Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il modulo di protezione hardware cloud di Microsoft Azure è un servizio a tenant singolo convalidato FIPS 140-3 di livello 3 a disponibilità elevata conforme agli standard del settore. HSM cloud di Azure concede ai clienti un'autorità amministrativa completa sui moduli di protezione hardware. Fornisce un cluster HSM sicuro e di proprietà del cliente per l'archiviazione delle chiavi crittografiche e l'esecuzione di operazioni di crittografia.
HSM Cloud di Azure supporta varie applicazioni, tra cui PKCS#11, l'offload di Secure Sockets Layer (SSL) o l'elaborazione TLS (Transport Layer Security), la protezione della chiave privata dell'autorità di certificazione (CA) e la crittografia dati trasparente (TDE). Supporta anche la firma del documento e del codice.
Perché usare HSM cloud di Azure?
Soluzione completamente gestita
Molti clienti richiedono il controllo amministrativo del modulo di protezione hardware, ma non vogliono i costi generali e ausiliari associati alla gestione dei cluster per la disponibilità elevata, l'applicazione di patch e la manutenzione. I clienti del modulo di protezione hardware cloud di Azure hanno accesso crittografato sicuro, diretto e end-to-end alle istanze del modulo di protezione hardware nel cluster HSM tramite un collegamento privato dedicato dalla rete virtuale.
Dopo che un cliente effettua il provisioning di un cluster di HSM di Azure, il cliente mantiene l'accesso amministrativo ai propri HSM di Azure. Il servizio HSM cloud di Azure si occupa della disponibilità elevata, dell'applicazione di patch e della manutenzione.
Modulo di protezione hardware a tenant singolo di proprietà del cliente, a disponibilità elevata come servizio
HSM Cloud di Azure offre disponibilità elevata e ridondanza raggruppando più HSM in un cluster HSM. Il servizio sincronizza automaticamente le chiavi e i criteri in ogni istanza del modulo di protezione hardware.
Ogni cluster HSM è costituito da tre partizioni HSM. Se una risorsa del modulo di protezione hardware non è più disponibile, viene eseguita la migrazione automatica e sicura delle partizioni membro per il cluster del modulo di protezione hardware ai nodi integri.
Il cluster HSM cloud di Azure supporta il bilanciamento del carico delle operazioni di crittografia. I backup periodici del modulo di protezione hardware consentono di garantire un ripristino dei dati sicuro e semplice.
Cluster del modulo di protezione hardware a tenant singolo
Ogni istanza del modulo di protezione hardware cloud di Azure è dedicata a un singolo cliente. Ogni cluster HSM usa un dominio di sicurezza specifico del cliente separato che lo isola in modo crittografico.
Conformità FIPS 140-3 Livello 3
Molte organizzazioni hanno normative di settore rigorose che stabiliscono che le chiavi crittografiche devono essere archiviate in moduli di protezione hardware convalidati FIPS 140-3 livello 3 . Il modulo di protezione hardware cloud di Azure consente ai clienti di diversi segmenti di settore (settore dei servizi finanziari, enti pubblici e altri) di soddisfare questi requisiti FIPS.
Idoneità del modulo di protezione hardware cloud di Azure
HSM cloud di Azure supporta:
- PKCS#11, OpenSSL, Java Cryptography Architecture (JCA), Java Cryptography Extension (JCE), API di crittografia: Next Generation (CNG) e provider di archiviazione chiavi (KSP).
- Active Directory Certificate Services (AD CS).
- Offload SSL/TLS (Apache o NGINX).
- TDE (Microsoft SQL Server o Oracle).
- Archiviazione certificati
- Firma di documenti, file e codice.
Il modulo di protezione hardware cloud di Azure non è:
- Un'appliance del modulo di protezione hardware bare metal.
- Un deposito segreto.
- Offerta per la gestione del ciclo di vita dei certificati.
Soluzione ottimale
Il modulo di protezione hardware cloud di Azure è più adatto per i tipi di scenari seguenti:
- La migrazione delle applicazioni dalle macchine locali alle macchine virtuali di Azure
- Migrazione di applicazioni da HSM dedicato di Azure o da HSM cloud AWS
- Supporto di applicazioni che richiedono PKCS#11
- Esecuzione di software già pronti, ad esempio l'offload SSL di Apache o NGINX, SQL Server o Oracle TDE e Servizi certificati Active Directory in macchine virtuali di Azure
Non è adatto
HSM cloud di Azure non si integra con altri servizi PaaS (Platform as a Service) o Software as a Service (SaaS). Azure Cloud HSM è solo Infrastructure as a Service (IaaS).
Il modulo di protezione hardware cloud di Azure non è adatto ai servizi cloud Microsoft che richiedono il supporto per la crittografia con chiavi gestite dal cliente. Questi servizi includono Azure Information Protection, Crittografia dischi di Azure, Azure Data Lake Storage, Archiviazione di Azure e Microsoft Purview Customer Key. Per questi scenari, i clienti devono usare il modulo di protezione hardware gestito di Azure Key Vault.
Contenuti correlati
Queste risorse sono disponibili per facilitare il provisioning e la configurazione dei moduli di protezione hardware nell'ambiente di rete virtuale esistente:
- Azure Cloud HSM SDK
- Gestione delle chiavi in Azure
- Distribuire HSM cloud di Azure usando il portale di Azure
- Distribuire HSM cloud di Azure con Azure PowerShell
- Gestione delle chiavi in Azure
- Distribuire HSM cloud di Azure usando il portale di Azure
- Distribuire HSM cloud di Azure con Azure PowerShell