Что такое служба выделенных устройств HSM Azure?
Служба выделенных устройств HSM — это решение Azure, которое обеспечивает хранение криптографических ключей в Azure. Служба выделенных устройств HSM соответствует самым строгим требованиям безопасности. Это идеальное решение для клиентов, которым требуется устройство, отвечающее требованиям стандарта FIPS 140-2 уровня 3 и обеспечивающее полный и исключительный контроль над устройством HSM.
Аппаратные модули безопасности развертываются глобально в нескольких регионах Azure. Их можно легко подготовить в виде пары устройств и настроить для обеспечения высокого уровня доступности. Кроме того, развернув устройства HSM в нескольких регионах, можно выполнять отработку отказа на уровне региона. В корпорации Майкрософт для службы "Выделенное устройство HSM" используются устройства Thales Luna 7 HSM (модель A790). Это устройство обеспечивает высочайшую производительность и широкие возможности криптографической интеграции.
После подготовки аппаратные модули безопасности подключаются напрямую к виртуальной сети клиента. Локальные приложения и средства управления получат к ним доступ, когда вы настроите VPN типа "точка — сеть"или "сеть — сеть". Клиентам предоставляется программное обеспечение и документация, позволяющие настраивать устройства HSM и управлять ими через портал поддержки клиентов Thales.
Преимущества Выделенного устройства HSM Azure
Соответствие требованиям стандарта FIPS 140-2 уровня 3
Многие организации подчиняются строгим отраслевым нормативным требованиям, в которых предписано хранить криптографические ключи на устройствах HSM, соответствующим стандарту FIPS 140-2 уровня 3. Выделенный HSM Azure и новое предложение для одного клиента, Azure Key Vault Managed HSM, помогают клиентам из различных сегментов отрасли, таких как отрасль финансовых услуг, государственные учреждения и другие, соответствовать требованиям FIPS 140-2 уровня 3. При этом в службе Azure Key Vault (для нескольких арендаторов) сейчас используются устройства HSM, соответствующие стандарту FIPS 140-2 уровня 2.
Однотенантные приложения
Многие из клиентов должны подчиняться требованию о единственном арендаторе хранилища криптографических ключей. Служба Выделенных устройств HSM Azure позволяет клиентам подготовить физическое устройство в одном из глобально распределенных центров обработки данных корпорации Майкрософт. После подготовки устройства для клиента доступ к этому устройству будет только у этого клиента.
Полный административный контроль
Многим клиентам требуется полный административный контроль над устройством и исключительный доступ к нему. После подготовки устройства доступ к этому устройству на административном уровне и на уровне приложений будет только у клиента.
Корпорация Майкрософт теряет возможность административного контроля уже после первого обращения клиента к устройству, при котором пользователь изменяет пароль. С этого момента клиент по-настоящему является единственным арендатором устройства с полным административным контролем и возможностью управлять приложениями. Корпорация Майкрософт сохраняет доступ для мониторинга (без прав администратора), позволяющий получать данные телеметрии через последовательный порт. Этот доступ передает показания аппаратных датчиков, например температуры, работоспособности источника питания и вентилятора.
Клиент вправе отключить этот мониторинг, если потребуется. Но в случае отключения клиент не сможет получать упреждающие оповещения о работоспособности оборудования от корпорации Майкрософт.
Высокопроизводительные
Есть несколько причин, по которым для этой службы были выбраны устройства Thales. Они поддерживают широкий спектр криптографических алгоритмов, операционных систем и API. Конкретная модель, используемая в наших развертываниях, обеспечивает превосходную производительность на уровне 10 000 операций в секунду для RSA-2048. Модуль поддерживает 10 разделов, которые можно использовать для отдельных экземпляров приложений. Это устройство с малой задержкой, а также высокой производительностью и пропускной способностью.
Уникальное облачное решение
Корпорация Майкрософт обнаружила, что у некоторой группы клиентов есть особая потребность. Мы являемся единственным поставщиком облачных служб, предоставляющим новым клиентам выделенное устройство HSM, которое соответствует требованиям стандарта FIPS 140-2 уровня 3 и поддерживает интеграцию с облачными и локальными приложениями.
Требуется ли вам служба выделенных устройств HSM Azure?
Служба Выделенных устройств HSM Azure — это специализированное решение для удовлетворения уникальных потребностей крупных организаций определенного типа. Мы предполагаем, что характер применения этой службы не соответствует задачам основной части клиентов Azure. Многие будут находить Azure Key Vault или управляемую службу HSM Azure, чтобы быть более подходящим и экономичным. Чтобы помочь вам выбрать оптимальное решение, мы определили ряд критериев.
Оптимальный сценарий
Служба Выделенных устройств HSM в первую очередь подходит для сценариев "lift-and-shift", в которых требуется прямой и единоличный доступ к аппаратному модулю безопасности. Вот некоторые примеры.
- Перенос приложений из локальной среды на виртуальные машины Azure.
- Перенос приложений из Amazon AWS EC2 на виртуальные машины, использующих службу HSM Classic в AWS Cloud (Amazon не предлагает такую услугу новым клиентам).
- Использование на виртуальных машинах Azure персонализируемого программного обеспечения, такого как Apache/Ngnix SSL Offload, Oracle TDE и ADCS.
Неоптимальный сценарий
Выделенный HSM Azure не подходит для следующего типа сценария: облачные службы Майкрософт, поддерживающие шифрование с помощью ключей, управляемых клиентом (например, Azure Information Protection, Шифрование дисков Azure, Azure Data Lake Store, служба хранилища Azure, База данных SQL Azureи ключ клиента для Office 365, которые не интегрированы с выделенным устройством HSM Azure.
Примечание.
Клиенты должны иметь назначенного диспетчера учетных записей Майкрософт и соответствовать денежному требованию в размере 5 миллионов долларов США или больше в общем зафиксированном доходе Azure ежегодно, чтобы претендовать на подключение и использование выделенного HSM Azure.
Это зависит от обстоятельств
Применимость Выделенного устройства HSM Azure будет зависеть от сложного сочетания требований и допустимых компромиссов. В качестве примера можно указать требование FIPS 140-2 уровня 3. Это является обычным требованием, и в настоящее время единственными вариантами выполнения этого требования являются выделенное устройство HSM Azure и новое однопользовательское предложение Azure Key Vault Managed HSM. Если такие требования для вас не актуальны, вы можете свободно выбирать между Azure Key Vault и службой "Выделенное устройство HSM Azure". Прежде чем принимать решение, тщательно оцените требования.
В следующих ситуациях могут оказаться разумными оба варианта.
- Новый код, выполняемый на клиентской виртуальной машине Azure.
- Прозрачное шифрование данных на сервере SQL Server, который работает на виртуальной машине Azure.
- Шифрование данных в службе хранилища Azure на стороне клиента.
- Постоянное шифрование данных SQL Server и базы данных SQL Azure.
Следующие шаги
Это узкоспециализированная служба. Поэтому мы рекомендуем хорошо изучить все ключевые концепции, используемые в этом наборе документации, в том числе по вопросам цен, поддержки и соглашений об уровне обслуживания.
Руководства Thales по интеграции помогут вам подготовить устройства HSM для использования в существующей среде виртуальной сети. Доступны также практические руководства, которые помогут вам правильно настроить архитектуру развертывания.