройств HSM Azure будет полезна клиентам в следующих случаях:
- если нужно соответствие требованиям сертификации FIPS 140-2 уровня 3;
- если нужен монопольный доступ к HSM;
- если нужен полный контроль над устройствами клиента.
Устройства HSM распределяются между центрами обработки данных корпорации Майкрософт и на основе двух таких устройств можно легко подготовить к работе решение высокой доступности. Также их можно развернуть в разных регионах, чтобы решение было устойчивым к аварийным ситуациям. Регионы с выделенными HSM, доступными в настоящее время, можно проверить на странице "Продукты по регионам".
- Восточная часть США
- восточная часть США 2
- западная часть США
- западная часть США 2
- Восточная Канада
- Центральная Канада
- Центрально-южная часть США
- Юго-Восточная Азия
- Центральная Индия
- Южная Индия
- Восточная Япония
- Западная Япония
- Северная Европа
- Западная Европа
- южная часть Соединенного Королевства
- западная часть Соединенного Королевства
- Восточная Австралия
- Юго-Восточная часть Австралии
- Северная Швейцария
- Западная Швейцария
- US Gov (Вирджиния)
- US Gov (Техас)
В каждом из этих регионов развернуты стойки HSM по меньшей мере в двух независимых центрах обработки данных или хотя бы в двух независимых зонах доступности. В регионе "Юго-Восточная Азия" созданы три зоны доступности, а в регионе "Восточная часть США 2" — две. В общей сложности служба выделенных устройств HSM предоставляется в двадцати трех регионах Европы, Азии и Северной Америки. Дополнительные сведения о регионах Azure см. в официальных сведениях о регионах Azure. При разработке любого решения на основе выделенных устройств HSM следует учитывать такие факторы, как расположение и задержки, высокий уровень доступности, поддержка других распределенных приложений.
Расположение устройства
Оптимальным для устройства HSM будет ближайшее расположение к тем приложениям, которые выполняют криптографические операции. В пределах одного региона можно ожидать задержки не более 10 миллисекунд. Задержка между регионами может оказаться выше в 5 или даже в 10 раз.
Высокий уровень доступности
Чтобы обеспечить высокий уровень доступности, клиенту следует использовать два устройства HSM в одном регионе, настроенных с помощью ПО Thales как пара устройств высокого уровня доступности. Такой формат развертывания обеспечивает доступность ключей даже в тех случаях, когда одно из устройств не может выполнять операции с ключами из-за локальных проблем. Он значительно сокращает риск на периоды замены или ремонта оборудования, например при замене блока питания. Очень важно учитывать при проектировании все потенциальные сбои на региональном уровне. Сбои на региональном уровне могут происходить при стихийных бедствиях, например ураганах, наводнениях или землетрясениях. Для предотвращения отрицательных последствий следует подготовить устройства HSM в другом регионе. Устройства, развернутые в другом регионе, можно объединить в конфигурации ПО Thales. Таким образом, для обеспечения высокого уровня доступности и устойчивости к аварийным ситуациям развертывание должно включать не менее четырех устройств HSM, размещенных в двух регионах. Локальная избыточность и избыточность между регионами будут основными факторами и при принятии решений о развертывании дополнительных устройств HSM, если это потребуется для снижения задержки, повышения производительности или для соблюдения других требований конкретного приложения.
Поддержка распределенных приложений
Выделенные устройства HSM обычно развертываются для поддержки приложений, которым нужно выполнять операции по сохранению и извлечению ключей. Выделенные устройства HSM содержат по 10 секций для поддержки разных приложений. При выборе местоположения устройства следует составить целостное представление обо всех приложениях, которые будут использовать эту службу.
Дальнейшие действия
После выбора архитектуры развертывания основные действия по созданию этой конфигурации осуществляются системой Thales. Это в частности касается настройки устройств и сценариев интеграции с приложениями. Дополнительные сведения можно найти на портале поддержки клиентов Thales и в скачиваемых руководствах по настройке и администрированию. Сайт для партнеров корпорации Майкрософт содержит много разных руководств по интеграции. Мы рекомендуем хорошо разобраться в основных понятиях службы, таких как высокий уровень доступности и безопасность, прежде чем переходить к подготовке устройств, разработке и развертыванию приложений. Дополнительные сведения об основных понятиях: