Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Выделенный HSM Azure отменяется. Корпорация Майкрософт полностью поддерживает существующие клиенты выделенного устройства HSM до 31 июля 2028 г. Новые подключения клиентов не принимаются. Полные сведения и необходимые действия см. в официальном обновлении Azure.
Если вы являетесь пользователем Выделенного устройства HSM Azure, см. статью "Миграция из выделенного HSM Azure в управляемый HSM Azure" или Azure Cloud HSM. Azure Cloud HSM теперь общедоступен и преемник выделенного HSM Azure.
Новые клиенты должны оценивать и подключиться к Azure Cloud HSM, Управляемому HSM Azure или Azure Key Vault на основе требований к рабочей нагрузке. Инструкции см. в статье "Выбор подходящего решения для управления ключами Azure".
Выделенный HSM Azure — это служба Azure, которая предоставляет хранилище криптографических ключей в Azure. Выделенный HSM соответствует самым строгим требованиям безопасности. Это идеальное решение для клиентов, которым требуются устройства fiPS 140-2 уровня 3 и полный и эксклюзивный контроль устройства HSM.
Устройства HSM развертываются глобально в нескольких регионах Azure. Их можно легко подготовить как пару устройств и настроить для обеспечения высокой доступности. Устройства HSM также можно подготовить в разных регионах, чтобы обеспечить отработку отказа на уровне региона. Корпорация Майкрософт предоставляет выделенную службу HSM с помощью устройств Thales Luna 7 HSM модели A790 . Это устройство предлагает самые высокие уровни производительности и криптографической интеграции.
После подготовки устройства HSM подключаются непосредственно к виртуальной сети клиента. Доступ к им также можно получить с помощью локальных приложений и средств управления при настройке VPN-подключения типа "точка — сеть" или "сеть — сеть". Клиенты получают программное обеспечение и документацию для настройки устройств HSM и управления ими на портале поддержки клиентов Thales.
Зачем использовать выделенный HSM Azure?
Соответствие FIPS 140-2 уровня 3
Многие организации имеют строгие отраслевые правила, которые определяют, что криптографические ключи должны храниться в FIPS 140-2 level-3 , проверенных HSM. Выделенный HSM Azure и новое одноарендное предложение, Azure Key Vault Managed HSM, помогают клиентам из различных отраслевых сегментов, таких как финансовые услуги, государственные учреждения и другие, соответствовать требованиям FIPS 140-2 Level-3. Хотя мультитенантная служба Azure Key Vault в настоящее время использует FIPS 140-2 уровня 2 с проверкой соответствия сертифицированные HSM.
Устройства с одним клиентом
Многие из наших клиентов имеют требование для единого арендного устройства криптографического хранилища. Служба выделенного устройства HSM Azure позволяет им подготавливать физическое устройство из одного из глобально распределенных центров обработки данных Майкрософт. После того как устройство будет предоставлено клиенту, доступ к нему будет только у этого клиента.
Полный административный контроль
Многим клиентам требуется полный административный контроль и единственный доступ к устройству в целях администрирования. После подготовки устройства только клиент имеет административный или доступ на уровне приложения к устройству.
Корпорация Майкрософт не имеет административного контроля после того, как клиент впервые обращается к устройству, в то время как клиент изменяет пароль. С этого момента клиент является истинным одним клиентом с полным административным контролем и возможностями управления приложениями. Корпорация Майкрософт поддерживает доступ на уровне монитора (а не роль администратора) для телеметрии через подключение к последовательному порту. Этот доступ охватывает аппаратные мониторы, такие как температура, работоспособности питания и работоспособности вентилятора.
Клиент может отключить этот мониторинг. Однако если они отключают его, они не будут получать упреждающие оповещения о работоспособности от Корпорации Майкрософт.
Высокая производительность
Устройство Thales было выбрано для этой службы по нескольким причинам. Он предлагает широкий спектр поддержки криптографических алгоритмов, разнообразные поддерживаемые операционные системы и широкую поддержку API. Развернутая модель обеспечивает отличную производительность с 10 000 операций в секунду для RSA-2048. Она поддерживает 10 секций, которые можно использовать для уникальных экземпляров приложений. Это устройство с низкой задержкой, высокой емкостью и устройством с высокой пропускной способностью.
Уникальное облачное предложение
Корпорация Майкрософт признала определенную потребность в уникальном наборе клиентов. Это единственный поставщик облачных услуг, который предлагает новым клиентам выделенный сервис HSM, подтверждённый на уровне FIPS 140-2 Level 3, и обеспечивает широкую степень интеграции приложений в облачных и локальных условиях.
Подходит ли для вас выделенный HSM Azure?
Выделенный HSM Azure — это специализированная служба, которая отвечает уникальным требованиям для конкретного типа крупномасштабной организации. В результате ожидается, что большинство клиентов Azure не будут соответствовать профилю использования для этой службы. Многие считают, что Azure Key Vault или Azure Managed HSM являются более подходящими и экономичными сервисами. Чтобы помочь вам решить, подходит ли это для ваших требований, мы определили следующие критерии.
Оптимальный сценарий
Выделенный модуль HSM Azure наиболее подходит для сценариев "lift-and-shift", требующих прямого и единственного доступа к устройствам HSM. Вот некоторые примеры.
- Перенос приложений из локальной среды на виртуальные машины Azure.
- Перенос приложений из Amazon AWS EC2 на виртуальные машины, использующие классическую службу AWS Cloud HSM (Amazon не предлагает эту службу новым клиентам)
- Использование на виртуальных машинах Azure персонализируемого программного обеспечения, такого как Apache/Ngnix SSL Offload, Oracle TDE и ADCS.
Неоптимальный сценарий
Выделенный HSM Azure не подходит для следующего типа сценария: облачные службы Майкрософт, поддерживающие шифрование с помощью ключей, управляемых клиентом (например, Azure Information Protection, Шифрование дисков Azure, Azure Data Lake Store, служба хранилища Azure, База данных SQL Azureи ключ клиента для Office 365, которые не интегрированы с выделенным устройством HSM Azure.
Замечание
Клиенты должны иметь назначенного диспетчера учетных записей Майкрософт и соответствовать денежному требованию в размере 5 миллионов долларов США или больше в общей зафиксированной выручке Azure ежегодно, чтобы претендовать на подключение и использование выделенного HSM Azure.
Смотря как
Зависимость полезности Azure HSM выделенного модуля для вас зависит от потенциально сложного сочетания требований и компромиссов, которые вы можете или не можете принять. Примером является требование FIPS 140-2 уровня 3. Это требование является общим, и Azure Dedicated HSM и новое предложение с выделенным клиентом, Управляемый HSM Azure Key Vault в настоящее время являются единственными вариантами для его удовлетворения. Если эти обязательные требования не актуальны, часто это выбор между Azure Key Vault и выделенным HSM Azure. Оцените ваши требования перед принятием решения.
Ситуации, в которых необходимо взвесить варианты, включают:
- Новый код, выполняемый на клиентской виртуальной машине Azure.
- Прозрачное шифрование данных на сервере SQL Server, который работает на виртуальной машине Azure.
- Шифрование на стороне клиента службы хранилища Azure
- SQL Server и База данных SQL Azure Always Encrypted
Дальнейшие шаги
Выделенный HSM — это высоко специализированная услуга. Поэтому мы рекомендуем полностью понять основные понятия в этом наборе документации, включая цены, поддержку и соглашения на уровне обслуживания.
Руководства по интеграции Thales помогают облегчить внедрение HSM в существующую среду виртуальной сети. Существуют также руководства по настройке архитектуры развертывания.