你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

什么是 Azure 付款 HSM?

Azure 付款 HSM 是通过 Thales payShield 10K 支付硬件安全模块 (HSM) 交付的一个“裸机”服务,HSM 是一个物理硬件,可以为 Azure 云中的实时关键支付交易提供加密密钥操作。 Azure 付款 HSM 专为帮助服务提供商和私人金融机构加速其支付系统的数字化转型策略并采用公有云而设计。 它符合支付卡行业 (PCI) 规定的最严格安全性、审核合规性、低延迟和高性能要求。

付款 HSM 在预配后将直接连接到用户的虚拟网络,这些 HSM 只能由用户进行管理控制。 可以轻松将 HSM 预配为一对设备并为其配置高可用性。 该服务的用户利用 Thales payShield Manager 以安全方式远程访问作为其基于 Azure 的订阅一部分的 HSM。 可以使用多个订阅选项来满足各种性能要求和多种应用程序要求,这些要求可根据最终用户的业务发展快速升级。 Azure 付款 HSM 服务提供最高性能级别:2500 CPS。

Azure 付款 HSM 解决方案使用 Thales 硬件作为供应商。 客户拥有对付款 HSM 的完全控制和独占访问权限

重要

Azure 付款 HSM 是高度专业化的服务。 强烈建议查看 Azure 支付 HSM 定价页Azure 付款 HSM 入门

Azure 支付 HSM 高级体系结构

预配了付款 HSM 后,HSM 设备通过 Thales payShield Manager 和 payShield 受信任管理设备 (TMD) 直接连接到客户的虚拟网络,并具有完整的远程 HSM 管理功能。

在 HSM 预配中,会创建两个主机网络接口和一个管理网络接口。

体系结构图,显示预配的付款 HSM 和网络接口。

使用 Azure 付款 HSM 预配服务,客户可以本机访问付款 HSM 上的两个主机网络接口和一个管理接口。 此屏幕截图显示资源组中的 Azure 付款 HSM 资源。

屏幕截图显示付款 HSM 所有者能够访问两个主机网络接口和一个管理接口。

为何要使用 Azure 付款 HSM?

随着金融机构将其部分或全部支付应用程序迁移到云,也就要求从传统的内部部署应用程序和 HSM 迁移到基于云的基础架构(通常无法由金融机构直接控制),这一势头正盛。 这往往意味着此类服务属于订阅服务,其物理设备和软件不由客户永久拥有。 企业在效率和缩减物理设备方面的举措是这种转变的驱动力。 相比之下,云原生组织的基本业务模式是采用云优先战略,而不在本地进行任何运营。 无论出于何种原因,基于云的支付基础结构的最终用户都期望能够降低 IT 复杂性、简化安全合规性,并在业务增长过程中灵活地无缝扩展其解决方案。

云能够提供显著的优势,但同时用户也必须解决将传统的本地支付应用程序(涉及付款 HSM)迁移到云时遇到的挑战:

  • 共同责任和信任 – 在某些方面可以接受哪种潜在的失控?
  • 延迟 – 如何在应用程序与 HSM 之间实现高效、高性能的链接?
  • 远程执行所有操作 – 可能需要调整哪些现有流程和过程?
  • 安全认证和审核合规性 – 如何满足当前的严格要求?

Azure 付款 HSM 解决了这些挑战,并通过以下功能为该服务的用户提供有吸引力的价值主张。

增强的安全性与合规性

该服务的最终用户可以使用 Microsoft 安全性与合规性投资来改善他们的安全态势。 Microsoft 将维护符合 PCI DSS 和 PCI 3DS 标准的 Azure 数据中心,包括那些托管 Azure 付款 HSM 解决方案的数据中心。 可将 Azure 付款 HSM 解决方案部署为经过验证的 PCI P2PE/PCI PIN 组件或解决方案的一部分,以帮助简化持续的安全审核合规性流程。 部署在安全基础结构中的 Thales payShield 10K HSM 已通过 FIPS 140-2 Level 3 和 PCI HSM v3 认证。

Azure 中客户管理的 HSM

Azure 付款 HSM 是提供单租户 HSM 的订阅服务的一部分,该服务的客户拥有完全管理控制权,并对该 HSM 拥有独占访问权限。 客户可以是代表多家金融机构的支付服务提供商,也可以是希望能够直接访问 Azure 付款 HSM 服务的金融机构。 将 HSM 分配给客户后,Microsoft 无权访问客户数据。 同样,在不再需要 HSM 时,客户数据将在解除 HSM 后立即归零并擦除,以确保全面保持数据的隐私性和安全性。 客户负责确保提供足够的有效 HSM 订阅来满足其备份、灾难恢复和复原要求,并实现与其本地 HSM 相同的性能。

加速云中的数字化转型和创新

对于想要添加云选项的现有 Thales payShield 客户,Azure 付款 HSM 解决方案原生提供对 Azure 中的付款 HSM 的访问以实现“直接迁移”,同时这些客户仍可通过他们的本地 payShield HSM,像平时那样以较低的延迟进行访问。 该解决方案还为任务关键型支付应用程序提供高性能交易。

客户可以使用云中的技术创新来继续实施其数字化转型策略。 现有的 Thales payShield 客户可以利用其现有远程管理解决方案(payShield Manager 和 payShield TMD,在适当的情况下还可结合使用关联的智能卡读卡器和智能卡)来使用 Azure 付款 HSM 服务。 payShield 的新客户在将其 HSM 部署为订阅服务的一部分之前,可以从 Thales 或其某家合作伙伴那里购买硬件附件。

典型用例

凭借低延迟和按需快速增加更多 HSM 容量等优势,云服务能够完美适应广泛的用例,包括:

  • 正在处理付款
  • 支付卡和移动支付授权
  • PIN 和 EMV 加密验证
  • 3D-Secure 身份验证

支付凭据颁发:

  • 卡片
  • 移动安全元件
  • 可穿戴设备
  • 已连接的设备
  • 主机卡仿真 (HCE) 应用程序

保护密钥和身份验证数据:

  • POS、mPOS 和 SPOC 密钥管理
  • 远程密钥加载(适用于 ATM 和 POS/mPOS 设备)
  • PIN 生成和打印
  • PIN 路由

敏感数据保护:

  • 点对点加密 (P2PE)
  • 安全令牌(用于实现 PCI DSS 合规)
  • EMV 支付令牌

适用于现有和新的付款 HSM 用户

该解决方案为使用传统本地 HSM 运营设施的付款 HSM 用户,以及不需要为传统基础结构提供支持的,以及从一开始就想要选择云原生方法的支付生态系统新入行者提供明显的优势。

为现有本地 HSM 用户带来的优势:

  • 无需修改支付应用程序或 HSM 软件即可将现有应用程序迁移到 Azure 解决方案
  • 提高 HSM 的使用灵活性和效率
  • 简化地理分散的多个团队之间的 HSM 共享
  • 减少传统数据中心的物理 HSM 占用空间
  • 改善新项目的现金流

为新的支付参与者带来的优势:

  • 避免引入本地 HSM 基础结构
  • 通过 Azure 订阅模型减少前期投资
  • 按需提供对最新已认证硬件和软件的访问

术语表

术语 定义
3DS 3D Secure
ATM 自动取款机
EMV Euro Mastercard Visa
FIPS 美国联邦信息处理标准
HCE 主机卡仿真
HSM 硬件安全模块
mPOS 移动销售点
P2PE 点对点加密
PCI 支付卡行业
PIN 个人身份证号码
POS 销售点
SPOC 商用现货 (COTS) 解决方案中基于软件的 PIN 输入
TMD payShield 受信任管理设备

后续步骤