Architektura nasazení Azure Dedicated HSM
Azure Dedicated HSM poskytuje úložiště kryptografických klíčů v Azure. Splňuje přísné požadavky na zabezpečení. Zákazníci těží z používání Azure Dedicated HSM, pokud:
- Musí splňovat certifikaci FIPS 140-2 Level-3.
- Vyžadovat, aby měli výhradní přístup k MODULU hardwarového zabezpečení
- Měl by mít úplnou kontrolu nad svými zařízeními.
Moduly hardwarového zabezpečení jsou distribuované v datových centrech Microsoftu a je možné je snadno zřídit jako dvojici zařízení jako základ vysoce dostupného řešení. Je také možné je nasadit napříč oblastmi pro řešení odolné vůči havárii. Oblasti s dostupnými Dedicated HSM můžete zkontrolovat na stránce Produkty podle oblasti.
- East US
- USA – východ 2
- USA – západ
- Západní USA 2
- Středojižní USA
- Southeast Asia
- Východní Asie
- Indie – střed
- Indie – jih
- Japonsko – východ
- Japonsko – západ
- Severní Evropa
- West Europe
- Spojené království – jih
- Spojené království – západ
- Střední Kanada
- Austrálie – východ
- Austrálie – jihovýchod
- Švýcarsko – sever
- Švýcarsko – západ
- USA (Gov) – Virginia
- USA (Gov) – Texas
Každá z těchto oblastí má racky HSM nasazené buď ve dvou nezávislých datových centrech, nebo alespoň ve dvou nezávislých zónách dostupnosti. South Východní Asie má tři zóny dostupnosti a USA – východ 2 dvě. V Evropě, Asii a dalších oblastech Severní Amerika 23 oblastí, které Dedicated HSM služby. Další informace o oblastech Azure najdete v oficiálních informacích o oblastech Azure. Mezi faktory návrhu pro Dedicated HSM řešení založená na řešeních jsou umístění/latence, vysoká dostupnost a podpora dalších distribuovaných aplikací.
Device location (Umístění zařízení)
Optimální umístění zařízení HSM je v nejbližší blízkosti aplikací provádějících kryptografické operace. Očekává se, že latence v oblasti bude v řádu milisekund. Latence mezi oblastmi může být 5 až 10krát vyšší.
Vysoká dostupnost
K dosažení vysoké dostupnosti musí zákazník použít dvě zařízení HSM v oblasti, která je nakonfigurovaná pomocí softwaru Thales jako páru vysoké dostupnosti. Tento typ nasazení zajišťuje dostupnost klíčů, pokud dojde k problému na jednom zařízení, který brání zpracování operací s klíči. Také významně snižuje riziko při provádění údržby, která se přeruší nebo opraví, jako je výměna napájecího zdroje. Je důležité, aby návrh zohlednil jakýkoli druh selhání na úrovni oblasti. K selháním na regionální úrovni může dojít v případě přírodní katastrofy, jako jsou hurikány, záplavy nebo zemětřesení. Tyto typy událostí by se měly zmírnit zřízením zařízení HSM v jiné oblasti. Zařízení nasazená v jiné oblasti mohou být spárována prostřednictvím konfigurace softwaru Thales. To znamená, že minimální nasazení pro vysoce dostupné řešení odolné vůči havárii je čtyři zařízení HSM napříč dvěma oblastmi. Místní redundanci a redundanci napříč oblastmi je možné použít jako základ pro přidání dalších nasazení zařízení HSM pro podporu latence, kapacity nebo splnění jiných požadavků specifických pro aplikace.
Podpora distribuovaných aplikací
Dedicated HSM se obvykle nasazovat na podporu aplikací, které potřebují provádět operace ukládání a načítání klíčů. Dedicated HSM zařízení mají 10 oddílů pro podporu nezávislých aplikací. Umístění zařízení by mělo být založené na holistickém zobrazení všech aplikací, které potřebují tuto službu používat.
Další kroky
Jakmile se určí architektura nasazení, bude většinu konfiguračních aktivit pro implementaci této architektury poskytovat thales. To zahrnuje konfiguraci zařízení i scénáře integrace aplikací. Další informace najdete na portálu zákaznické podpory společnosti Thales a můžete si stáhnout průvodce správou a konfigurací. Na partnerském webu Microsoftu je k dispozici celá řada průvodců integrací. Před zřizováním zařízení nebo návrhem a nasazením aplikací se doporučuje dobře porozumět všem klíčovým konceptům služby, jako je vysoká dostupnost a zabezpečení. Další témata na úrovni konceptu: