Che cos'è il modulo di protezione hardware gestito di Azure Key Vault?

Azure Key Vault Managed HSM (Hardware Security Module) è un servizio cloud conforme agli standard e completamente gestito, a disponibilità elevata e a disponibilità elevata che consente di proteggere le chiavi crittografiche per le applicazioni cloud, usando HSMS convalidati FIPS 140-2 Livello 3.

Per informazioni sui prezzi, vedere La sezione Pool HSM gestiti nella pagina dei prezzi di Azure Key Vault. Per i tipi di chiavi supportati, vedere Informazioni sulle chiavi.

Nota

Il termine "Istanza HSM gestita" è sinonimo di "Pool HSM gestito". Per evitare confusione, si usa "Istanza di HSM gestita" in questi articoli.

Perché usare il modulo di protezione hardware gestito?

Modulo di protezione hardware come servizio completamente gestito, a disponibilità elevata e a tenant singolo

  • Completamente gestito: le attività di provisioning, configurazione, applicazione di patch e manutenzione del modulo di protezione hardware sono gestite dal servizio.
  • A disponibilità elevata e con resilienza della zona (dove sono supportate le zone di disponibilità): ogni cluster di moduli di protezione hardware è costituito da più partizioni HSM che si estendono su almeno due zone di disponibilità. In caso di guasto dell'hardware, verrà eseguita automaticamente la migrazione delle partizioni membro del cluster di moduli di protezione hardware in nodi integri.
  • A tenant singolo: ogni istanza di modulo di protezione hardware gestito è dedicata a un singolo cliente ed è costituita da un cluster di più partizioni HSM. Ogni cluster di moduli di protezione hardware usa un dominio di sicurezza specifico del cliente, che isola tramite crittografia il cluster di moduli di protezione hardware di ciascun cliente.

Controllo di accesso, conformità avanzata alla protezione dei & dati

  • Gestione centralizzata delle chiavi: le chiavi con valore elevato di importanza critica nell'intera organizzazione vengono gestite in un'unica posizione. Con le autorizzazioni granulari per chiave è possibile controllare l'accesso a ogni chiave in base al principio dei privilegi di accesso minimi.
  • Controllo di accesso isolato: il modello di controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito consente agli amministratori designati del cluster di moduli di protezione hardware di avere il controllo completo su tali moduli e nemmeno gli amministratori del gruppo di gestione, della sottoscrizione o del gruppo di risorse possono aggirare questo controllo.
  • Endpoint privati: usare endpoint privati per connettersi in modo sicuro e privato al modulo di protezione hardware gestito dall'applicazione in esecuzione in una rete virtuale.
  • HSMS convalidati FIPS 140-2 Livello 3: proteggere i dati e soddisfare i requisiti di conformità con FIPS (Federal Information Protection Standard) 140-2 Livello 3 convalidati. I moduli di protezione hardware gestiti usano schede HSM Marvell LiquidSecurity.
  • Monitoraggio e controllo: integrazione completa con Monitoraggio di Azure. È possibile ottenere i log completi di tutte le attività tramite Monitoraggio di Azure e usare Azure Log Analytics per l'analisi e gli avvisi.
  • Residenza dei dati: L'HSM gestito non archivia/elabora i dati dei clienti all'esterno dell'area in cui il cliente distribuisce l'istanza di HSM.

Integrazione con i servizi PaaS/SaaS di Azure e Microsoft

Uso delle stesse interfacce API e di gestione di Key Vault

  • Eseguire facilmente la migrazione delle applicazioni esistenti che usano un insieme di credenziali (un multi-tenant) per usare le macchine virtuali gestite.
  • Usare gli stessi modelli di sviluppo e distribuzione di applicazioni per tutte le applicazioni indipendentemente dalla soluzione di gestione delle chiavi in uso: insiemi di credenziali multi-tenant o moduli di protezione hardware gestiti a tenant singolo.

Importare chiavi dalle macchine virtuali locali

  • Generare chiavi protette da HSM nel modulo di protezione hardware locale e importarle in modo sicuro in HSM gestito.

Passaggi successivi