Vad är Dedikerad HSM i Azure?
Dedikerad HSM i Azure är en Azure-tjänst som tillhandahåller lagring av kryptografiska nycklar i Azure. Dedikerad HSM uppfyller de strängaste säkerhetskraven. Det är den perfekta lösningen för kunder som behöver FIPS 140-2 Level 3-validerade enheter och fullständig och exklusiv kontroll över HSM-apparaten.
HSM enheter distribueras globalt över flera Azure-regioner. De kan enkelt etableras som ett par av enheter och konfigureras för hög tillgänglighet. HSM-enheter kan även etableras över regioner för att säkerställa redundans på regionsnivå. Microsoft levererar den dedikerade HSM-tjänsten med hjälp av Thales Luna 7 HSM-modell A790-apparater . Den här enheten erbjuder prestanda och alternativ för kryptografisk integrering på högsta nivå.
När de är etablerade så är HSM-enheter direkt anslutna till en kunds virtuella nätverk. De kan även användas av lokala program och hanteringsverktyg när du konfigurerar en VPN-anslutning från punkt-till-plats eller plats-till-plats. Kunderna får programvaran och dokumentationen för att konfigurera och hantera HSM-enheter från Thales kundsupportportal.
Varför bör du använda Azure Dedikerad HSM?
FIPS 140-2 Level-3-efterlevnad
Många organisationer har strikta branschbestämmelser som kräver att kryptografiska nycklar måste lagras i FIPS 140-2 Level-3-verifierade HSM:er. Azure Dedicated HSM och ett nytt erbjudande med en enda klientorganisation, Azure Key Vault Managed HSM, hjälper kunder från olika branschsegment, till exempel finansbranschen, myndigheter och andra att uppfylla kraven på FIPS 140-2 Level-3. Microsofts Azure Key Vault-tjänst för flera klientorganisationer använder för närvarande FIPS 140-2 Level-2-verifierade HSM:er.
Enheter för en enda klient
Många av våra kunder har ett krav för enskilt innehav av den kryptografiska lagringsenheten. Azure Dedikerad HSM-tjänsten låter dem etablera en fysisk enhet från någon av Microsofts globalt distribuerade datacenter. När enheten har etablerats till en kund kan endast den kunden komma åt enheten.
Fullständig administrativ kontroll
Många kunder behöver fullständig administrativ kontroll och enskild åtkomst till sin enhet i administrativt syfte. Efter att en enhet har etablerats så har bara den kunden åtkomst till enheten på administrativ eller programnivå.
Microsoft har ingen administrativ kontroll efter att kunden anslutit till enheten för första gången och ändrar lösenordet. Därefter är kunden en äkta enskild klient med fullständig administrativ kontroll och programhanteringsfunktion. Microsoft har kvar behörighet på övervakningsnivå (inte en administratörsroll) för telemetri via den seriella portanslutningen. Den här åtkomsten omfattar maskinvaruövervakning som temperatur, hälsotillstånd för strömförsörjning och fläkt.
Det står kunden fritt att inaktivera den här övervakningen vid behov. Om de inaktiverar den så kommer de dock inte att få proaktiva hälsovarningar från Microsoft.
Höga prestanda
Thales-enheten har valts för den här tjänsten av flera olika orsaker. Den har ett brett stöd för krypteringsalgoritmer, en mängd olika operativsystem och ett brett API-stöd. Den specifika modell som distribueras erbjuder utmärkta prestanda med 10 000 åtgärder per sekund för RSA-2048. Den har stöd för 10 partitioner som kan användas för unika programinstanser. Det här är en enhet med låg svarstid, hög kapacitet och högt dataflöde.
Unikt molnbaserat erbjudande
Microsoft identifierade ett specifikt behov för en unik uppsättning kunder. Det är den enda molnleverantör som erbjuder nya kunder en dedikerad HSM-tjänst som är validerad för FIPS 140-2 Level-3 och erbjuder en så omfattande molnbaserad och lokal programintegrering.
Är Dedikerad HSM i Azure rätt val för dig?
Azure dedikerad HSM är en specialiserad tjänst som uppfyller unika krav hos en specifik typ av storskaliga organisationer. Därför förväntas de flesta Azure-kunder inte passa profilen för användning av den här tjänsten. Många tycker att Tjänsten Azure Key Vault eller Azure Managed HSM är mer lämplig och kostnadseffektiv. Vi har identifierat följande kriterier för att hjälpa dig avgöra huruvida tjänsten passar dig.
Passar bäst
Azure dedikerad HSM lämpar sig bäst för ”lift and shift”-scenarier som kräver direkt och enskild åtkomst till HSM-enheter. Exempel:
- Migrera program från en lokal plats till virtuella Azure-datorer
- Migrera program från Amazon AWS EC2 till virtuella datorer som använder tjänsten AWS Cloud HSM Classic (Amazon erbjuder inte denna tjänst för nya kunder)
- Köra kommersiell programvara på virtuella Azure-datorer såsom Apache/Ngnix SSL Offload, Oracle TDE och ADCS
Passar inte
Dedikerad HSM i Azure passar inte för följande typ av scenario: Microsofts molntjänster som stöder kryptering med kundhanterade nycklar (till exempel Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store, Azure Storage, Azure SQL Database och kundnyckel för Office 365) som inte är integrerade med Azure Dedicated HSM.
Anteckning
Kunder måste ha tilldelats Microsoft Account Manager och uppfylla det monetära kravet på fem miljoner USD (5 miljoner USD) eller högre i totala bekräftade Azure-intäkter årligen för att kvalificera sig för registrering och användning av Azure Dedicated HSM.
Det beror på
Om Azure dedikerad HSM fungerar för dig beror på en potentiellt komplex blandning av krav och kompromisser som du kan eller inte kan göra. Ett exempel är FIPS 140-2 Level-3-kravet. Det här kravet är vanligt och Azure Dedicated HSM och ett nytt erbjudande för en enda klientorganisation, Azure Key Vault Managed HSM är för närvarande de enda alternativen för att uppfylla det. Om dessa krav inte är relevanta är det ofta ett val mellan Azure Key Vault och Azure Dedicated HSM. Utvärdera dina krav innan du fattar ett beslut.
Situationer där du måste väga dina alternativ är:
- Ny kod som körs på en kunds virtuella Azure-dator
- SQL Server TDE på en virtuell Azure-dator
- Kryptering på klientsidan med Azure Storage
- SQL Server och Azure SQL DB Always Encrypted
Nästa steg
Det här är en höggradigt specialiserad tjänst. Därför rekommenderar vi att du förstår nyckelbegreppen i den här dokumentationen, inklusive prissättning, support och servicenivåavtal.
Thales integreringsguider hjälper dig att underlätta etableringen av HSM:er i en befintlig virtuell nätverksmiljö. Det finns också instruktioner som hjälper dig att avgöra hur du konfigurerar distributionsarkitekturen.