Рекомендации по масштабированию Azure Key Vault Managed HSM

В этом документе описано, как правильно планировать емкость для Managed HSM.

Распространенные сценарии клиентов для планирования емкости

Шифрование в состоянии покоя с использованием ключей, управляемых заказчиком

Службы Azure, использующие ключи, управляемые клиентом, выполняют небольшое количество операций получения, оболочки и распаковки, а затем кэшируют результаты, периодически проверяя разрешения на доступ. Это означает, что в час выполняются только несколько вызовов. Из-за этого вряд ли вы достигнете ограничений пропускной способности, описанных в этом документе при использовании управляемого HSM для шифрования неактивных данных.

Специальные приложения

Для клиентов, использующих управляемый модуль HSM для пользовательских приложений, номера тестов можно использовать в качестве приблизительных ожиданий для архитектора пользовательского приложения. Управляемый модуль HSM не ограничивает транзакции криптографических операций и максимально использует аппаратное оборудование и процессоры HSM. Числа должны использоваться в качестве ориентиров для планирования емкости, хотя мы рекомендуем проводить нагрузочное тестирование и проверку показателей производительности. Числа являются неотъемлемым ограничением HSM и его текущей прошивки.

Планирование емкости транзакций для криптографических операций

Каждый управляемый экземпляр HSM состоит из трех сбалансированных по нагрузке разделов HSM. Ограничения пропускной способности зависят от базовой мощности оборудования, выделенной для каждого раздела. В таблицах показано приблизительное максимальное значение пропускной способности по крайней мере одной секции. Фактическая скорость передачи данных может быть до трёх раз выше, если доступны все три раздела. Разделы иногда снимаются при восстановлении неисправного оборудования, обновлении серверов и других обновлениях служебного кода. Для планирования емкости можно предположить, что будут доступны 2 секции. Если вам требуется гарантированное количество операций в секунду, планируйте емкость, имея в виду, что доступен только один раздел.

Для масштабирования шифрования больших объемов данных рекомендуется использовать иерархию ключей, в которой хранится только ключ шифрования ключей в управляемом HSM и используется для упаковки ключей нижнего уровня. Дополнительные сведения см. в статье "Шифрование неактивных данных Azure": шифрование конверта с помощью иерархии ключей

Контрольные показатели были рассчитаны на основе внутреннего тестирования производительности одной ключевой операции за раз на текущем оборудовании с текущим встроенным ПО. Каждая операция с ключом выполнялась в пуле управляемых HSM с одним разделом, при этом для каждого запроса использовался один и тот же ключ. Отображаемые числа — среднее количество операций в секунду, сохраняемое в течение 5 минут.

Эти числа предполагают, что один ключ используется для достижения максимальной пропускной способности. Например, если используется один ключ RSA-2048, максимальная пропускная способность составляет 900 операций подписи. Если вы используете 900 разных ключей с одной транзакцией в секунду, они не смогут достичь той же пропускной способности.

Эти номера будут обновлены после обновления встроенного ПО управляемого модуля HSM на основе внутреннего тестирования производительности.

Замечание

Для точности мы рекомендуем протестировать рабочие нагрузки приложения для проверки номеров производительности и определения потребностей масштабирования. Эти числа были получены в оптимальных условиях и представляют оптимальную производительность.

Операции с ключами RSA (количество операций в секунду на каждый экземпляр HSM)

Операция 2048-битный 3072-бит 4096-битный
Создание ключа 1 1 1
Удаление ключа (мягкое удаление) 10 10 10
Ключ очистки 10 10 10
Создание резервной копии ключа 10 10 10
Восстановление ключа 10 10 10
Получить ключевую информацию 1 100 1 100 1 100
Шифрование 2800 2700 2300
расшифровать 1 100 360 160
Завернуть 2200 1900 1900
Распаковка 1 100 360 160
Подписание 900 340 сто пятьдесят
Проверьте 3400 3400 3700

Операции с ключами EC (количество операций в секунду на каждый экземпляр HSM)

В этой таблице указано количество операций в секунду для каждого типа кривой.

Операция P-256 P-256K P-384 P-521
Создание ключа 1 1 1 1
Удаление ключа (мягкое удаление) 10 10 10 10
Ключ очистки 10 10 10 10
Создание резервной копии ключа 10 10 10 10
Восстановление ключа 10 10 10 10
Получить ключевую информацию 1 100 1 100 1 100 1 100
Подписание 330 330 160 200
Проверьте 130 130 82 28

Операции с ключами AES (количество операций в секунду на каждый экземпляр HSM)

Ограничения на пропускную способность для упаковки и распаковки применяются к алгоритму AES-KW.

Операция 128-разрядное 192-битный 256-битный
Создание ключа 1 1 1
Удаление ключа (мягкое удаление) 10 10 10
Ключ очистки 10 10 10
Создание резервной копии ключа 10 10 10
Восстановление ключа 10 10 10
Получить ключевую информацию 1 100 1 100 1 100
Завернуть 2100 год. 2100 год. 2100 год.
Распаковка 1800 год 1900 2200

Ограничения транзакций для административных операций (число параллельных операций на экземпляр HSM)

Операция Число параллельных операций в одном экземпляре HSM
Полное резервное копирование или восстановление HSM
(поддерживается только одна одновременно выполняемая операция резервного копирования или восстановления на каждый экземпляр HSM)
1

Сведения об ограничениях службы управляемого устройства HSM см. в разделе Об ограничениях службы управляемого устройства HSM.