Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Внимание
Мы обновили наш парк HSM до прошивки, проверенной на соответствие FIPS 140-3 уровня 3, как для управляемых HSM в Azure Key Vault, так и для Azure Key Vault Premium. Дополнительные сведения см. в статье об обновлении встроенного ПО управляемого модуля HSM для повышения безопасности и соответствия требованиям.
Управляемый модуль HSM Azure Key Vault (аппаратный модуль безопасности) — это полностью управляемая, высокодоступная, однотенантная облачная служба, совместимая со стандартами, которая позволяет защитить криптографические ключи для облачных приложений с помощью FIPS 140-3 уровня 3 , проверенных HSM. Это одно из нескольких решений по управлению ключами в Azure.
Сведения о ценах см. в разделе "Управляемые пулы HSM" на странице цен Azure Key Vault. Сведения о поддерживаемых типах ключей см. в разделе "Сведения о ключах в управляемом HSM".
Термин "экземпляр Управляемого устройства HSM" синонимичен термину "пул Управляемых устройств HSM". Чтобы избежать путаницы, во всех этих статьях мы используем термин "экземпляр управляемого HSM".
Примечание.
Нулевое доверие — это стратегия безопасности, состоящая из трех принципов: "Проверка явным образом", "Использование минимального доступа к привилегиям" и "Предполагать нарушение". Защита данных, включая управление ключами, поддерживает принцип "использовать минимальный доступ к привилегиям". Дополнительные сведения см. в разделе "Что такое нулевое доверие"?
Зачем использовать Управляемое устройство HSM?
Полностью управляемое высокодоступное однотенантное устройство HSM как услуга
- Полностью управляемый: сервис обеспечивает развертывание, настройку, установку исправлений и обслуживание HSM.
- Высокая доступность: каждый кластер HSM состоит из нескольких секций HSM. Если оборудование выходит из строя, разделы-участники вашего кластера HSM автоматически переносятся на исправные узлы. Дополнительные сведения см. в соглашении об уровне обслуживания управляемого устройства HSM
- Однопользовательский: Каждый экземпляр управляемого HSM предназначен для одного клиента и состоит из кластера из нескольких разделов HSM. Каждый кластер HSM использует отдельный домен безопасности, определяемый клиентом, который криптографически изолирует кластер HSM каждого клиента.
Контроль доступа, улучшенная защита данных и соответствие требованиям
- Централизованное управление ключами. Управляйте критически важными и ценными ключами организации в одном расположении. Благодаря избирательным разрешениям на ключ вы можете контролировать доступ к каждому ключу по принципу минимального привилегированного доступа.
- Изолированный контроль доступа: модель локального управления доступом HSM с использованием RBAC позволяет назначенным администраторам кластера HSM иметь полный контроль над устройствами HSM, который даже администраторы группы управления, подписки или группы ресурсов не могут переопределить.
- Частные конечные точки. Используйте частные конечные точки для безопасного частного подключения к управляемому модулю HSM из приложения, запущенного в виртуальной сети.
- Проверенные HSM уровня FIPS 140-3 уровня 3: Защитите ваши данные и обеспечьте соответствие стандартам с помощью проверенных HSM уровня FIPS 140-3 уровня 3. Управляемые устройства HSM используют адаптеры HSM от Marvell LiquidSecurity.
- Мониторинг и аудит — полная интеграция с Azure Monitor. Получайте полные журналы всех действий с помощью Azure Monitor. Используйте Azure Log Analytics для аналитики и оповещений.
- Место расположения данных — управляемое устройство HSM не хранит и не обрабатывает данные клиентов за пределами региона, в котором клиент развертывает экземпляр HSM.
Интеграция с Azure и службами Microsoft PaaS и SaaS
- Создайте (или импортируйте с помощью BYOK) ключи и используйте их для шифрования неактивных данных в службах Azure, таких как служба хранилища Azure, Azure SQL, Azure Information Protection и Ключ клиента для Microsoft 365. Полный список служб Azure, работающих с управляемым HSM, см. в статье "Модели шифрования данных".
Использование тех же API и интерфейсов управления, что и для Key Vault
- Легко переносить существующие приложения, использующие хранилище (мультитенантное) для использования управляемых виртуальных машин HSM.
- Используйте одинаковые шаблоны разработки и развертывания приложений для всех приложений независимо от используемого решения управления ключами: мультитенантные хранилища или управляемые HSM с одним клиентом.
Импортируйте ключи из ваших локальных HSM-модулей
- Создавайте ключи, защищенные модулем HSM, на локальном устройстве HSM и безопасно импортируйте их в Управляемое устройство HSM.
Создание прозрачности артефактов с помощью прозрачности подписывания Microsoft
Managed HSM интегрирован с сервисом Microsoft Signing Transparency (MST), что позволяет клиентам самостоятельно инспектировать и валидировать его артефакты сборки. MST обеспечивает, что только аутентифицированные и доверенные удостоверения Managed HSM могут регистрировать артефакты производственной сборки в неизменяемом реестре с возможностью выявления подделок. Это обеспечивает криптографически проверяемые подтверждения, соответствующие SCITT и IETF/COSE, которые дают четкую видимость развертываний Managed HSM, что укрепляет доверие, повышает аудируемость и способствует соблюдению нормативных требований.
Дополнительные сведения о MST см. в разделе О реестре прозрачности подписывания Microsoft. Сведения о проверке артефактов сборки см. в разделе "Проверка подписей в реестре".
Управление внешними ключами (предварительная версия)
Если для рабочей нагрузки требуется, чтобы ключи шифрования ключей (KEK) работали в аппаратном модуле безопасности, работающем вне инфраструктуры Microsoft, можно использовать управление внешними ключами HSM. Внешнее управление ключами позволяет Managed HSM делегировать операции упаковки и распаковки прокси-серверу EKM, управляемому клиентом и расположенному перед вашим внешним HSM. Внешнее управление ключами в настоящее время доступно в предварительной версии, поддерживает только операции обертывания и развертывания и не подпадает под действие SLA для Managed HSM. Дополнительные сведения см. в разделе "Что такое управляемое управление внешними ключами HSM?".
Следующие шаги
- Управление ключами в Azure
- Технические сведения см. в статье о том, как управляемый HSM реализует суверенитет ключей, доступность, производительность и масштабируемость без компромиссов.
- Воспользуйтесь статьей Краткое руководство. Подготовка и активация управляемого устройства HSM с помощью Azure CLI, чтобы выполнить описанные в ней действия.
- См. раздел "Защита управляемого развертывания HSM"
- Состояние управляемого устройства HSM
- Соглашение об уровне обслуживания сервиса Managed HSM
- Доступность управляемого HSM по регионам
- Что такое нулевое доверие?