Co je Azure Dedicated HSM?
Azure Dedicated HSM je služba Azure, která poskytuje úložiště kryptografických klíčů v Azure. Vyhrazený modul hardwarového zabezpečení splňuje ty nejnáročnější požadavky na zabezpečení. Je to ideální řešení pro zákazníky, kteří vyžadují zařízení ověřená standardem FIPS 140-2 úrovně 3 a úplnou a výhradní kontrolu nad zařízením HSM.
Zařízení HSM se nasazují globálně v několika oblastech Azure. Je možné je snadno zřídit jako dvojici zařízení a nakonfigurovat je pro vysokou dostupnost. Zařízení HSM je také možné zřídit napříč oblastmi, aby se zajistilo převzetí služeb při selhání na úrovni oblasti. Microsoft poskytuje službu Dedicated HSM pomocí zařízení HsM modelu A790 Společnosti Thales Luna 7 . Toto zařízení nabízí nejvyšší úrovně výkonu a možnosti kryptografické integrace.
Po zřízení se zařízení HSM připojí přímo k virtuální síti zákazníka. Přístup k nim mají také místní aplikace a nástroje pro správu, když nakonfigurujete připojení typu point-to-site nebo site-to-site VPN. Zákazníci získají software a dokumentaci ke konfiguraci a správě zařízení HSM z portálu zákaznické podpory Společnosti Thales.
Proč používat Azure Dedicated HSM?
Dodržování předpisů FIPS 140-2 úrovně 3
Mnoho organizací má přísné oborové předpisy, které diktují, že kryptografické klíče musí být uložené v modulech HSM ověřených standardem FIPS 140-2 úrovně 3 . Azure Dedicated HSM a nová nabídka s jedním tenantem, Azure Key Vault Managed HSM, pomáhají zákazníkům z různých oborových segmentů, jako jsou finanční služby, státní úřady a další, splnit požadavky FIPS 140-2 úrovně 3. Služba Azure Key Vault s více tenanty Microsoftu v současné době používá moduly HSM ověřené standardem FIPS 140-2 úrovně 2.
Zařízení s jedním tenantem
Mnoho našich zákazníků má požadavek na jeden tenant kryptografického úložného zařízení. Služba Azure Dedicated HSM umožňuje zřídit fyzické zařízení z jednoho z globálně distribuovaných datových center Microsoftu. Po zřízení pro zákazníka bude mít k zařízení přístup jenom tento zákazník.
Úplné řízení správy
Mnoho zákazníků vyžaduje úplnou správu a výhradní přístup ke svému zařízení pro účely správy. Po zřízení zařízení má k zařízení přístup na úrovni správce nebo aplikace jenom zákazník.
Poté, co zákazník poprvé přistupuje k zařízení, nemá Microsoft žádnou administrativní kontrolu. V tomto okamžiku zákazník změní heslo. Od tohoto okamžiku je zákazník skutečným jedním tenantem s úplným řízením správy a schopností správy aplikací. Microsoft udržuje přístup na úrovni monitoru (ne roli správce) pro telemetrii prostřednictvím připojení sériového portu. Tento přístup se vztahuje na hardwarové monitory, jako je teplota, stav napájecího zdroje a stav ventilátoru.
Zákazník může toto monitorování zakázat. Pokud ho ale zakáže, nebudou dostávat proaktivní upozornění na stav od Microsoftu.
Vysoký výkon
Zařízení Thales bylo pro tuto službu vybráno z různých důvodů. Nabízí širokou škálu podpory kryptografických algoritmů, celou řadu podporovaných operačních systémů a širokou podporu rozhraní API. Konkrétní nasazený model nabízí vynikající výkon s 10 000 operacemi za sekundu pro RSA-2048. Podporuje 10 oddílů, které lze použít pro jedinečné instance aplikací. Toto zařízení má nízkou latenci, vysokou kapacitu a vysokou propustnost.
Jedinečná cloudová nabídka
Microsoft rozpoznal konkrétní potřebu jedinečné sady zákazníků. Je jediným poskytovatelem cloudu, který novým zákazníkům nabízí vyhrazenou službu HSM, která je ověřená standardem FIPS 140-2 úrovně 3 a nabízí takový rozsah cloudové a místní integrace aplikací.
Je pro vás Azure Dedicated HSM to pravé?
Azure Dedicated HSM je specializovaná služba, která řeší jedinečné požadavky na konkrétní typ rozsáhlé organizace. V důsledku toho se očekává, že většina zákazníků Azure nebude vyhovovat profilu použití této služby. Mnoho z nich bude považovat službu Azure Key Vault nebo Azure Managed HSM za vhodnější a nákladově efektivnější. Abychom vám pomohli při rozhodování, jestli vyhovuje vašim požadavkům, identifikovali jsme následující kritéria.
Nejlepší přizpůsobení
Azure Dedicated HSM je nejvhodnější pro scénáře "lift-and-shift", které vyžadují přímý a výhradní přístup k zařízením HSM. Příklady:
- Migrace aplikací z místního prostředí do Azure Virtual Machines
- Migrace aplikací z Amazon AWS EC2 na virtuální počítače, které používají službu AWS Cloud HSM Classic (Amazon tuto službu nenabízí novým zákazníkům)
- Spouštění smršťovaného softwaru, jako je Apache/Ngnix SSL Offload, Oracle TDE a ADCS, v Azure Virtual Machines
Nehodí se
Azure Dedicated HSM se nehodí pro následující typ scénáře: cloudové služby Microsoftu, které podporují šifrování pomocí klíčů spravovaných zákazníkem (například Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store, Azure Storage, Azure SQL Database a Customer Key for Office 365), které nejsou integrované se službou Azure Dedicated HSM.
Poznámka
Zákazníci musí mít přiřazeného Správce účtů Microsoftu a splňovat peněžní požadavek 5 milionů (5 milionů USD) v celkovém ročním závazku Azure, aby měli nárok na onboarding a používání služby Azure Dedicated HSM.
To záleží...
To, jestli pro vás bude Azure Dedicated HSM fungovat, závisí na potenciálně složité kombinaci požadavků a ohrožení zabezpečení, které můžete nebo nemůžete provést. Příkladem je požadavek FIPS 140-2 úrovně 3. Tento požadavek je běžný a azure Dedicated HSM a nová nabídka s jedním tenantem, Azure Key Vault Managed HSM, jsou v současné době jedinými možnostmi, jak ho splnit. Pokud tyto požadované požadavky nejsou relevantní, často se jedná o volbu mezi Azure Key Vault a Azure Dedicated HSM. Před provedením rozhodnutí posuďte své požadavky.
Mezi situace, ve kterých budete muset zvážit své možnosti, patří:
- Nový kód spuštěný na virtuálním počítači Azure zákazníka
- SQL Server transparentního šifrování dat na virtuálním počítači Azure
- Šifrování na straně klienta Služby Azure Storage
- SQL Server a Azure SQL DB Always Encrypted
Další kroky
Jedná se o vysoce specializovanou službu. Proto doporučujeme, abyste plně porozuměli klíčovým konceptům v této sadě dokumentace, včetně cen, podpory a smluv o úrovni služeb.
Průvodci integrací thales vám pomůžou usnadnit zřizování modulů HSM do existujícího prostředí virtuální sítě. K dispozici jsou také návody, které vám pomůžou určit, jak nastavit architekturu nasazení.