Implementatiearchitectuur van Azure Dedicated HSM
Azure Dedicated HSM biedt cryptografische sleutelopslag in Azure. Het voldoet aan strenge beveiligingsvereisten. Klanten profiteren van het gebruik van Azure Dedicated HSM als ze:
- Moet voldoen aan FIPS 140-2 Level-3-certificering
- Vereisen dat ze exclusieve toegang hebben tot de HSM
- moet volledige controle hebben over hun apparaten
De HMS's worden gedistribueerd over de datacenters van Microsoft en kunnen eenvoudig worden ingericht als een paar apparaten als basis van een oplossing met hoge beschikbaarheid. Ze kunnen ook worden geïmplementeerd in verschillende regio's voor een flexibele oplossing voor noodscenario's. De regio's Dedicated HSM momenteel beschikbaar zijn, kunnen worden gecontroleerd met behulp van de pagina Producten per regio.
- VS - oost
- VS - oost 2
- VS - west
- VS - west 2
- VS - zuid-centraal
- Azië - zuidoost
- Azië - oost
- India - centraal
- India - zuid
- Japan - oost
- Japan - west
- Europa - noord
- Europa -west
- Verenigd Koninkrijk Zuid
- Verenigd Koninkrijk West
- Canada - midden
- Australië - oost
- Australië - zuidoost
- Zwitserland - noord
- Zwitserland - west
- VS (overheid) - Virginia
- VS (overheid) - Texas
In elk van deze regio's zijn HSM-racks geïmplementeerd in twee onafhankelijke datacenters of ten minste twee onafhankelijke beschikbaarheidszones. South Azië - oost heeft drie beschikbaarheidszones en VS - oost 2 twee. Er zijn in totaal drieëntwintig regio's in Europa, Azië en Noord-Amerika die de Dedicated HSM bieden. Zie de officiële informatie over Azure-regio's voor meer informatie over Azure-regio's. Sommige ontwerpfactoren voor een Dedicated HSM-gebaseerde oplossing zijn locatie/latentie, hoge beschikbaarheid en ondersteuning voor andere gedistribueerde toepassingen.
Locatie apparaat
De optimale HSM-apparaatlocatie bevindt zich in de dichtstbijzijnde nabijheid van de toepassingen die cryptografische bewerkingen uitvoeren. In de regio wordt verwacht dat de latentie milliseconden van één cijfer is. Regio-overschrijdende latentie kan 5 tot 10 keer hoger zijn.
Hoge beschikbaarheid
Voor hoge beschikbaarheid moet een klant twee HSM-apparaten gebruiken in een regio die zijn geconfigureerd met thales-software als een combinatie van hoge beschikbaarheid. Dit type implementatie garandeert de beschikbaarheid van sleutels als één apparaat een probleem ervaart waardoor het geen sleutelbewerkingen kan verwerken. Het vermindert ook het risico bij het uitvoeren van onderbrekings-/herstelonderhoud, zoals vervanging van stroomvoorziening. Het is belangrijk dat een ontwerp rekening houdt met elk soort regionale storing. Regionale fouten kunnen optreden wanneer zich natuurrampen, zoals orkanen, overstromingen of aardbevingen, voor doen. Deze typen gebeurtenissen moeten worden beperkt door HSM-apparaten in terichten in een andere regio. Apparaten die in een andere regio zijn geïmplementeerd, kunnen aan elkaar worden gekoppeld via Thales-softwareconfiguratie. Dit betekent dat de minimale implementatie voor een oplossing met hoge beschikbare en flexibele noodoplossing vier HSM-apparaten in twee regio's is. Lokale redundantie en redundantie tussen regio's kunnen worden gebruikt als basislijn om verdere implementaties van HSM-apparaten toe te voegen ter ondersteuning van latentie, capaciteit of om te voldoen aan andere toepassingsspecifieke vereisten.
Ondersteuning voor gedistribueerde toepassingen
Dedicated HSM apparaten worden doorgaans geïmplementeerd ter ondersteuning van toepassingen die bewerkingen voor sleutelopslag en het ophalen van sleutels moeten uitvoeren. Dedicated HSM apparaten hebben 10 partities voor ondersteuning van onafhankelijke toepassingen. Apparaatlocatie moet zijn gebaseerd op een holistische weergave van alle toepassingen die de service moeten gebruiken.
Volgende stappen
Zodra de implementatiearchitectuur is vastgesteld, worden de meeste configuratieactiviteiten voor het implementeren van die architectuur geleverd door Thales. Dit omvat zowel apparaatconfiguratie als toepassingsintegratiescenario's. Gebruik de Thales-portal voor klantondersteuning en download de handleidingen voor beheer en configuratie voor meer informatie. De Microsoft-partnersite heeft diverse integratiehandleidingen. Het is raadzaam dat alle belangrijke concepten van de service, zoals hoge beschikbaarheid en beveiliging, goed worden begrepen voordat u apparaten inrichten of toepassingen ontwerpt en implementatie. Meer onderwerpen op conceptniveau: