Azure Ayrılmış HSM nedir?
Azure Ayrılmış HSM, Azure'da şifreleme anahtarı depolama alanı sağlayan bir Azure hizmetidir. Ayrılmış HSM en sıkı güvenlik gereksinimlerini karşılar. FIPS 140-2 Düzey 3 onaylı cihazlara ve HSM aletinin tam ve özel denetimine ihtiyaç duyan müşteriler için ideal bir çözümdür.
HSM cihazları çeşitli Azure bölgelerine genel olarak dağıtılır. Bunlar kolayca bir çift cihaz olarak sağlanabilir ve yüksek kullanılabilirlik için yapılandırılabilir. HSM cihazları, bölgesel düzeyde yük devretmeye karşı güvence sağlamak için bölgeler arasında da sağlanabilir. Microsoft, Thales Luna 7 HSM modeli A790 gereçlerini kullanarak Ayrılmış HSM hizmetini sunar. Bu cihaz en yüksek performans düzeylerini ve şifreleme tümleştirme seçeneklerini sunar.
HSM cihazları sağlandıktan sonra doğrudan müşterinin sanal ağına bağlanır. Noktadan siteye veya siteden siteye VPN bağlantısını yapılandırdığınızda bunlara şirket içi uygulama ve yönetim araçları tarafından da erişilebilir. Müşteriler, HSM cihazlarını yapılandırmak ve yönetmek için yazılım ve belgeleri Thales müşteri destek portalından alır.
Azure Ayrılmış HSM neden kullanılır?
FIPS 140-2 Düzey 3 uyumluluğu
Birçok kuruluş, şifreleme anahtarlarının FIPS 140-2 Düzey-3 doğrulanmış HSM'lerde depolanması gerektiğini belirten sıkı sektör düzenlemelerine sahiptir. Azure Ayrılmış HSM ve yeni bir tek kiracılı teklif olan Azure Key Vault Yönetilen HSM, finansal hizmetler sektörü, kamu kuruluşları ve diğerleri gibi çeşitli sektör segmentlerindeki müşterilerin FIPS 140-2 Düzey-3 gereksinimlerini karşılamalarına yardımcı olur. Microsoft'un çok kiracılı Azure Key Vault hizmeti şu anda FIPS 140-2 Düzey-2 doğrulanmış HSM'leri kullanıyor.
Tek kiracılı cihazlar
Müşterilerimizin çoğu şifreleme depolama cihazının tek kiracısı için bir gereksinime sahiptir. Azure Ayrılmış HSM hizmeti, Microsoft'un genel olarak dağıtılmış veri merkezlerinden birinden fiziksel bir cihaz sağlamalarına olanak tanır. Bir müşteriye sağlandıktan sonra cihaza yalnızca o müşteri erişebilir.
Tam yönetim denetimi
Birçok müşteri, yönetim amacıyla tam yönetim denetimine ve cihazlarına tek başına erişime ihtiyaç duyar. Bir cihaz sağlandıktan sonra, cihaza yalnızca müşterinin yönetim veya uygulama düzeyinde erişimi olur.
Müşteri cihaza ilk kez eriştiğinde Microsoft'un yönetim denetimi yoktur ve bu noktada müşteri parolayı değiştirir. Bu noktadan itibaren müşteri, tam yönetim denetimi ve uygulama yönetimi özelliğine sahip gerçek bir tek kiracıdır. Microsoft, seri bağlantı noktası bağlantısı aracılığıyla telemetri için izleme düzeyinde erişim (yönetici rolü değil) sağlar. Bu erişim sıcaklık, güç kaynağı durumu ve fan durumu gibi donanım monitörlerini kapsar.
Müşteri gerekli bu izlemeyi devre dışı bırakabilir. Ancak devre dışı bırakırlarsa Microsoft'tan proaktif sistem durumu uyarıları almazlar.
Yüksek performans
Thales cihazı çeşitli nedenlerle bu hizmet için seçilmiştir. Çok çeşitli şifreleme algoritması desteği, desteklenen çeşitli işletim sistemleri ve geniş API desteği sunar. Dağıtılan model, RSA-2048 için saniyede 10.000 işlemle mükemmel performans sunar. Benzersiz uygulama örnekleri için kullanılabilecek 10 bölümü destekler. Bu cihaz düşük gecikme süresi, yüksek kapasite ve yüksek aktarım hızına sahip bir cihazdır.
Benzersiz bulut tabanlı teklif
Microsoft, benzersiz bir müşteri kümesine yönelik belirli bir ihtiyacı fark etti. Yeni müşterilere FIPS 140-2 Düzey 3 ile doğrulanmış ayrılmış bir HSM hizmeti sunan ve bulut tabanlı ve şirket içi uygulama tümleştirmesinin böyle bir kapsamını sunan tek bulut sağlayıcısıdır.
Azure Ayrılmış HSM sizin için uygun mu?
Azure Ayrılmış HSM, belirli bir büyük ölçekli kuruluş türünün benzersiz gereksinimlerini karşılayan özel bir hizmettir. Sonuç olarak, Azure müşterilerinin büyük bir kısmının bu hizmet için kullanım profiline uymaması beklenir. Birçoğu Azure Key Vault veya Azure Yönetilen HSM hizmetinin daha uygun ve uygun maliyetli olduğunu görür. Gereksinimlerinize uygun olup olmadığını belirlemenize yardımcı olmak için aşağıdaki ölçütleri belirledik.
En uygun
Azure Ayrılmış HSM en çok HSM cihazlarına doğrudan ve tek erişim gerektiren "lift-and-shift" senaryoları için uygundur. Örneklere şunlar dahildir:
- Uygulamaları şirket içinden Azure Sanal Makineler geçirme
- Amazon AWS EC2'den AWS Cloud HSM Klasik hizmetini kullanan sanal makinelere uygulama geçirme (Amazon bu hizmeti yeni müşterilere sunmaz)
- Azure Sanal Makineler Apache/Ngnix SSL Yük Boşaltma, Oracle TDE ve ADCS gibi daraltılmış yazılım çalıştırma
Uygun değil
Azure Ayrılmış HSM, şu senaryo türüne uygun değildir: Azure Ayrılmış HSM ile tümleştirilmemiş müşteri tarafından yönetilen anahtarlarla (Azure Information Protection, Azure Disk Şifrelemesi, Azure Data Lake Store, Azure Depolama, Azure SQL Veritabanı ve Office 365 için Müşteri Anahtarı gibi) şifrelemeyi destekleyen Microsoft bulut hizmetleri.
Not
Müşterilerin Microsoft Hesap Yöneticisi'ni atamış olması ve Azure Ayrılmış HSM'yi eklemeye ve kullanmaya hak kazanmak için yıllık toplam taahhüt edilen Azure gelirinde beş milyon ABD doları (5 milyon ABD doları) veya daha büyük parasal gereksinimi karşılaması gerekir.
Duruma göre değişir
Azure Ayrılmış HSM'nin sizin için çalışıp çalışmayacağı, oluşturabileceğiniz veya yapamayacağınız karmaşık olabilecek gereksinimlere ve risklere bağlıdır. FiPS 140-2 Düzey 3 gereksinimi örnek olarak verilmiştir. Bu gereksinim yaygındır ve Azure Ayrılmış HSM ve yeni bir tek kiracılı teklif olan Azure Key Vault Yönetilen HSM şu anda bunu karşılamaya yönelik tek seçenektir. Bu zorunlu gereksinimler uygun değilse, genellikle Azure Key Vault ile Azure Ayrılmış HSM arasında bir seçimdir. Karar vermeden önce gereksinimlerinizi değerlendirin.
Seçeneklerinizi tartmak zorunda olacağınız durumlar şunlardır:
- Müşterinin Azure sanal makinesinde çalışan yeni kod
- Azure sanal makinesinde TDE SQL Server
- Azure Depolama istemci tarafı şifrelemesi
- SQL Server ve Azure SQL DB Always Encrypted
Sonraki adımlar
Bu son derece özelleştirilmiş bir hizmettir. Bu nedenle fiyatlandırma, destek ve hizmet düzeyi sözleşmeleri dahil olmak üzere bu belge kümesindeki temel kavramları tam olarak anlamanız önerilir.
Thales tümleştirme kılavuzları, HSM'lerin mevcut bir sanal ağ ortamına sağlanmasını kolaylaştırmanıza yardımcı olur. Ayrıca dağıtım mimarinizi nasıl ayarlayabileceğinizi belirlemenize yardımcı olacak nasıl yapılır kılavuzları da vardır.