Mi az az Azure Dedicated HSM?
Az Azure Dedicated HSM egy Azure-szolgáltatás, amely titkosítási kulcstárolót biztosít az Azure-ban. A dedikált HSM megfelel a legszigorúbb biztonsági követelményeknek. Ez az ideális megoldás azoknak az ügyfeleknek, akik FIPS 140-2 szintű, 3-érvényesítésű eszközöket igényelnek, és teljes körűen és kizárólagosan felügyelik a HSM-berendezést.
A HSM-eszközök globálisan több Azure-régióban vannak üzembe helyezve. Könnyen kiépítheti őket eszközpárként, és konfigurálható magas rendelkezésre állásra. A HSM-eszközök régiók között is kiépíthetők a regionális szintű feladatátvétel elleni védelem érdekében. A Microsoft a Thales Luna 7 A7 HSM modell A790 készülékekkel biztosítja a dedikált HSM szolgáltatást. Ez az eszköz a legmagasabb szintű teljesítményt és titkosítási integrációs lehetőségeket kínálja.
A kiépítésük után a HSM-eszközök közvetlenül csatlakoznak az ügyfél virtuális hálózatához. Helyszíni alkalmazásokkal és felügyeleti eszközökkel is elérhetők, amikor pont–hely vagy helyek közötti VPN-kapcsolatot konfigurál. Az ügyfelek a HSM-eszközök konfigurálására és kezelésére szolgáló szoftvert és dokumentációt a Thales ügyfélszolgálati portáljáról szerezhetik be.
Miért érdemes az Azure Dedicated HSM-et használni?
FIPS 140-2 Level-3 megfelelőség
Számos szervezet szigorú iparági szabályozásokkal rendelkezik, amelyek azt írják elő, hogy a titkosítási kulcsokat FIPS 140-2 3. szintű ellenőrzött HSM-ben kell tárolni. Az Azure Dedicated HSM és egy új, egybérlős ajánlat, az Azure Key Vault Managed HSM segít a különböző iparági szegmensekből, például a pénzügyi szolgáltatási ágazatból, a kormányzati szervekből és másokból származó ügyfeleknek a FIPS 140-2 Level-3 követelményeinek való megfelelésben. Míg a Microsoft több-bérlős Azure Key Vault szolgáltatása jelenleg a FIPS 140-2 2. szintű ellenőrzött HSM-eket használja.
Egybérlős eszközök
Számos ügyfelünknek követelménye, hogy a titkosítási tárolóeszköz egyetlen bérlős legyen. Az Azure Dedicated HSM szolgáltatás lehetővé teszi számukra, hogy fizikai eszközt építsenek ki a Microsoft egyik globálisan elosztott adatközpontjából. Miután kiépítette egy ügyfél számára, csak az ügyfél férhet hozzá az eszközhöz.
Teljes körű rendszergazdai felügyelet
Sok ügyfélnek teljes körű felügyeleti vezérlésre és az eszközhöz való kizárólagos hozzáférésre van szüksége adminisztrációs célokra. Az eszköz kiépítése után csak az ügyfél rendelkezik rendszergazdai vagy alkalmazásszintű hozzáféréssel az eszközhöz.
A Microsoft nem rendelkezik rendszergazdai ellenőrzéssel, miután az ügyfél első alkalommal hozzáfér az eszközhöz, és ekkor az ügyfél megváltoztatja a jelszót. Ettől a ponttól kezdve az ügyfél valódi egybérlős, teljes körű felügyeleti vezérléssel és alkalmazásfelügyeleti képességgel. A Microsoft monitorszintű hozzáférést tart fenn (nem rendszergazdai szerepkört) a soros portkapcsolaton keresztüli telemetriai adatokhoz. Ez a hozzáférés olyan hardvermonitorokra terjed ki, mint a hőmérséklet, az energiaellátás állapota és a ventilátor állapota.
Az ügyfél szabadon letilthatja ezt a szükséges monitorozást. Ha azonban letiltják, nem kapnak proaktív állapotriasztásokat a Microsofttól.
Nagy teljesítmény
A Thales-eszköz többféle okból lett kiválasztva ehhez a szolgáltatáshoz. A titkosítási algoritmusok széles körét támogatja, számos támogatott operációs rendszert és széles körű API-támogatást nyújt. Az üzembe helyezett konkrét modell kiváló teljesítményt nyújt másodpercenként 10 000 művelettel az RSA-2048-hoz. 10 partíciót támogat, amelyek egyedi alkalmazáspéldányokhoz használhatók. Ez az eszköz alacsony késésű, nagy kapacitású és nagy átviteli sebességű eszköz.
Egyedi felhőalapú ajánlat
A Microsoft felismerte, hogy egyedi ügyfélcsoportra van szükség. Ez az egyetlen felhőszolgáltató, amely az új ügyfelek számára dedikált HSM-szolgáltatást kínál, amely FIPS 140-2 3. szintű, és ilyen mértékben biztosítja a felhőalapú és helyszíni alkalmazások integrációját.
Önnek megfelelő az Azure Dedicated HSM?
Az Azure Dedicated HSM egy speciális szolgáltatás, amely egy adott típusú nagy méretű szervezet egyedi követelményeinek felel meg. Emiatt várható, hogy az Azure-ügyfelek nagy része nem fog beleférni a szolgáltatás használati profiljába. Sokan találják megfelelőbbnek és költséghatékonyabbnak az Azure Key Vault vagy az Azure Managed HSM szolgáltatást. Annak eldöntéséhez, hogy megfelel-e a követelményeknek, a következő feltételeket határoztuk meg.
Legjobb illesztés
Az Azure Dedicated HSM a legmegfelelőbb olyan "átemeléses" forgatókönyvekhez, amelyek közvetlen és kizárólagos hozzáférést igényelnek a HSM-eszközökhöz. Példák:
- Alkalmazások migrálása a helyszínről az Azure Virtual Machines
- Alkalmazások migrálása az Amazon AWS EC2-ről a klasszikus AWS Cloud HSM szolgáltatást használó virtuális gépekre (az Amazon nem kínálja ezt a szolgáltatást az új ügyfeleknek)
- Zsugorított szoftver, például Apache/Ngnix SSL-kiszervezés, Oracle TDE és ADCS futtatása az Azure Virtual Machines
Nem illeszkedik
Az Azure Dedicated HSM nem felel meg a következő típusú forgatókönyveknek: Olyan Microsoft-felhőszolgáltatások, amelyek támogatják az ügyfél által felügyelt kulcsokkal (például az Azure Information Protection, az Azure Disk Encryption, az Azure Data Lake Store, az Azure Storage, az Azure SQL Database és a Office 365 ügyfélkulcs) történő titkosítást, amelyek nincsenek integrálva az Azure Dedicated HSM-sel.
Megjegyzés
Az ügyfeleknek rendelkezniük kell egy hozzárendelt Microsoft-fiókkezelővel, és meg kell felelniük az Azure-beli dedikált HSM előkészítésére és használatára való jogosultsághoz évente lekötött teljes Azure-bevételhez tartozó ötmillió (5 M USD) vagy annál nagyobb pénzügyi követelménynek.
Attól függ
Az, hogy az Azure Dedicated HSM működni fog-e Ön helyett, a követelmények és a kompromisszumok esetleg összetett kombinációjától függ, amelyeket nem tud vagy nem tud létrehozni. Ilyen például a FIPS 140-2 3. szintű követelménye. Ez a követelmény gyakori, és az Azure Dedicated HSM és egy új egybérlős ajánlat, az Azure Key Vault Managed HSM jelenleg az egyetlen lehetőség a teljesítésére. Ha ezek a kötelező követelmények nem relevánsak, akkor gyakran az Azure Key Vault és az Azure Dedicated HSM között választhat. A döntés előtt mérje fel a követelményeket.
Olyan helyzetek, amelyekben mérlegelnie kell a lehetőségeket:
- Új kód, amely egy ügyfél Azure-beli virtuális gépén fut
- TDE SQL Server Azure-beli virtuális gépen
- Azure Storage ügyféloldali titkosítás
- SQL Server és Azure SQL DB-Always Encrypted
Következő lépések
Ez egy speciális szolgáltatás. Ezért azt javasoljuk, hogy teljes mértékben megértse a jelen dokumentációban szereplő fő fogalmakat, beleértve a díjszabást, a támogatást és a szolgáltatói szerződéseket.
A Thales integrációs útmutatói segítenek megkönnyíteni a HSM-ek meglévő virtuális hálózati környezetbe való kiépítését. Az üzembehelyezési architektúra beállításának meghatározásához útmutatók is találhatók.