Azure Key Vault Yönetilen HSM nedir?
Önemli
HSM filomuzu hem Azure Key Vault Yönetilen HSM hem de Azure Key Vault Premium için FIPS 140-3 düzey 3 onaylı bir üretici yazılımına güncelleştiriyoruz. Gelişmiş Güvenlik ve Uyumluluk için Yönetilen HSM Üretici Yazılımını Güncelleştirme makalesinde tüm ayrıntılara bakın.
Azure Key Vault Yönetilen HSM (Donanım Güvenlik Modülü), FIPS 140-2 Düzey 3 doğrulanmış HSM'leri kullanarak bulut uygulamalarınız için şifreleme anahtarlarını korumanızı sağlayan, tam olarak yönetilen, yüksek oranda kullanılabilir, tek kiracılı, standartlara uyumlu bir bulut hizmetidir. Azure'daki çeşitli temel yönetim çözümlerinden biridir.
Fiyatlandırma bilgileri için Azure Key Vault fiyatlandırma sayfasındaki Yönetilen HSM Havuzları bölümüne bakın. Desteklenen anahtar türleri için bkz . Anahtarlar hakkında.
"Yönetilen HSM örneği" terimi "Yönetilen HSM havuzu" ile eş anlamlıdır. Karışıklığı önlemek için bu makalelerde "Yönetilen HSM örneği" kullanılır.
Not
Sıfır Güven üç ilkeden oluşan bir güvenlik stratejisidir: "Açıkça doğrula", "En az ayrıcalık erişimi kullan" ve "İhlal varsay". Anahtar yönetimi de dahil olmak üzere veri koruma, "en az ayrıcalık erişimi kullan" ilkesini destekler. Daha fazla bilgi için bkz. Sıfır Güven nedir?
Yönetilen HSM neden kullanılır?
Tam olarak yönetilen, yüksek oranda kullanılabilir, hizmet olarak tek kiracılı HSM
- Tam olarak yönetilen: Hizmet HSM sağlama, yapılandırma, düzeltme eki uygulama ve bakım işlemlerini işler.
- Yüksek oranda kullanılabilir: Her HSM kümesi birden çok HSM bölümünden oluşur. Donanım başarısız olursa, HSM kümenizin üye bölümleri otomatik olarak iyi durumdaki düğümlere geçirilir. Daha fazla bilgi için bkz. Yönetilen HSM Hizmet Düzeyi Sözleşmesi
- Tek kiracılı: Her Yönetilen HSM örneği tek bir müşteriye ayrılmıştır ve birden çok HSM bölümünden oluşan bir kümeden oluşur. Her HSM kümesi, her müşterinin HSM kümesini şifrelemeyle yalıtan, müşteriye özgü ayrı bir güvenlik etki alanı kullanır.
Erişim denetimi, gelişmiş veri koruma ve uyumluluk
- Merkezi anahtar yönetimi: Kuruluşunuz genelinde kritik, yüksek değerli anahtarları tek bir yerde yönetin. Anahtar başına ayrıntılı izinlerle her anahtara erişimi 'en az ayrıcalıklı erişim' ilkesiyle denetleyin.
- Yalıtılmış erişim denetimi: Yönetilen HSM "yerel RBAC" erişim denetimi modeli, atanan HSM kümesi yöneticilerinin yönetim grubu, abonelik veya kaynak grubu yöneticilerinin bile geçersiz kılamadığı HSM'ler üzerinde tam denetime sahip olmasını sağlar.
- Özel uç noktalar: Sanal ağda çalışan uygulamanızdan Yönetilen HSM'ye güvenli ve özel olarak bağlanmak için özel uç noktaları kullanın.
- FIPS 140-2 Düzey 3 doğrulanmış HSM'ler: FIPS (Federal Information Protection Standard) 140-2 Düzey 3 doğrulanmış HSM'ler ile verilerinizi koruyun ve uyumluluk gereksinimlerini karşılayın. Yönetilen HSM'ler Marvell LiquidSecurity HSM bağdaştırıcılarını kullanır.
- İzleme ve denetim: Azure İzleyici ile tamamen tümleştirilmiş. Azure İzleyici aracılığıyla tüm etkinliklerin tam günlüklerini alın. Analiz ve uyarılar için Azure Log Analytics'i kullanın.
- Veri yerleşimi: Yönetilen HSM, müşteri verilerini müşterinin HSM örneğini dağıttığı bölge dışında depolamaz/işlemez.
Azure ve Microsoft PaaS/SaaS hizmetleriyle tümleşik
- BYOK kullanarak anahtarları oluşturun (veya içeri aktararak) ve bunları kullanarak Azure Depolama, Azure SQL, Azure Information Protection ve Microsoft 365 için Müşteri Anahtarı gibi Azure hizmetlerinde bekleyen verilerinizi şifreleyin. Yönetilen HSM ile çalışan Azure hizmetlerinin daha eksiksiz bir listesi için bkz . Veri Şifreleme Modelleri.
Key Vault ile aynı API ve yönetim arabirimlerini kullanır
- Yönetilen HSM'leri kullanmak için kasa (çok kiracılı) kullanan mevcut uygulamalarınızı kolayca geçirin.
- Kullanımdaki anahtar yönetimi çözümünden bağımsız olarak tüm uygulamalarınız için aynı uygulama geliştirme ve dağıtım desenlerini kullanın: Çok kiracılı kasalar veya tek kiracılı Yönetilen HSM'ler.
Şirket içi HSM'lerinizden anahtarları içeri aktarma
- Şirket içi HSM'nizde HSM korumalı anahtarlar oluşturun ve bunları güvenli bir şekilde Yönetilen HSM'ye aktarabilirsiniz.
Sonraki adımlar
- Azure'da anahtar yönetimi
- Teknik ayrıntılar için bkz. Yönetilen HSM'nin ödün vermeden temel egemenliği, kullanılabilirliği, performansı ve ölçeklenebilirliği nasıl uyguladığı
- Bkz . Hızlı Başlangıç: Yönetilen HSM oluşturmak ve etkinleştirmek için Azure CLI kullanarak yönetilen HSM sağlama ve etkinleştirme
- Azure Yönetilen HSM güvenlik temeli
- Bkz. Azure Key Vault Yönetilen HSM kullanarak en iyi yöntemler
- Yönetilen HSM Durumu
- Yönetilen HSM Hizmet Düzeyi Sözleşmesi
- Yönetilen HSM bölgesi kullanılabilirliği
- Sıfır Güven nedir?