Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Dedicated HSM är en Azure-tjänst som tillhandahåller krypteringsnyckellagring i Azure. En dedikerad HSM uppfyller de strängaste säkerhetskraven. Det är den perfekta lösningen för kunder som behöver FIPS 140-2 Nivå 3-verifierade enheter och fullständig och exklusiv kontroll över HSM-installationen.
HSM-enheter distribueras globalt i flera Azure-regioner. De kan enkelt etableras som ett par enheter och konfigureras för hög tillgänglighet. HSM-enheter kan också etableras mellan regioner för att säkerställa redundans på regional nivå. Microsoft levererar den dedikerade HSM-tjänsten med hjälp av Thales Luna 7 HSM-modell A790-apparater . Den här enheten erbjuder de högsta nivåerna av prestanda och kryptografiska integreringsalternativ.
När de har tilldelats ansluts HSM-enheter direkt till kundens virtuella nätverk. De kan också nås av lokala program- och hanteringsverktyg när du konfigurerar punkt-till-plats- eller plats-till-plats-VPN-anslutning. Kunderna får programvaran och dokumentationen för att konfigurera och hantera HSM-enheter från Thales kundsupportportal.
Varför ska du använda Azure Dedicated HSM?
FIPS 140-2 Nivå-3-efterlevnad
Många organisationer har strikta branschregler som kräver att kryptografiska nycklar måste lagras i FIPS 140-2 Level-3-verifierade HSM:er. Azure Dedicated HSM och ett nytt erbjudande med en enda klientorganisation, Azure Key Vault Managed HSM, hjälper kunder från olika branschsegment, till exempel finansbranschen, myndigheter och andra att uppfylla KRAVEN på FIPS 140-2 Level-3. Medan Microsofts Azure Key Vault-tjänst för flera klientorganisationer för närvarande använder FIPS 140-2 Level-2-verifierade HSM:er.
Enheter med en enda hyresgäst
Många av våra kunder har ett krav på en enda innehavare av den kryptografiska lagringsenheten. Med Azure Dedicated HSM-tjänsten kan de etablera en fysisk enhet från ett av Microsofts globalt distribuerade datacenter. När enheten har provisionerats till en kund kan endast den kunden komma åt enheten.
Fullständig administrativ kontroll
Många kunder behöver fullständig administrativ kontroll och ensam åtkomst till sin enhet i administrativa syften. När en enhet har etablerats har endast kunden administratörs- eller programnivååtkomst till enheten.
Microsoft har ingen administrativ kontroll när kunden har åtkomst till enheten för första gången, då kunden ändrar lösenordet. Från den tidpunkten är kunden en verklig ensamhyresgäst med fullständig administrativ kontroll och förmåga att hantera applikationer. Microsoft har åtkomst på övervakningsnivå (inte en administratörsroll) för telemetri via seriell portanslutning. Den här åtkomsten omfattar maskinvaruövervakare som temperatur, strömförsörjningshälsa och fläkthälsa.
Kunden kan inaktivera den här övervakningen som behövs. Men om de inaktiverar det får de inte proaktiva hälsoaviseringar från Microsoft.
Höga prestanda
Thales-enheten valdes för den här tjänsten av flera orsaker. Det erbjuder ett brett utbud av stöd för kryptografiska algoritmer, olika operativsystem som stöds och brett API-stöd. Den specifika modell som distribueras ger utmärkta prestanda med 10 000 åtgärder per sekund för RSA-2048. Den stöder 10 partitioner som kan användas för unika programinstanser. Den här enheten är en enhet med låg svarstid, hög kapacitet och högt dataflöde.
Unikt molnbaserat erbjudande
Microsoft har identifierat ett specifikt behov av en unik uppsättning kunder. Det är den enda molnleverantören som erbjuder nya kunder en dedikerad HSM-tjänst som är FIPS 140-2 Level 3-validerad och erbjuder en sådan omfattning av molnbaserad och lokal programintegrering.
Är Azure Dedicated HSM rätt för dig?
Azure Dedicated HSM är en specialiserad tjänst som hanterar unika krav för en specifik typ av storskalig organisation. Därför förväntas huvuddelen av Azure-kunderna inte passa in i användningsprofilen för den här tjänsten. Många tycker att Azure Key Vault eller Azure Managed HSM-tjänsten är lämpligare och kostnadseffektivare. För att hjälpa dig att avgöra om det passar dina krav har vi identifierat följande kriterier.
Bästa passform
Azure Dedicated HSM passar bäst för "lift-and-shift"-scenarier som kräver direkt och ensam åtkomst till HSM-enheter. Exempel är:
- Migrera program från en lokal plats till virtuella Azure-datorer
- Migrera program från Amazon AWS EC2 till virtuella datorer som använder den klassiska AWS Cloud HSM-tjänsten (Amazon erbjuder inte den här tjänsten till nya kunder)
- Köra kommersiell programvara på virtuella Azure-datorer såsom Apache/Ngnix SSL Offload, Oracle TDE och ADCS
Passar inte
Azure Dedicated HSM passar inte för följande typ av scenario: Microsofts molntjänster som stöder kryptering med kundhanterade nycklar (till exempel Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store, Azure Storage, Azure SQL Database och Kundnyckel för Office 365) som inte är integrerade med Azure Dedicated HSM.
Anmärkning
Kunder måste ha en tilldelad Microsoft Account Manager och uppfylla det ekonomiska kravet på fem miljoner (5 miljoner USD) eller högre i totala incheckade Azure-intäkter årligen för att kvalificera sig för registrering och användning av Azure Dedicated HSM.
Det beror på
Om Azure Dedicated HSM fungerar för dig beror på en potentiellt komplex blandning av krav och kompromisser som du kan eller inte kan göra. Ett exempel är FIPS 140-2 Nivå 3-kravet. Det här kravet är vanligt, och Azure Dedicated HSM och ett nytt erbjudande med en enda klientorganisation, Azure Key Vault Managed HSM är för närvarande de enda alternativen för att uppfylla det. Om dessa krav inte är relevanta är det ofta ett val mellan Azure Key Vault och Azure Dedicated HSM. Utvärdera dina krav innan du fattar ett beslut.
Situationer där du måste väga dina alternativ är:
- Ny kod som körs på en kunds virtuella Azure-dator
- SQL Server TDE på en virtuell Azure-dator
- Kryptering på klientsidan i Azure Storage
- SQL Server och Azure SQL DB alltid krypterad
Nästa steg
Dedikerad HSM är en mycket specialiserad tjänst. Därför rekommenderar vi att du förstår de viktigaste begreppen i den här dokumentationsuppsättningen, inklusive priser, support och serviceavtal.
Thales-integreringsguiderna hjälper dig att underlätta etableringen av HSM:er i en befintlig virtuell nätverksmiljö. Det finns också instruktioner för att hjälpa dig att avgöra hur du konfigurerar distributionsarkitekturen.