Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Azure Cloud HSM — это высокодоступная одноарендаторная служба, проверенная на уровне FIPS 140-3 уровня 3, которая соответствует отраслевым стандартам. Azure Cloud HSM предоставляет клиентам полный административный контроль над их аппаратными модулями безопасности (HSM). Он предоставляет безопасный и клиентский кластер HSM для хранения криптографических ключей и выполнения криптографических операций.
Azure Cloud HSM поддерживает различные приложения, включая PKCS#11, разгрузку протокола SSL или TLS, защиту закрытого ключа удостоверяющего центра (УЦ) и прозрачное шифрование данных (TDE). Он также поддерживает подписывание документов и кода.
Зачем использовать Azure Cloud HSM?
Полностью управляемое решение
Многие клиенты требуют административного контроля над их HSM, но не хотят накладных и дополнительных расходов, связанных с управлением кластерами для высокой доступности, установки исправлений и обслуживания. Клиенты Azure Cloud HSM имеют безопасный, прямой, end-to-end зашифрованный доступ к узлам HSM в кластере HSM через выделенную частную ссылку из виртуальной сети.
После того как клиент подготавливает кластер Azure Cloud HSM, клиент сохраняет административный доступ к своим HSM. Служба Azure Cloud HSM отвечает за высокий уровень доступности, исправление и обслуживание.
Клиентская, высокодоступная, однотенантная HSM как услуга
Azure Cloud HSM обеспечивает высокую доступность и избыточность путем группировки нескольких модулей HSM в кластер HSM. Служба автоматически синхронизирует ключи и политики на каждом узле HSM.
Каждый кластер HSM состоит из трех узлов HSM. Если ресурс HSM становится недоступным, узлы-члены кластера HSM автоматически переносятся на здоровые узлы.
Кластер Azure Cloud HSM поддерживает балансировку нагрузки криптографических операций. Периодические резервные копии HSM помогают обеспечить безопасное и простое восстановление данных.
Расположение данных: Cloud HSM не хранит или обрабатывает данные клиента за пределами региона, в котором клиент развертывает экземпляр HSM.
Кластеры HSM с одним клиентом
Каждый экземпляр Azure Cloud HSM предназначен для одного клиента. Каждый кластер HSM использует отдельный домен безопасности для конкретного клиента, который криптографически изолирует его.
Соответствие требованиям и сертификация
Azure Cloud HSM соответствует нескольким отраслевым стандартам соответствия и сертификациям, чтобы помочь клиентам удовлетворить нормативные требования.
Уровень 3 FIPS 140-3
Многие организации имеют строгие отраслевые правила, которые определяют, что криптографические ключи должны храниться в FIPS 140-3 уровня 3 , проверенных HSM. Azure Cloud HSM предлагает модули HSM, которые проверяются для соответствия стандартам FIPS 140-3 уровня 3. Процедуры проверки подлинности HSM, включая проверку сертификации FIPS 140-3 уровня 3 из NIST, см. в руководстве по подключению. Azure Cloud HSM помогает клиентам из различных отраслевых сегментов (отрасли финансовых услуг, государственных учреждений и других) соответствовать этим требованиям FIPS.
eIDAS
Azure Cloud HSM поддерживает соответствие eIDAS в австрийской схеме, обеспечивая безопасное управление ключами, криптографические операции и проверенное оборудование FIPS 140-3 уровня 3 для соответствия строгим требованиям к квалифицированным электронным подписям и средствам защиты, для обеспечения соответствия нормативным требованиям. Дополнительные сведения см. в сертификате QSCD.
PCI и PCI 3DS
Azure Cloud HSM предоставляет устройства HSM, которые проверяются для соответствия стандартам PCI и PCI 3DS. Дополнительные сведения о сертификации соответствия требованиям PCI для Облачного HSM Azure см. в аттестации соответствия требованиям PCI 3DS (AOC) в Центре управления безопасностью служб Майкрософт.
Пригодность облака Azure HSM
Azure Cloud HSM поддерживает:
- PKCS#11, OpenSSL, Java архитектура шифрования (JCA), Java расширение шифрования (JCE), API шифрования: следующее поколение (CNG) и поставщик хранилища ключей (KSP).
- Службы сертификации Active Directory (AD CS).
- Разгрузка SSL/TLS (Apache, NGINX или F5 BIG-IP).
- TDE (Microsoft SQL Server или Oracle).
- Хранилище сертификатов
- Подписывание документа, файла и кода.
Azure Cloud HSM не:
- Устройство HSM без операционной системы.
- Хранилище секретов.
- Предложение для управления жизненным циклом сертификатов.
Оптимальный сценарий
Azure Cloud HSM наиболее подходит для следующих типов сценариев:
- Перенос приложений из локальной среды в Виртуальные машины Azure
- Перенос приложений из Выделенное устройство HSM Azure или AWS Cloud HSM
- Поддержка приложений, требующих PKCS#11
- Использование готового коммерческого ПО, такого как Apache, NGINX или F5 BIG-IP для разгрузки SSL, SQL Server или Oracle с TDE, а также AD CS, в виртуальных машинах Azure
Неоптимальный сценарий
Azure Cloud HSM не интегрируется с другими службами платформы как услуга (PaaS) или программного обеспечения как услуга (SaaS) на Azure. Azure Cloud HSM — это только инфраструктура как услуга (IaaS).
Azure Cloud HSM не подходит для облачных служб Майкрософт, требующих поддержки шифрования с помощью ключей, управляемых клиентом. К этим службам относятся Azure Information Protection, Шифрование дисков Azure, Azure Data Lake Storage, служба хранилища Azure и ключ клиента Microsoft Purview. Для этих сценариев клиенты должны использовать Azure Key Vault Управляемый HSM.
Физическая безопасность
В центрах обработки данных Azure имеются обширные физические и процедурные меры безопасности. HSM в Облаке Azure HSM размещаются в области ограниченного доступа центра обработки данных с физическими средствами управления доступом и видеонаблюдением для дополнительной безопасности.
Azure Cloud HSM включает как физические, так и логические механизмы обнаружения и реагирования, которые инициируют обнуление ключей в аппаратном обеспечении. Эти меры предназначены для обнаружения нарушений, если физический барьер скомпрометирован.
HSM защищены от атак входа в систему методом подбора. Система блокирует офицеров криптографии (ОК) после заданного количества неудачных попыток доступа. Аналогичным образом повторные неудачные попытки доступа к HSM с учетными данными пользователя шифрования (CU) приводят к блокировке пользователя. Затем CO должен разблокировать CU. Для разблокировки CO требуется команда getChallenge, подписывание задачи ключом владельца раздела (PO.key) через OpenSSL, а затем выполнение команд unlockCO и changePswd.
Операции сервиса
Azure Cloud HSM не имеет запланированных периодов обслуживания. Однако корпорации Майкрософт может потребоваться выполнить обслуживание для необходимых обновлений или неисправной замены оборудования. Клиенты заранее уведомляются, если ожидается какое-либо влияние.
Дальнейшие шаги
Эти ресурсы помогут вам упростить подготовку и настройку HSM в существующей среде виртуальной сети:
- пакет SDK Azure Cloud HSM
- Управление ключами в Azure
- Deploy Azure Cloud HSM с помощью портала Azure
- Deploy Azure Cloud HSM с помощью Azure PowerShell