Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Önemli
Azure Ayrılmış HSM kullanımdan kaldırılıyor. Microsoft, 31 Temmuz 2028'e kadar mevcut Ayrılmış HSM müşterilerini tam olarak destekleyecektir. Yeni müşteri eklemeleri kabul edilmez. Tüm ayrıntılar ve gerekli eylemler için resmi Azure güncelleştirmesi bölümüne bakın.
Azure Ayrılmış HSM kullanıcısıysanız bkz. Azure Ayrılmış HSM'den Azure Yönetilen HSM'ye veya Azure Bulut HSM'ye geçiş. Azure Cloud HSM artık genel kullanıma sunuldu ve Azure Ayrılmış HSM'nin ardılı oldu.
Yeni müşteriler iş yükü gereksinimlerine göre Azure Cloud HSM, Azure Yönetilen HSM veya Azure Key Vault'a değerlendirme yapmalı ve eklemelidir. Rehberlik için bkz. Doğru Azure anahtar yönetimi çözümünü seçme.
Azure Ayrılmış HSM, Azure'da şifreleme anahtarı depolaması sağlayan bir Azure hizmetidir. Özel HSM en sıkı güvenlik gereksinimlerini karşılar. FIPS 140-2 Düzey 3 onaylı cihazlara ve HSM aletinin tam ve özel denetimine ihtiyaç duyan müşteriler için ideal bir çözümdür.
HSM cihazları çeşitli Azure bölgelerinde genel olarak dağıtılır. Bunlar kolayca bir çift cihaz olarak sağlanabilir ve yüksek kullanılabilirlik için yapılandırılabilir. HSM cihazları, bölgeler arası sağlanarak bölgesel düzeyde kesintilere karşı güvence altına alınabilir. Microsoft, Thales Luna 7 HSM modeli A790 gereçlerini kullanarak Ayrılmış HSM hizmetini sunar. Bu cihaz en yüksek performans düzeylerini ve şifreleme tümleştirme seçeneklerini sunar.
HSM cihazları sağlandıktan sonra doğrudan müşterinin sanal ağına bağlanır. Noktadan siteye veya siteden siteye VPN bağlantısını yapılandırdığınızda, bunlara şirket içi uygulama ve yönetim araçları tarafından da erişilebilir. Müşteriler , Thales müşteri destek portalından HSM cihazlarını yapılandırmak ve yönetmek için yazılım ve belgeleri alır.
Azure Ayrılmış HSM neden kullanılır?
FIPS 140-2 Düzey-3 uyumluluğu
Birçok kuruluş, şifreleme anahtarlarının FIPS 140-2 Düzey-3 doğrulanmış HSM'lerde depolanması gerektiğini belirten sıkı sektör düzenlemelerine sahiptir. Azure Ayrılmış HSM ve yeni bir tek kiracılı teklif olan Azure Key Vault Yönetilen HSM, finansal hizmetler sektörü, kamu kuruluşları ve diğerleri gibi çeşitli sektör segmentlerindeki müşterilerin FIPS 140-2 Düzey-3 gereksinimlerini karşılamalarına yardımcı olur. Microsoft'un çok kiracılı Azure Key Vault hizmeti şu anda FIPS 140-2 Düzey-2 doğrulanmış HSM'leri kullanıyor.
Tek kiracılı cihazlar
Müşterilerimizin çoğunun şifreleme depolama cihazının tek kiracılık süresine ihtiyacı vardır. Azure Ayrılmış HSM hizmeti, Microsoft'un genel olarak dağıtılmış veri merkezlerinden birinden fiziksel cihaz sağlamalarına olanak tanır. Müşteriye sağlandıktan sonra cihaza yalnızca o müşteri erişebilir.
Tam yönetim denetimi
Birçok müşteri, yönetim amacıyla tam yönetim denetimine ve cihazlarına yalnızca erişime ihtiyaç duyar. Bir cihaz sağlandıktan sonra, cihaza yalnızca müşterinin yönetici veya uygulama düzeyinde erişimi olur.
Müşteri cihaza ilk kez eriştiğinde Microsoft'un yönetim denetimi yoktur ve bu noktada müşteri parolayı değiştirir. Bu noktadan itibaren müşteri, tam yönetim denetimi ve uygulama yönetimi özelliğine sahip gerçek bir tek kiracıdır. Microsoft, seri bağlantı noktası bağlantısı üzerinden telemetri için izleme düzeyinde erişim (yönetici rolü değil) sağlar. Bu erişim sıcaklık, güç kaynağı durumu ve fan durumu gibi donanım monitörlerini kapsar.
Müşteri gerekli bu izlemeyi devre dışı bırakabilir. Ancak devre dışı bırakırlarsa Microsoft'tan proaktif sistem durumu uyarıları almazlar.
Yüksek performans
Thales cihazı bu hizmet için birden çok nedenden dolayı seçildi. Çok çeşitli şifreleme algoritması desteği, çeşitli desteklenen işletim sistemleri ve geniş API desteği sunar. Dağıtılan model, RSA-2048 için saniyede 10.000 işlemle mükemmel performans sunar. Benzersiz uygulama örnekleri için kullanılabilecek 10 bölümü destekler. Bu cihaz düşük gecikme süresi, yüksek kapasite ve yüksek aktarım hızına sahip bir cihazdır.
Benzersiz bulut tabanlı teklif
Microsoft, benzersiz bir müşteri kümesine yönelik belirli bir gereksinimi fark etti. Yeni müşterilere FIPS 140-2 Düzey 3 ile doğrulanmış ayrılmış bir HSM hizmeti sunan ve bulut tabanlı ve şirket içi uygulama tümleştirmesinin böyle bir kapsamını sunan tek bulut sağlayıcısıdır.
Azure Ayrılmış HSM sizin için uygun mu?
Azure Ayrılmış HSM, belirli bir büyük ölçekli kuruluş türü için benzersiz gereksinimleri karşılayan özel bir hizmettir. Sonuç olarak, Azure müşterilerinin büyük bir kısmının bu hizmet için kullanım profiline uymaması beklenir. Birçoğu Azure Key Vault veya Azure Yönetilen HSM hizmetinin daha uygun ve uygun maliyetli olduğunu tespit eder. Gereksinimlerinize uygun olup olmadığını belirlemenize yardımcı olmak için aşağıdaki ölçütleri belirledik.
En uygun
Azure Özel HSM, HSM cihazlarına doğrudan ve tek erişim gerektiren "lift-and-shift" senaryoları için en uygundur. Örnekler şunları içerir:
- Uygulamaları yerel sunuculardan Azure Sanal Makinelere taşıma
- Amazon AWS EC2'den AWS Cloud HSM Klasik hizmetini kullanan sanal makinelere uygulama geçirme (Amazon bu hizmeti yeni müşterilere sunmaz)
- Azure Sanal Makinelerde Apache/Ngnix SSL Yük Boşaltma, Oracle TDE ve ADCS gibi hazır paket yazılımları çalıştırma
Uymuyor
Azure Ayrılmış HSM, aşağıdaki senaryo türü için uygun değildir: Azure Ayrılmış HSM ile tümleştirilmemiş müşteri tarafından yönetilen anahtarlarla şifrelemeyi destekleyen Microsoft bulut hizmetleri (Azure Information Protection, Azure Disk Şifrelemesi, Azure Data Lake Store, Azure Depolama, Azure SQL Veritabanı ve Microsoft 365 için Müşteri Anahtarı gibi).
Uyarı
Müşterilerin bir Microsoft Hesap Yöneticisi atanmış olmalı ve Azure Ayrılmış HSM'ye kaydolma ve kullanma hakkı kazanabilmeleri için yıllık toplam taahhüt edilmiş Azure gelirinde en az beş milyon ABD doları (5 MILYON ABD doları) veya daha fazla bir gereksinimi karşılamaları gerekir.
Bu duruma göre değişir
Azure Ayrılmış HSM'nin sizin için çalışıp çalışmadığı, oluşturabileceğiniz veya yapamayacağınız olası karmaşık gereksinimlere ve risklere bağlıdır. FiPS 140-2 Düzey 3 gereksinimi bir örnektir. Bu gereksinim yaygındır ve Azure Ayrılmış HSM ve yeni bir tek kiracılı teklif olan Azure Key Vault Yönetilen HSM şu anda bunu karşılamaya yönelik tek seçenektir. Bu zorunlu gereksinimler uygun değilse, genellikle Azure Key Vault ile Azure Ayrılmış HSM arasında bir seçimdir. Karar vermeden önce gereksinimlerinizi değerlendirin.
Seçeneklerinizi tartmak zorunda olduğunuz durumlar şunlardır:
- Müşterinin Azure sanal makinesinde çalışan yeni kod
- Azure sanal makinesinde SQL Server TDE
- Azure Depolama istemci tarafı şifrelemesi
- SQL Server ve Azure SQL DB Her Zaman Şifreli
Sonraki Adımlar
Özel amaçlı HSM, yüksek derecede uzmanlaşmış bir hizmettir. Bu nedenle fiyatlandırma, destek ve hizmet düzeyi sözleşmeleri dahil olmak üzere bu belge kümesindeki temel kavramları tam olarak anlamanız önerilir.
Thales tümleştirme kılavuzları, HSM'lerin mevcut bir sanal ağ ortamına sağlanmasını kolaylaştırmanıza yardımcı olur. Dağıtım mimarinizi nasıl ayarlayabileceğinizi belirlemenize yardımcı olacak nasıl yapılır kılavuzları da vardır.