Dela via


Vad är Azure Key Vault Managed HSM?

Viktigt!

Vi uppdaterar vår HSM-flotta till en FIPS 140-3 nivå 3 verifierad inbyggd programvara för både Azure Key Vault Managed HSM och Azure Key Vault Premium. Se fullständig information i Uppdatera hanterad HSM-inbyggd programvara för förbättrad säkerhet och efterlevnad.

Azure Key Vault Managed HSM (Hardware Security Module) är en fullständigt hanterad, högtillgänglig molntjänst med enkel klientorganisation, standardkompatibel molntjänst som gör att du kan skydda kryptografiska nycklar för dina molnprogram med FIPS 140-2 Nivå 3-verifierade HSM:er. Det är en av flera viktiga hanteringslösningar i Azure.

Prisinformation finns i avsnittet Managed HSM Pools (Hanterade HSM-pooler) på prissättningssidan för Azure Key Vault. Information om nyckeltyper som stöds finns i Om nycklar.

Termen "Hanterad HSM-instans" är synonym med "Hanterad HSM-pool". För att undvika förvirring använder vi "Hanterad HSM-instans" i de här artiklarna.

Kommentar

Nulta pouzdanost är en säkerhetsstrategi som består av tre principer: "Verifiera explicit", "Använd åtkomst med minst behörighet" och "Anta intrång". Dataskydd, inklusive nyckelhantering, stöder principen "använd åtkomst med minst behörighet". Mer information finns i Vad är Nulta pouzdanost?

Varför ska jag använda Managed HSM?

Fullständigt hanterad, högtillgänglig HSM för en klientorganisation som en tjänst

  • Fullständigt hanterad: Tjänsten hanterar HSM-etablering, konfiguration, korrigering och underhåll.
  • Hög tillgänglighet: Varje HSM-kluster består av flera HSM-partitioner. Om maskinvaran misslyckas migreras medlemspartitioner för HSM-klustret automatiskt till felfria noder. Mer information finns i Hanterat HSM-serviceavtal
  • Enskild klientorganisation: Varje hanterad HSM-instans är dedikerad till en enskild kund och består av ett kluster med flera HSM-partitioner. Varje HSM-kluster använder en separat kundspecifik säkerhetsdomän som kryptografiskt isolerar varje kunds HSM-kluster.

Åtkomstkontroll, förbättrat dataskydd och efterlevnad

  • Centraliserad nyckelhantering: Hantera viktiga nycklar med högt värde i organisationen på ett och samma ställe. Med detaljerade behörigheter per nyckel kontrollerar du åtkomsten till varje nyckel enligt principen "minst privilegierad åtkomst".
  • Isolerad åtkomstkontroll: Med den hanterade HSM-åtkomstkontrollmodellen "lokal RBAC" kan utsedda HSM-klusteradministratörer ha fullständig kontroll över de HSM:er som inte ens hanteringsgrupps-, prenumerations- eller resursgruppsadministratörer kan åsidosätta.
  • Privata slutpunkter: Använd privata slutpunkter för att på ett säkert och privat sätt ansluta till Hanterad HSM från ditt program som körs i ett virtuellt nätverk.
  • FIPS 140-2 Level 3-verifierade HSM:er: Skydda dina data och uppfylla efterlevnadskraven med FIPS (Federal Information Protection Standard) 140-2 Level 3-verifierade HSM:er. Hanterade HSM-datorer använder Marvell LiquidSecurity HSM-kort.
  • Övervaka och granska: helt integrerat med Azure Monitor. Hämta fullständiga loggar för all aktivitet via Azure Monitor. Använd Azure Log Analytics för analys och aviseringar.
  • Datahemvist: Hanterad HSM lagrar/bearbetar inte kunddata utanför den region som kunden distribuerar HSM-instansen i.

Integrerad med Azure- och Microsoft PaaS/SaaS-tjänster

Använder samma API och hanteringsgränssnitt som Key Vault

  • Migrera enkelt dina befintliga program som använder ett valv (en multitenant) för att använda hanterade HSM:er.
  • Använd samma mönster för programutveckling och distribution för alla dina program oavsett vilken nyckelhanteringslösning som används: Multitenant-valv eller hanterade HSM:er med en enda klientorganisation.

Importera nycklar från dina lokala HSM:er

  • Generera HSM-skyddade nycklar i din lokala HSM och importera dem säkert till Managed HSM.

Nästa steg