Présentation du service HSM dédié AzureWhat is Azure Dedicated HSM?

Un HSM dédié Azure est un service Azure qui permet le stockage de clés de chiffrement dans Azure.Azure Dedicated HSM is an Azure service that provides cryptographic key storage in Azure. Un HSM dédié répond aux exigences de sécurité les plus strictes.Dedicated HSM meets the most stringent security requirements. Il constitue la solution idéale pour les clients qui ont besoin d’appareils certifiés FIPS 140-2 de niveau 3 ainsi que d’un contrôle complet et exclusif des appliances HSM.It's the ideal solution for customers who require FIPS 140-2 Level 3-validated devices and complete and exclusive control of the HSM appliance.

Les appareils HSM sont déployés mondialement dans plusieurs régions Azure.HSM devices are deployed globally across several Azure regions. Ils peuvent être facilement approvisionnés sous forme de paires d’appareils et être configurés pour la haute disponibilité.They can be easily provisioned as a pair of devices and configured for high availability. Les appareils HSM peuvent également être approvisionnés dans différentes régions afin d’offrir une garantie en cas de basculement au niveau régional.HSM devices can also be provisioned across regions to assure against regional-level failover. Microsoft a publié le service HSM dédié à l’aide de l’appliance SafeNet Luna Network HSM 7 (Modèle A790) de Gemalto.Microsoft delivers the Dedicated HSM service by using the SafeNet Luna Network HSM 7 (Model A790) appliance from Gemalto. Cet appareil offre les niveaux de performances et les options d’intégration de services de chiffrement les plus élevés.This device offers the highest levels of performance and cryptographic integration options.

Une fois approvisionnés, les appareils HSM sont connectés directement au réseau virtuel d’un client.After they're provisioned, HSM devices are connected directly to a customer’s virtual network. Ils sont également accessibles via des applications et outils de gestion hébergés en local lorsque vous configurez une connectivité VPN point à site ou site à site.They can also be accessed by on-premises application and management tools when you configure point-to-site or site-to-site VPN connectivity. Les clients obtiennent les logiciels et la documentation nécessaires pour configurer et gérer les appareils HSM à partir du portail de support technique de Gemalto.Customers get the software and documentation to configure and manage HSM devices from Gemalto’s support portal.

Pourquoi utiliser le service Azure Dedicated HSM ?Why use Azure Dedicated HSM?

Conformité FIPS 140-2 de niveau 3FIPS 140-2 Level-3 compliance

De nombreuses organisations doivent se soumettre à des réglementations strictes qui imposent que le stockage des clés de chiffrement respecte les exigences FIPS 140-2 de niveau 3.Many organizations have stringent industry regulations that dictate that cryptographic key storage meets FIPS 140-2 Level-3 requirements. Actuellement, le service multilocataire Azure Key Vault de Microsoft fournit uniquement une certification FIPS 140-2 de niveau 2.Microsoft’s multi-tenant Azure Key Vault service currently only provides FIPS 140-2 Level-2 certification. Azure Dedicated HSM répond à un besoin réel du secteur des services financiers, des agences gouvernementales et d’autres utilisateurs qui doivent répondre aux exigences FIPS 140-2 de niveau 3.Azure Dedicated HSM fulfills a real need for the financial services industry, government agencies, and others who must meet FIPS 140-2 Level-3 requirements.

Appareils à locataire uniqueSingle-tenant devices

La plupart de nos clients n’ont besoin que d’un seul locataire pour l’appareil de stockage de chiffrement.Many of our customers have a requirement for single tenancy of the cryptographic storage device. Le service Azure Dedicated HSM autorise l’approvisionnement d’un appareil physique à partir de l’un des centres de données mondialement distribués de Microsoft.The Azure Dedicated HSM service enables them to provision a physical device from one of Microsoft’s globally distributed datacenters. Une fois le provisionnement effectué pour un client, seul ce client peut accéder à l’appareil.After it's provisioned to a customer, only that customer can access the device.

Contrôle administratif completFull administrative control

De nombreux clients exigent un contrôle administratif complet et un accès exclusif sur leur appareil à des fins d’administration.Many customers require full administrative control and sole access to their device for administrative purposes. Une fois l’approvisionnement effectué, seul le client dispose d’un accès administratif ou au niveau de l’application à l’appareil.After a device is provisioned, only the customer has administrative or application-level access to the device.

Microsoft ne dispose d’aucun contrôle d’administration dès lors que le client accède à l’appareil et modifie son mot de passe.Microsoft has no administrative control after the customer accesses the device for the first time, at which point the customer changes the password. À partir de là, le client est un vrai locataire unique disposant d’un contrôle administratif complet et de capacités de gestion des applications.From that point, the customer is a true single-tenant with full administrative control and application-management capability. Microsoft ne conserve aucun accès de surveillance (aucun un rôle d’administrateur) pour la télémétrie via une connexion de port série.Microsoft does maintain monitor-level access (not an admin role) for telemetry via serial port connection. Cet accès couvre des analyses matérielles telles que la température, le contrôle d’intégrité de l’alimentation électrique et l’intégrité du ventilateur.This access covers hardware monitors such as temperature, power supply health, and fan health.

Le client est libre de désactiver cette surveillance si nécessaire.The customer is free to disable this monitoring needed. S’il la désactive, il ne recevra en revanche aucune alerte proactive de contrôle d’intégrité de la part de Microsoft.However, if they disable it, they won't receive proactive health alerts from Microsoft.

Hautes performancesHigh performance

L’appareil Gemalto a été sélectionné pour ce service pour diverses raisons.The Gemalto device was selected for this service for a variety of reasons. Il prend en charge une grande diversité d’algorithmes de chiffrement, de systèmes d’exploitation et d’API.It offers a broad range of cryptographic algorithm support, a variety of supported operating systems, and broad API support. Le modèle spécifique déployé offre d’excellentes performances avec 10 000 opérations par seconde pour RSA-2048.The specific model that's deployed offers excellent performance with 10,000 operations per second for RSA-2048. Il prend en charge 10 partitions qui peuvent être utilisées pour des instances d’applications uniques.It supports 10 partitions that can be used for unique application instances. Il s’agit d’un appareil à faible latence, haute capacité et débit élevé.This device is a low latency, high capacity, and high throughput device.

Offre cloud uniqueUnique cloud-based offering

Microsoft a reconnu un besoin spécifique parmi un ensemble unique de clients.Microsoft recognized a specific need for a unique set of customers. Il est le seul fournisseur cloud à offrir aux nouveaux clients un service HSM dédié conforme à la norme FIPS 140-2 de niveau 3 et une gamme si étendue d’intégration d’applications locales et dans le cloud.It is the only cloud provider that offers new customers a dedicated HSM service that is FIPS 140-2 Level 3-validated and offers such an extent of cloud-based and on-premises application integration.

Azure HSM dédié est-il fait pour vous ?Is Azure Dedicated HSM right for you?

Azure Dedicated HSM est un service spécialisé ciblant les exigences uniques d’un type spécifique d’organisation à grande échelle.Azure Dedicated HSM is a specialized service that addresses unique requirements for a specific type of large-scale organization. Ainsi, il est probable que la plupart des clients Azure ne présenteront pas le profil d’utilisation pour ce service.As a result, it's expected that the bulk of Azure customers will not fit the profile of use for this service. Pour eux, le service Azure Key Vault sera plus approprié et économique.Many will find the Azure Key Vault service to be more appropriate and cost effective. Pour vous aider à déterminer l’adéquation à vos besoins, nous avons identifié les critères suivants.To help you decide if it's a fit for your requirements, we've identified the following criteria.

AdéquationBest fit

Le service Azure Dedicated HSM convient plus particulièrement aux scénarios « lift-and-shift » nécessitant un accès direct et unique aux appareils HSM.Azure Dedicated HSM is most suitable for “lift-and-shift” scenarios that require direct and sole access to HSM devices. Voici quelques exemples :Examples include:

  • Migration d'applications locales vers des machines virtuelles AzureMigrating applications from on-premises to Azure Virtual Machines
  • Migration d’applications à partir d’Amazon AWS EC2 vers des machines virtuelles qui utilisent le service AWS Cloud HSM Classic (Amazon n’offre pas ce service aux nouveaux clients)Migrating applications from Amazon AWS EC2 to virtual machines that use the AWS Cloud HSM Classic service (Amazon is not offering this service to new customers)
  • Exécution de logiciels de série, tels qu’Apache/Ngnix SSL Offload, Oracle TDE et ADCS, sur des machines virtuelles AzureRunning shrink-wrapped software such as Apache/Ngnix SSL Offload, Oracle TDE, and ADCS in Azure Virtual Machines

InadéquationNot a fit

Le service Azure Dedicated HSM n’est pas adapté au type de scénario suivant : Les services cloud Microsoft qui prennent en charge le chiffrement avec des clés gérées par le client (tels qu’Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store, Stockage Azure, Azure SQL Database et Clé client Office 365) ne sont pas intégrés à Azure Dedicated HSM.Azure Dedicated HSM is not a good fit for the following type of scenario: Microsoft cloud services that support encryption with customer-managed keys (such as Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store, Azure Storage, Azure SQL Database, and Customer Key for Office 365) that are not integrated with Azure Dedicated HSM.

Cela dépendIt depends

L’adéquation du service Azure Dedicated HSM dépend d’une série potentiellement complexe d’exigences et de compromis que vous pouvez ou non supporter.Whether Azure Dedicated HSM will work for you depends on a potentially complex mix of requirements and compromises that you can or cannot make. L’exigence FIPS 140-2 de niveau 3 en est un exemple.An example is the FIPS 140-2 Level 3 requirement. Cette exigence est courante et HSM dédié est actuellement la seule option disponible pour y répondre.This requirement is common, and Dedicated HSM is currently the only option for meeting it. Si ces obligations légales ne sont pas pertinentes, vous pouvez alors choisir entre Azure Key Vault et Azure Dedicated HSM.If these mandated requirements aren't relevant, then often it's a choice between Azure Key Vault and Dedicated HSM. Évaluez vos besoins avant de prendre une décision.Assess your requirements before making a decision.

Exemples de situations dans lesquelles vous devrez réfléchir à vos options :Situations in which you will have to weigh your options include:

  • Nouveau code exécuté sur la machine virtuelle Azure d’un clientNew code running in a customer’s Azure virtual machine
  • TDE SQL Server sur une machine virtuelle AzureSQL Server TDE in an Azure virtual machine
  • Chiffrement Stockage Azure côté clientAzure Storage client-side encryption
  • SQL Server et Azure SQL DB Always EncryptedSQL Server and Azure SQL DB Always Encrypted

Étapes suivantesNext steps

Il s’agit d’un service hautement spécialisé.This is a highly specialized service. Par conséquent, nous vous recommandons de vous familiariser avec les concepts clés décrits dans cette documentation, notamment la tarification, le support et les contrats de niveau de service.Therefore, we recommend that you fully understand the key concepts in this documentation set, including pricing, support, and service-level agreements.

Les guides d’intégration Gemalto vous aider à faciliter l’approvisionnement des modules HSM dans un environnement de réseau virtuel existant.The Gemalto integration guides help you facilitate the provisioning of HSMs into an existing virtual network environment. Des guides pratiques sont également à votre disposition pour vous aider à déterminer la manière de configurer votre architecture de déploiement.There are also are how-to guides for helping you determine how to set up your deployment architecture.