O que é o Azure Dedicated HSM?

  • Artigo

O Azure Dedicated HSM é um serviço do Azure que fornece armazenamento de chaves criptográficas no Azure. O HSM dedicado cumpre os requisitos de segurança mais rigorosos. É a solução ideal para os clientes que necessitam de dispositivos validados por FIPS 140-2 de Nível 3 e controlo completo e exclusivo da aplicação HSM.

Os dispositivos HSM são implementados globalmente em várias regiões do Azure. Podem ser facilmente aprovisionados como um par de dispositivos e configurados para elevada disponibilidade. Os dispositivos HSM também podem ser aprovisionados em todas as regiões para garantir a ativação pós-falha a nível regional. A Microsoft fornece o serviço HSM dedicado através das aplicações A790 do modelo A790 da Thales Luna 7 . Este dispositivo oferece os níveis mais elevados de opções de desempenho e integração criptográfica.

Depois de aprovisionados, os dispositivos HSM são ligados diretamente à rede virtual de um cliente. Também podem ser acedidos por ferramentas de gestão e aplicações no local quando configura a conectividade VPN ponto a site ou site a site. Os clientes obtêm o software e a documentação para configurar e gerir dispositivos HSM a partir do portal de suporte ao cliente da Thales.

Porquê utilizar o HSM dedicado do Azure?

Conformidade com o FIPS 140-2 Nível 3

Muitas organizações têm regulamentos do setor rigorosos que ditam que as chaves criptográficas têm de ser armazenadas em HSMs validados de Nível 3 fiPS 140-2 . O Azure Dedicated HSM e uma nova oferta de inquilino único, o Azure Key Vault Managed HSM, ajudam clientes de vários segmentos do setor, como a indústria de serviços financeiros, agências governamentais e outras pessoas a cumprir os requisitos do FIPS 140-2 Nível 3. Enquanto o serviço de Key Vault do Azure multi-inquilino da Microsoft utiliza atualmente HSMs validados de Nível 2 FIPS 140-2.

Dispositivos de inquilino único

Muitos dos nossos clientes têm um requisito para o inquilino único do dispositivo de armazenamento criptográfico. O serviço HSM dedicado do Azure permite-lhes aprovisionar um dispositivo físico a partir de um dos datacenters distribuídos globalmente pela Microsoft. Depois de ser aprovisionado a um cliente, apenas esse cliente pode aceder ao dispositivo.

Controlo administrativo total

Muitos clientes necessitam de controlo administrativo total e acesso exclusivo ao respetivo dispositivo para fins administrativos. Após o aprovisionamento de um dispositivo, apenas o cliente tem acesso administrativo ou ao nível da aplicação ao dispositivo.

A Microsoft não tem controlo administrativo depois de o cliente aceder ao dispositivo pela primeira vez, altura em que o cliente altera a palavra-passe. A partir daí, o cliente é um verdadeiro inquilino único com controlo administrativo total e capacidade de gestão de aplicações. A Microsoft mantém o acesso ao nível do monitor (não uma função de administrador) para telemetria através da ligação de porta de série. Este acesso abrange monitores de hardware, como temperatura, estado de funcionamento da fonte de alimentação e estado de funcionamento da ventoinha.

O cliente pode desativar esta monitorização necessária. No entanto, se a desativarem, não receberão alertas proativos de estado de funcionamento da Microsoft.

Elevado desempenho

O dispositivo Thales foi selecionado para este serviço por vários motivos. Oferece uma ampla gama de suporte de algoritmos criptográficos, uma variedade de sistemas operativos suportados e um amplo suporte de API. O modelo específico implementado oferece um excelente desempenho com 10 000 operações por segundo para RSA-2048. Suporta 10 partições que podem ser utilizadas para instâncias de aplicações exclusivas. Este dispositivo é um dispositivo com baixa latência, capacidade elevada e débito elevado.

Oferta exclusiva baseada na cloud

A Microsoft reconheceu uma necessidade específica de um conjunto exclusivo de clientes. É o único fornecedor de cloud que oferece aos novos clientes um serviço HSM dedicado que é validado pelo FIPS 140-2 Nível 3 e oferece uma extensão tão grande da integração de aplicações no local e com base na cloud.

O Azure Dedicated HSM é adequado para si?

O Azure Dedicated HSM é um serviço especializado que aborda requisitos exclusivos para um tipo específico de organização em grande escala. Como resultado, espera-se que a maior parte dos clientes do Azure não se ajuste ao perfil de utilização deste serviço. Muitos acharão o Azure Key Vault ou o serviço HSM Gerido do Azure mais adequado e rentável. Para o ajudar a decidir se é adequado para os seus requisitos, identificámos os seguintes critérios.

Melhor ajuste

O HSM Dedicado do Azure é mais adequado para cenários de "lift-and-shift" que requerem acesso direto e exclusivo a dispositivos HSM. Os exemplos incluem:

  • Migrar aplicações do local para o Azure Máquinas Virtuais
  • Migrar aplicações do Amazon AWS EC2 para máquinas virtuais que utilizam o serviço Clássico do AWS Cloud HSM (a Amazon não está a oferecer este serviço a novos clientes)
  • Executar software encapsulado com redução, como Apache/Ngnix SSL Offload, Oracle TDE e ADCS no Azure Máquinas Virtuais

Não é um ajuste

O HSM Dedicado do Azure não é adequado para o seguinte tipo de cenário: serviços cloud da Microsoft que suportam encriptação com chaves geridas pelo cliente (como o Azure Information Protection, a Encriptação de Discos do Azure, o Azure Data Lake Store, o Armazenamento do Azure, a Base de Dados SQL do Azure e a Chave de Cliente para Office 365) que não estão integrados no HSM Dedicado do Azure.

Nota

Os clientes têm de ter um Gestor de Contas Microsoft atribuído e cumprir o requisito monetário de cinco milhões de USD ($5M) ou superior em receitas do Azure consolidadas globalmente anualmente para se qualificarem para integração e utilização do HSM Dedicado do Azure.

Depende

Se o HSM Dedicado do Azure irá funcionar para si depende de uma combinação potencialmente complexa de requisitos e compromissos que pode ou não fazer. Um exemplo é o requisito FIPS 140-2 Nível 3. Este requisito é comum e o HSM Dedicado do Azure e uma nova oferta de inquilino único, o Azure Key Vault Managed HSM são atualmente as únicas opções para o cumprir. Se estes requisitos obrigatórios não forem relevantes, muitas vezes é uma escolha entre o Azure Key Vault e o Azure Dedicated HSM. Avalie os seus requisitos antes de tomar uma decisão.

As situações em que terá de ponderar as suas opções incluem:

  • Novo código em execução na máquina virtual do Azure de um cliente
  • SQL Server TDE numa máquina virtual do Azure
  • Encriptação do lado do cliente do Armazenamento do Azure
  • SQL Server e SQL do Azure Always Encrypted da BD

Passos seguintes

Este é um serviço altamente especializado. Por conseguinte, recomendamos que compreenda totalmente os principais conceitos neste conjunto de documentação, incluindo preços, suporte e contratos de nível de serviço.

Os guias de integração da Thales ajudam-no a facilitar o aprovisionamento de HSMs num ambiente de rede virtual existente. Também existem guias de procedimentos para o ajudar a determinar como configurar a arquitetura de implementação.