Microsoft Azure Cloud HSM 是一項高度可用、通過 FIPS 140-3 Level 3 驗證的單一租戶服務,符合產業標準。 Azure Cloud HSM 授權客戶對其硬體安全模組(HSM)擁有完整的管理權限。 它提供安全且客戶擁有的 HSM 叢集,用於儲存密碼編譯密鑰和執行密碼編譯作業。
Azure Cloud HSM 支援多種應用程式,包括 PKCS#11、安全套接層(SSL)或傳輸層安全(TLS)處理的卸載、憑證授權中心(CA)私鑰保護,以及透明資料加密(TDE)。 它也支援檔和程式代碼簽署。
為什麼要使用 Azure Cloud HSM?
完全受控的解決方案
許多客戶需要對其 HSM 進行系統管理控制,但不希望承擔叢集管理中涉及高可用性、修補和維護的額外負擔和輔助成本。 Azure Cloud HSM 客戶可透過虛擬網路的私人專用連結,安全、直接、端對端加密地存取其 HSM 叢集中的 HSM 節點。
客戶配置 Azure Cloud HSM 叢集後,仍可維持對其 HSM 的管理權限。 Azure Cloud 的 HSM 服務負責高可用性、修補與維護。
客戶擁有、高可用性、單一租用戶 HSM 即服務
Azure Cloud HSM 透過將多個 HSM 群組成 HSM 叢集,提供高可用性與冗餘性。 該服務會自動在每個 HSM 節點間同步金鑰與政策。
每個 HSM 叢集由三個 HSM 節點組成。 若 HSM 資源無法使用,HSM 叢集的成員節點會自動且安全地遷移到健康節點。
Azure Cloud HSM 叢集支援加密作業的負載平衡。 定期 HSM 備份有助於確保安全且簡單的數據復原。
資料駐留:Cloud HSM 不會在客戶部署 HSM 執行個體的區域之外儲存或處理客戶資料。
單一租用戶 HSM 叢集
每個 Azure Cloud 的 HSM 實例都專屬於單一客戶。 每個 HSM 叢集都會使用個別的客戶特定安全性網域,以密碼編譯方式隔離它。
合規性和認證
Azure Cloud HSM 符合多項產業合規標準與認證,協助客戶符合法規要求。
FIPS 140-3 層級 3
許多組織都有嚴格的產業法規,規定密碼編譯密鑰必須儲存在 FIPS 140-3 層級 3 驗證的 HSM 中。 Azure Cloud HSM 提供的 HSM 經過驗證,符合 FIPS 140-3 第三級標準。 關於驗證HSM真實性的程序,包括檢查 NIST的FIPS 140-3第三級認證,請參閱 入職指南。 Azure Cloud HSM 協助來自金融服務業、政府機關等各行各業的客戶符合這些 FIPS 要求。
eIDAS
Azure Cloud HSM 透過提供安全的金鑰管理、密碼操作及 FIPS 140-3 Level 3 驗證硬體,支援奧地利方案下的 eIDAS 合規,以符合嚴格的合格電子簽名與封章要求,協助確保法規遵循。 更多資訊 請參閱QSCD證書。
PCI 與 PCI 3DS
Azure Cloud HSM 提供經過驗證以符合 PCI 及 PCI 3DS 標準的 HSM。 欲了解更多關於Azure Cloud HSM的PCI合規認證,請參閱Microsoft服務信任中心的PCI 3DS合規認證(AOC)。
Azure Cloud HSM 適宜性
Azure Cloud HSM 支援:
- PKCS#11、OpenSSL、Java 密碼架構(JCA)、Java 密碼擴展(JCE)、密碼學 API:下一代(CNG)及金鑰儲存提供者(KSP)。
- Active Directory 憑證服務(AD CS)。
- SSL/TLS 卸載(Apache 或 NGINX)。
- TDE(Microsoft SQL Server 或 Oracle)。
- 憑證記憶體
- 檔、檔案和程式代碼簽署。
Azure雲端 HSM 不是:
- 裸機 HSM 設備。
- 秘密商店。
- 憑證生命週期管理的供應項目。
最適用
Azure Cloud HSM 最適合以下類型的情境:
- 從本地部署應用程式遷移到 Azure Virtual Machines
- 從 Azure Dedicated HSM 或 AWS Cloud HSM 遷移應用程式
- 支援需要 PKCS#11 的應用程式
- 在 Azure 虛擬機器中執行預封裝軟體,例如 Apache 或 NGINX 的 SSL 卸載、SQL Server 或 Oracle TDE,以及 Active Directory 憑證服務(AD CS) 等。
不適合
Azure Cloud HSM 不會與其他平台即服務(PaaS)或軟體即服務(SaaS)Azure 服務整合。 Azure Cloud HSM 僅是基礎設施即服務(IaaS)。
Azure Cloud HSM 並不適合需要支援客戶管理金鑰加密的 Microsoft 雲端服務。 這些服務包括 Azure Information Protection、Azure Disk Encryption、Azure Data Lake Storage、Azure Storage 以及 Microsoft Purview 客戶金鑰。 在這些情況下,客戶應使用 Azure Key Vault Managed HSM。
實體安全性
Azure 資料中心擁有廣泛的實體與程序安全控管。 Azure Cloud 中的 HSM 托管於資料中心的限制存取區域,並設有實體存取控制與視訊監控以提升安全性。
Azure Cloud HSM 結合了物理與邏輯的竄改偵測與回應機制,啟動硬體的金鑰刪除(歸零)。 這些措施的設計目的是在實體屏障遭到入侵時偵測竄改。
HSM 受到防護以抵禦暴力破解登入攻擊。 在達到指定次數的存取失敗嘗試後,系統會鎖定密碼學官員 (CO)。 同樣地,重複嘗試使用密碼編譯使用者 (CU) 認證存取 HSM 時失敗,會導致鎖定使用者。 然後,CO 必須解除鎖定 CU。 解鎖 CO 需要執行 getChallenge 命令,並透過 OpenSSL 使用分區擁有者密鑰(PO.key)對挑戰進行簽署,然後執行 unlockCO 和 changePswd 命令。
服役作業
Azure Cloud HSM 沒有排程維護視窗。 然而,Microsoft 可能需要進行必要的升級維護或更換故障的硬體。 若預期有影響,客戶會提前被通知。
後續步驟
這些資源可協助您在現有的虛擬網路環境中布建和設定 HSM: