Что такое Azure Cloud HSM?

Microsoft Azure Cloud HSM — это высокодоступная одноарендаторная служба, проверенная на уровне FIPS 140-3 уровня 3, которая соответствует отраслевым стандартам. Azure Cloud HSM предоставляет клиентам полный административный контроль над их аппаратными модулями безопасности (HSM). Он предоставляет безопасный и клиентский кластер HSM для хранения криптографических ключей и выполнения криптографических операций.

Azure Cloud HSM поддерживает различные приложения, включая PKCS#11, разгрузку протокола SSL или TLS, защиту закрытого ключа удостоверяющего центра (УЦ) и прозрачное шифрование данных (TDE). Он также поддерживает подписывание документов и кода.

Зачем использовать Azure Cloud HSM?

Полностью управляемое решение

Многие клиенты требуют административного контроля над их HSM, но не хотят накладных и дополнительных расходов, связанных с управлением кластерами для высокой доступности, установки исправлений и обслуживания. Клиенты Azure Cloud HSM имеют безопасный, прямой, end-to-end зашифрованный доступ к узлам HSM в кластере HSM через выделенную частную ссылку из виртуальной сети.

После того как клиент подготавливает кластер Azure Cloud HSM, клиент сохраняет административный доступ к своим HSM. Служба Azure Cloud HSM отвечает за высокий уровень доступности, исправление и обслуживание.

Клиентская, высокодоступная, однотенантная HSM как услуга

Azure Cloud HSM обеспечивает высокую доступность и избыточность путем группировки нескольких модулей HSM в кластер HSM. Служба автоматически синхронизирует ключи и политики на каждом узле HSM.

Каждый кластер HSM состоит из трех узлов HSM. Если ресурс HSM становится недоступным, узлы-члены кластера HSM автоматически переносятся на здоровые узлы.

Кластер Azure Cloud HSM поддерживает балансировку нагрузки криптографических операций. Периодические резервные копии HSM помогают обеспечить безопасное и простое восстановление данных.

Расположение данных: Cloud HSM не хранит или обрабатывает данные клиента за пределами региона, в котором клиент развертывает экземпляр HSM.

Кластеры HSM с одним клиентом

Каждый экземпляр Azure Cloud HSM предназначен для одного клиента. Каждый кластер HSM использует отдельный домен безопасности для конкретного клиента, который криптографически изолирует его.

Соответствие требованиям и сертификация

Azure Cloud HSM соответствует нескольким отраслевым стандартам соответствия и сертификациям, чтобы помочь клиентам удовлетворить нормативные требования.

Уровень 3 FIPS 140-3

Многие организации имеют строгие отраслевые правила, которые определяют, что криптографические ключи должны храниться в FIPS 140-3 уровня 3 , проверенных HSM. Azure Cloud HSM предлагает модули HSM, которые проверяются для соответствия стандартам FIPS 140-3 уровня 3. Процедуры проверки подлинности HSM, включая проверку сертификации FIPS 140-3 уровня 3 из NIST, см. в руководстве по подключению. Azure Cloud HSM помогает клиентам из различных отраслевых сегментов (отрасли финансовых услуг, государственных учреждений и других) соответствовать этим требованиям FIPS.

eIDAS

Azure Cloud HSM поддерживает соответствие eIDAS в австрийской схеме, обеспечивая безопасное управление ключами, криптографические операции и проверенное оборудование FIPS 140-3 уровня 3 для соответствия строгим требованиям к квалифицированным электронным подписям и средствам защиты, для обеспечения соответствия нормативным требованиям. Дополнительные сведения см. в сертификате QSCD.

PCI и PCI 3DS

Azure Cloud HSM предоставляет устройства HSM, которые проверяются для соответствия стандартам PCI и PCI 3DS. Дополнительные сведения о сертификации соответствия требованиям PCI для Облачного HSM Azure см. в аттестации соответствия требованиям PCI 3DS (AOC) в Центре управления безопасностью служб Майкрософт.

Пригодность облака Azure HSM

Azure Cloud HSM поддерживает:

  • PKCS#11, OpenSSL, Java архитектура шифрования (JCA), Java расширение шифрования (JCE), API шифрования: следующее поколение (CNG) и поставщик хранилища ключей (KSP).
  • Службы сертификации Active Directory (AD CS).
  • Разгрузка SSL/TLS (Apache, NGINX или F5 BIG-IP).
  • TDE (Microsoft SQL Server или Oracle).
  • Хранилище сертификатов
  • Подписывание документа, файла и кода.

Azure Cloud HSM не:

  • Устройство HSM без операционной системы.
  • Хранилище секретов.
  • Предложение для управления жизненным циклом сертификатов.

Оптимальный сценарий

Azure Cloud HSM наиболее подходит для следующих типов сценариев:

  • Перенос приложений из локальной среды в Виртуальные машины Azure
  • Перенос приложений из Выделенное устройство HSM Azure или AWS Cloud HSM
  • Поддержка приложений, требующих PKCS#11
  • Использование готового коммерческого ПО, такого как Apache, NGINX или F5 BIG-IP для разгрузки SSL, SQL Server или Oracle с TDE, а также AD CS, в виртуальных машинах Azure

Неоптимальный сценарий

Azure Cloud HSM не интегрируется с другими службами платформы как услуга (PaaS) или программного обеспечения как услуга (SaaS) на Azure. Azure Cloud HSM — это только инфраструктура как услуга (IaaS).

Azure Cloud HSM не подходит для облачных служб Майкрософт, требующих поддержки шифрования с помощью ключей, управляемых клиентом. К этим службам относятся Azure Information Protection, Шифрование дисков Azure, Azure Data Lake Storage, служба хранилища Azure и ключ клиента Microsoft Purview. Для этих сценариев клиенты должны использовать Azure Key Vault Управляемый HSM.

Физическая безопасность

В центрах обработки данных Azure имеются обширные физические и процедурные меры безопасности. HSM в Облаке Azure HSM размещаются в области ограниченного доступа центра обработки данных с физическими средствами управления доступом и видеонаблюдением для дополнительной безопасности.

Azure Cloud HSM включает как физические, так и логические механизмы обнаружения и реагирования, которые инициируют обнуление ключей в аппаратном обеспечении. Эти меры предназначены для обнаружения нарушений, если физический барьер скомпрометирован.

HSM защищены от атак входа в систему методом подбора. Система блокирует офицеров криптографии (ОК) после заданного количества неудачных попыток доступа. Аналогичным образом повторные неудачные попытки доступа к HSM с учетными данными пользователя шифрования (CU) приводят к блокировке пользователя. Затем CO должен разблокировать CU. Для разблокировки CO требуется команда getChallenge, подписывание задачи ключом владельца раздела (PO.key) через OpenSSL, а затем выполнение команд unlockCO и changePswd.

Операции сервиса

Azure Cloud HSM не имеет запланированных периодов обслуживания. Однако корпорации Майкрософт может потребоваться выполнить обслуживание для необходимых обновлений или неисправной замены оборудования. Клиенты заранее уведомляются, если ожидается какое-либо влияние.

Дальнейшие шаги

Эти ресурсы помогут вам упростить подготовку и настройку HSM в существующей среде виртуальной сети: