Azure Ayrılmış HSM dağıtım mimarisi
Azure Ayrılmış HSM, Azure'da şifreleme anahtarı depolama alanı sağlar. Sıkı güvenlik gereksinimlerini karşılar. Müşteriler aşağıdakiler için Azure Ayrılmış HSM'den yararlanırlar:
- FIPS 140-2 Düzey-3 sertifikasını karşılamalıdır
- HSM'ye özel erişime sahip olmasını gerektir
- cihazlarının tam denetimine sahip olmalıdır
HSM'ler Microsoft'un veri merkezlerine dağıtılır ve yüksek oranda kullanılabilir bir çözümün temeli olarak bir cihaz çifti olarak kolayca sağlanabilir. Olağanüstü durumlara dayanıklı bir çözüm için bölgeler arasında da dağıtılabilirler. Ayrılmış HSM'ye sahip bölgeler şu anda Bölgelere Göre Ürünler sayfası kullanılarak denetlenebilir.
- Doğu ABD
- Doğu ABD 2
- Batı ABD
- Batı ABD 2
- Doğu Kanada
- Orta Kanada
- Orta Güney ABD
- Güneydoğu Asya
- Hindistan Orta
- Güney Hindistan
- Doğu Japonya
- Batı Japonya
- Kuzey Avrupa
- West Europe
- Güney Birleşik Krallık
- Batı Birleşik Krallık
- Doğu Avustralya
- Güneydoğu Avustralya
- Kuzey İsviçre
- Batı İsviçre
- US Gov Virginia
- US Gov Teksas
Bu bölgelerin her birinde iki bağımsız veri merkezinde veya en az iki bağımsız kullanılabilirlik alanında dağıtılan HSM rafları vardır. Güney Doğu Asya'da üç kullanılabilirlik alanı ve Doğu ABD 2'de iki kullanılabilirlik alanı vardır. Avrupa, Asya ve Kuzey Amerika genelinde Ayrılmış HSM hizmetini sunan toplam yirmi üç bölge vardır. Azure bölgeleri hakkında daha fazla bilgi için resmi Azure bölgeleri bilgilerine bakın. Herhangi bir Ayrılmış HSM tabanlı çözüm için bazı tasarım faktörleri konum/gecikme süresi, yüksek kullanılabilirlik ve diğer dağıtılmış uygulamalar için destektir.
Cihaz konumu
En uygun HSM cihaz konumu, şifreleme işlemleri gerçekleştiren uygulamalara en yakın konumdadır. Bölge içi gecikme süresinin tek basamaklı milisaniye olması beklenir. Bölgeler arası gecikme süresi bundan 5-10 kat daha yüksek olabilir.
Yüksek kullanılabilirlik
Yüksek kullanılabilirlik elde etmek için, bir müşterinin yüksek kullanılabilirlik çifti olarak Thales yazılımı kullanılarak yapılandırılan bir bölgede iki HSM cihazı kullanması gerekir. Bu dağıtım türü, tek bir cihaz anahtar işlemlerini işlemesini engelleyen bir sorunla karşılaşırsa anahtarların kullanılabilirliğini sağlar. Ayrıca güç kaynağı değişimi gibi kesme/düzeltme bakımı yaparken riski önemli ölçüde azaltır. Bir tasarımın bölgesel düzeydeki her türlü hatayı hesaba eklemesi önemlidir. Bölgesel düzeyde hatalar, kasırga, sel veya deprem gibi doğal afetler olduğunda gerçekleşebilir. Bu tür olaylar, başka bir bölgede HSM cihazları sağlanarak azaltılmalıdır. Başka bir bölgeye dağıtılan cihazlar, Thales yazılım yapılandırması aracılığıyla birlikte eşleştirilebilir. Bu, yüksek oranda kullanılabilir ve olağanüstü durum dayanıklı bir çözüm için en düşük dağıtımın iki bölgede dört HSM cihazı olduğu anlamına gelir. Bölgeler arasında yerel yedeklilik ve yedeklilik, gecikme süresini, kapasiteyi desteklemek veya uygulamaya özgü diğer gereksinimleri karşılamak üzere daha fazla HSM cihaz dağıtımı eklemek için temel olarak kullanılabilir.
Dağıtılmış uygulama desteği
Ayrılmış HSM cihazları genellikle anahtar depolama ve anahtar alma işlemlerini gerçekleştirmesi gereken uygulamaların desteğiyle dağıtılır. Ayrılmış HSM cihazlarının bağımsız uygulama desteği için 10 bölümü vardır. Cihaz konumu, hizmeti kullanması gereken tüm uygulamaların bütünsel bir görünümünü temel almalıdır.
Sonraki adımlar
Dağıtım mimarisi belirlendikten sonra, bu mimariyi uygulamaya yönelik yapılandırma etkinliklerinin çoğu Thales tarafından sağlanır. Buna cihaz yapılandırmasının yanı sıra uygulama tümleştirme senaryoları dahildir. Daha fazla bilgi için Thales müşteri destek portalını kullanın ve yönetim ve yapılandırma kılavuzlarını indirin. Microsoft iş ortağı sitesinde çeşitli tümleştirme kılavuzları vardır. Örneğin yüksek kullanılabilirlik ve güvenlik gibi hizmetin tüm temel kavramlarının cihaz sağlama veya uygulama tasarımı ve dağıtımından önce iyi anlaşılması önerilir. Diğer kavram düzeyi konuları: