Share via

ماذا يُقصد بـ Azure Dedicated HSM؟

  • مقالة

Azure Dedicated HSM هي خدمة من خدمات Azure تقدم تخزيناً مشفراً للمفاتيح في Azure. تلبي Dedicated HSM متطلبات الأمان الأكثر صرامة. إنه الحل المثالي للعملاء الذين يحتاجون إلى أجهزة "FIPS 140-2 Level 3-validated" وتحكم الكامل والحصري في جهاز HSM.

يتم نشر أجهزة HSM على مستوى العالم عبر العديد من مناطق Azure. ويمكن توفيرها بسهولة كزوج من الأجهزة وتكوينها للتوافر العالي. ويمكن أيضاً تكوين إعدادات تشغيل خدمة أجهزة HSM عبر المناطق لضمان عدم تجاوز الفشل على المستوى الإقليمي. تُقدّم Microsoft خدمة Dedicated HSM باستخدام أجهزة Thales Luna 7 HSM model A790. يوفر هذا الجهاز أعلى مستويات من الأداء وخيارات تكامل تشفير.

بعد تكوين إعدادات تشغيلها، يتم توصيل أجهزة HSM مباشرة بالشبكة الظاهرية للعميل. كما يمكن الوصول إليها من خلال التطبيق الداخلي وأدوات الإدارة عند تكوين اتصال point-to-site or site-to-site VPN. يحصل العملاء على البرامج والوثائق لتكوين وإدارة أجهزة HSM من بوابة دعم عملاء Thales.

لماذا تستخدم Azure Dedicated HSM؟

توافق FIPS 140-2 Level-3

لدى العديد من المؤسسات لوائح صناعية صارمة تفرض تخزين مفاتيح التشفير في FIPS 140-2 Level-3 validated HSMs. Azure Dedicated HSM, new single-tenant offering, Azure Key Vault Managed HSM، تساعد العملاء من مختلف قطاعات الصناعة، مثل صناعة الخدمات المالية، والوكالات الحكومية، وغيرها لتلاقي متطلبات FIPS 140-2 Level-3. بينما تستخدم خدمة Microsoft متعددة المستأجرين Azure Key Vault حالياً FIPS 140-2 Level-2 validated HSMs.

نظرة عامة على المستأجر الواحد

العديد من عملائنا لديهم متطلبات لاستئجار واحد من أجهزة التخزين المشفرة. تمكنهم خدمة Azure Dedicated HSM من توفير جهاز مادي من أحد مراكز بيانات Microsoft الموزعة عالمياً. بعد أن يتم توفيرها للعميل، يمكن فقط لهذا العميل الوصول إلى الجهاز.

التحكم الإداري الكامل

يحتاج العديد من العملاء إلى تحكم إداري كامل ووصول حصري إلى أجهزتهم للأغراض الإدارية. بعد توفير الجهاز، يكون للعميل فقط حق الوصول الإداري أو على مستوى التطبيق إلى الجهاز.

لا تملك Microsoft أي تحكم إداري بعد وصول العميل إلى الجهاز للمرة الأولى، وحينها يقوم العميل بتغيير كلمة المرور. وعندئذ، يكون العميل مستأجراً واحداً حقيقياً له تحكم إدارة كامل وقدرة على إدارة التطبيقات. تحتفظ Microsoft بوصول على مستوى المراقبة (وليس دور المسؤول) لتتبع بيانات الاستخدام عبر اتصال المنفذ التسلسلي. يغطي هذا الوصول مراقبة الأجهزة مثل درجة الحرارة، وصحة إمدادات الطاقة، وصحة المروحة.

للعميل الحرية في تعطيل هذا الرصد المطلوب. ومع ذلك، إذا تم تعطيله، فلن يتلقوا تنبيهات صحة استباقية من Microsoft.

أداء عالٍ

تم اختيار جهاز Thales لهذه الخدمة لمجموعة متنوعة من الأسباب. وهو يقدم مجموعة واسعة من دعم خوارزمية التشفير، ومجموعة متنوعة من أنظمة التشغيل المدعومة، ودعم API واسع النطاق. يوفر الطراز المحدد الذي تم نشره أداء ممتازاً بـ 10,000 عملية في الثانية لــ RSA-2048. وهو يدعم 10 أقسام يمكن استخدامها لمثيلات التطبيق الفريدة. هذا الجهاز هو جهاز زمن وصول بطيء، ذو سعة مرتفعة، وسرعة نقل عالية.

عرض فريد قائم على السحابة

أدركت Microsoft حاجة خاصة لمجموعة فريدة من العملاء. هذا هو مزود السحابة الوحيد الذي يقدم للعملاء الجدد خدمة dedicated HSM من النوع FIPS 140-2 Level 3-validated ويوفر مثل هذا المدى من تكامل التطبيقات المستندة إلى السحابة والمحلية.

هل Azure Dedicated HSM مناسب لك؟

Azure Dedicated HSM هي خدمة متخصصة تعالج المتطلبات الفريدة لنوع معين من المؤسسات واسعة النطاق. ونتيجة لذلك، من المتوقع ألَّا يتناسب ملف تعريف استخدام هذه الخدمة مع معظم عملاء Azure. سيجد الكثيرون خدمة Azure Key Vault أو Azure Managed HSM لتكون أكثر ملاءمة وفعالية من حيث التكلفة. لمساعدتك في تحديد ما إذا كانت مناسبة لمتطلباتك، قمنا بتحديد المعايير التالية.

تناسب بشكل أفضل

يعد Azure Dedicated HSM هو الأكثر ملاءمة لسيناريوهات "lift-and-shift" التي تتطلب الوصول المباشر والوحيد إلى أجهزة HSM. من بين الأمثلة:

  • ترحيل التطبيقات من الداخل إلى الأجهزة الظاهرية لــ Azure
  • ترحيل التطبيقات من Amazon AWS EC2 إلى الأجهزة الظاهرية التي تستخدم خدمة AWS Cloud HSM Classic (لا تقدم Amazon هذه الخدمة للعملاء الجدد)
  • تشغيل برامج shrink-wrapped مثل Apache/Ngnix SSL Offload, Oracle TDE, and ADCS علي الأجهزة الظاهرية

لا تناسب

Azure Dedicated HSM غير مناسب لنوع السيناريو التالي: خدمات سحابة Microsoft التي تدعم التشفير مع مفاتيح مدارة من قبل العملاء (مثلAzure Information Protection، Azure Disk Encryption، Azure Data Lake Store، Azure Storage، Azure SQL Database، ومفتاح المستخدم لــ Office 365) غير المدمجة فيAzure Dedicated HSM.

ملاحظة

يجب أن يكون لدى العملاء مدير حساب Microsoft معين وتلبية المتطلبات النقدية البالغة خمسة ملايين دولار أمريكي (5 مليون دولار أمريكي) أو أكثر في إجمالي إيرادات Azure الملتزم بها سنويا للتأهل للإلحاق واستخدام Azure Dedicated HSM.

تعتمد على

سواء كان Azure Dedicated HSM سيعمل معك بناء على مزيج معقد محتمل من المتطلبات والتنازلات التي يمكنك أو لا يمكنك القيام بها. مثال على ذلك هو متطلباتFIPS 140-2 Level 3 يعد هذا الشرط شائعاً، ويعد Azure Dedicated HSM وnew single-tenant offering، وAzure Key Vault Managed HSM هي السيل الوحيدة لاستيفاء ذلك. إذا لم تكن هذه المتطلبات المطلوبة ذات صلة، فغالباً ما يكون الاختيار بين Azure Key Vault وAzure Dedicated HSM. قيّم متطلباتك قبل اتخاذ قرار.

تتضمن الحالات التي يجب عليك فيها تقييم خياراتك ما يلي:

  • رمز جديد يتم تشغيله في جهاز Azure الظاهري للعميل
  • SQL Server TDE في جهاز ظاهري Azure
  • Azure Storage client-side encryption
  • خادم SQL وAzure SQL DB دائماً مشفرين

الخطوات التالية

هذه خدمة متخصصة للغاية. لذلك، نوصي بأن تفهم تماما المفاهيم الرئيسية في مجموعة الوثائق هذه، بما في ذلك التسعير والدعم واتفاقيات مستوى الخدمة.

تساعدك أدلة تكامل Thales على تسهيل تكوين إعدادات تشغيل HSMs في بيئة شبكة ظاهرية موجودة. هناك أيضا إرشادات توضيحية لمساعدتك في تحديد كيفية إعداد بنية النشر.