Azure Ayrılmış HSM dağıtım mimarisi
Azure Ayrılmış HSM, Azure'da şifreleme anahtarı depolama alanı sağlar. Sıkı güvenlik gereksinimlerini karşılar. Müşteriler aşağıdakiler durumunda Azure Ayrılmış HSM'den yararlanabilir:
- FIPS 140-2 Düzey 3 sertifikasını karşılamalıdır
- HSM'ye özel erişime sahip olmasını gerektir
- cihazlarının tam denetimine sahip olmalıdır
HSM'ler Microsoft'un veri merkezlerine dağıtılır ve yüksek oranda kullanılabilir bir çözümün temeli olarak bir çift cihaz olarak kolayca sağlanabilir. Olağanüstü durumlara dayanıklı bir çözüm için bölgeler arasında da dağıtılabilirler. Ayrılmış HSM'ye sahip bölgeler şu anda Bölgelere Göre Ürünler sayfası kullanılarak denetlenebilir.
- Doğu ABD
- Doğu ABD 2
- Batı ABD
- Batı ABD 2
- Doğu Kanada
- Orta Kanada
- Orta Güney ABD
- Güneydoğu Asya
- Hindistan Orta
- Hindistan Güney
- Doğu Japonya
- Batı Japonya
- Kuzey Avrupa
- West Europe
- Güney Birleşik Krallık
- Batı Birleşik Krallık
- Doğu Avustralya
- Güneydoğu Avustralya
- Kuzey İsviçre
- Batı İsviçre
- US Gov Virginia
- US Gov Texas
Bu bölgelerin her birinde iki bağımsız veri merkezinde veya en az iki bağımsız kullanılabilirlik alanında dağıtılan HSM rafları vardır. Güneydoğu Asya'da üç kullanılabilirlik alanı ve Doğu ABD 2'de iki kullanılabilirlik alanı vardır. Avrupa, Asya ve Kuzey Amerika genelinde Ayrılmış HSM hizmetini sunan toplam yirmi üç bölge vardır. Azure bölgeleri hakkında daha fazla bilgi için resmi Azure bölgeleri bilgilerine bakın. Ayrılmış HSM tabanlı çözümler için bazı tasarım faktörleri konum/gecikme süresi, yüksek kullanılabilirlik ve diğer dağıtılmış uygulamalar için destektir.
Cihaz konumu
En uygun HSM cihaz konumu, şifreleme işlemleri gerçekleştiren uygulamalara en yakın konumdadır. Bölge içi gecikme süresinin tek basamaklı milisaniye olması beklenir. Bölgeler arası gecikme süresi bundan 5-10 kat daha uzun olabilir.
Yüksek kullanılabilirlik
Yüksek kullanılabilirlik elde etmek için müşterinin, yüksek kullanılabilirlik çifti olarak Thales yazılımı kullanılarak yapılandırılmış bir bölgede iki HSM cihazı kullanması gerekir. Bu dağıtım türü, tek bir cihaz anahtar işlemlerini işlemesini engelleyen bir sorunla karşılaşırsa anahtarların kullanılabilirliğini sağlar. Ayrıca güç kaynağı değiştirme gibi kesme/düzeltme bakımı yaparken riski önemli ölçüde azaltır. Bir tasarımın bölgesel düzeydeki her türlü hatayı hesaba katan olması önemlidir. Bölgesel düzeyde hatalar kasırga, sel veya deprem gibi doğal afetler olduğunda gerçekleşebilir. Bu tür olaylar, başka bir bölgede HSM cihazları sağlanarak azaltılmalıdır. Başka bir bölgeye dağıtılan cihazlar, Thales yazılım yapılandırması aracılığıyla birlikte eşleştirilebilir. Bu, yüksek oranda kullanılabilir ve olağanüstü durum dayanıklı bir çözüm için minimum dağıtımın iki bölgede dört HSM cihazı olduğu anlamına gelir. Bölgeler arasında yerel yedeklilik ve yedeklilik, gecikme süresini, kapasiteyi desteklemek veya uygulamaya özgü diğer gereksinimleri karşılamak üzere başka HSM cihaz dağıtımları eklemek için temel olarak kullanılabilir.
Dağıtılmış uygulama desteği
Ayrılmış HSM cihazları genellikle anahtar depolama ve anahtar alma işlemlerini gerçekleştirmesi gereken uygulamaların desteğiyle dağıtılır. Ayrılmış HSM cihazlarının bağımsız uygulama desteği için 10 bölümü vardır. Cihaz konumu, hizmeti kullanması gereken tüm uygulamaların bütünsel bir görünümünü temel almalıdır.
Sonraki adımlar
Dağıtım mimarisi belirlendikten sonra, bu mimariyi uygulamaya yönelik yapılandırma etkinliklerinin çoğu Thales tarafından sağlanır. Buna cihaz yapılandırması ve uygulama tümleştirme senaryoları dahildir. Daha fazla bilgi için Thales müşteri destek portalını kullanın ve yönetim ve yapılandırma kılavuzlarını indirin. Microsoft iş ortağı sitesinde çeşitli tümleştirme kılavuzları vardır. Örneğin yüksek kullanılabilirlik ve güvenlik gibi hizmetle ilgili tüm temel kavramların cihaz sağlama veya uygulama tasarımı ve dağıtımından önce iyi anlaşılması önerilir. Diğer kavram düzeyi konuları: