Vad är Azure Key Vault Managed HSM?

  • Artikel

Azure Key Vault Managed HSM (Hardware Security Module) är en fullständigt hanterad, högtillgänglig molntjänst med enkel klientorganisation, standardkompatibel molntjänst som gör att du kan skydda kryptografiska nycklar för dina molnprogram med FIPS 140-2 Nivå 3-verifierade HSM:er. Det är en av flera viktiga hanteringslösningar i Azure.

Prisinformation finns i avsnittet Managed HSM Pools (Hanterade HSM-pooler) på prissättningssidan för Azure Key Vault. Information om nyckeltyper som stöds finns i Om nycklar.

Termen "Hanterad HSM-instans" är synonym med "Hanterad HSM-pool". För att undvika förvirring använder vi "Hanterad HSM-instans" i de här artiklarna.

Kommentar

Nolltillit är en säkerhetsstrategi som består av tre principer: "Verifiera explicit", "Använd åtkomst med minst behörighet" och "Anta intrång". Dataskydd, inklusive nyckelhantering, stöder principen "använd åtkomst med minst behörighet". Mer information finns i Vad är Nolltillit?

Varför ska jag använda Managed HSM?

Fullständigt hanterad, högtillgänglig HSM för en klientorganisation som en tjänst

  • Fullständigt hanterad: HSM-etablering, konfiguration, korrigering och underhåll hanteras av tjänsten.
  • Hög tillgänglighet: Varje HSM-kluster består av flera HSM-partitioner. Om maskinvaran misslyckas migreras medlemspartitioner för HSM-klustret automatiskt till felfria noder. Mer information finns i Hanterat HSM-serviceavtal
  • Enskild klientorganisation: Varje hanterad HSM-instans är dedikerad till en enskild kund och består av ett kluster med flera HSM-partitioner. Varje HSM-kluster använder en separat kundspecifik säkerhetsdomän som kryptografiskt isolerar varje kunds HSM-kluster.

Åtkomstkontroll, förbättrat dataskydd och efterlevnad

  • Centraliserad nyckelhantering: Hantera viktiga nycklar med högt värde i organisationen på ett och samma ställe. Med detaljerade behörigheter per nyckel kontrollerar du åtkomsten till varje nyckel enligt principen "minst privilegierad åtkomst".
  • Isolerad åtkomstkontroll: Med den hanterade HSM-åtkomstkontrollmodellen "lokal RBAC" kan utsedda HSM-klusteradministratörer ha fullständig kontroll över de HSM:er som inte ens hanteringsgrupps-, prenumerations- eller resursgruppsadministratörer kan åsidosätta.
  • Privata slutpunkter: Använd privata slutpunkter för att på ett säkert och privat sätt ansluta till Hanterad HSM från ditt program som körs i ett virtuellt nätverk.
  • FIPS 140-2 Level 3-verifierade HSM:er: Skydda dina data och uppfylla efterlevnadskraven med FIPS (Federal Information Protection Standard) 140-2 Level 3-verifierade HSM:er. Hanterade HSM-datorer använder Marvell LiquidSecurity HSM-kort.
  • Övervaka och granska: helt integrerat med Azure Monitor. Hämta fullständiga loggar för all aktivitet via Azure Monitor. Använd Azure Log Analytics för analys och aviseringar.
  • Datahemvist: Hanterad HSM lagrar/bearbetar inte kunddata utanför den region som kunden distribuerar HSM-instansen i.

Integrerad med Azure- och Microsoft PaaS/SaaS-tjänster

Använder samma API och hanteringsgränssnitt som Key Vault

  • Migrera enkelt dina befintliga program som använder ett valv (en flera klientorganisation) för att använda hanterade HSM:er.
  • Använd samma mönster för programutveckling och distribution för alla dina program oavsett vilken nyckelhanteringslösning som används: valv med flera klientorganisationer eller hanterade HSM:er med en enda klientorganisation.

Importera nycklar från dina lokala HSM:er

  • Generera HSM-skyddade nycklar i din lokala HSM och importera dem säkert till Managed HSM.

Nästa steg