O que é o HSM Gerido do Azure Key Vault?

O Azure Key Vault Managed HSM (Hardware Security Module) é um serviço de nuvem totalmente gerido, altamente disponível, de um único inquilino e compatível com padrões que lhe permite proteger chaves criptográficas para as suas aplicações em nuvem, utilizando HSMs validados FIPS 140-2 Nível 3.

Para obter informações sobre preços, consulte a secção De Piscinas HSM Geridas na página de preços Key Vault Azure. Para tipos de chaves suportados, consulte sobre as teclas.

Nota

O termo "Instância HSM gerida" é sinónimo de "Pool HSM Gerido". Para evitar confusões, utilizamos "Caso HSM gerido" ao longo destes artigos.

Porquê utilizar o HSM gerido?

Totalmente gerido, altamente disponível, único inquilino HSM como um serviço

  • Totalmente gerido: O fornecimento, configuração, remendos e manutenção do HSM são manuseados pelo serviço.
  • Altamente disponível e resiliente de zona (onde as zonas de disponibilidade são suportadas): Cada cluster HSM é composto por múltiplas divisórias HSM que se estendem por pelo menos duas zonas de disponibilidade. Se o hardware falhar, as divisórias dos membros do seu cluster HSM serão automaticamente migradas para nós saudáveis.
  • Inquilino único: Cada instância gerida do HSM é dedicada a um único cliente e consiste num conjunto de múltiplas divisórias HSM. Cada cluster HSM utiliza um domínio de segurança específico do cliente que isola criptograficamente o cluster HSM de cada cliente.

Controlo de acesso, melhor conformidade com a proteção de & dados

  • Gestão centralizada de chaves: Gerencie chaves críticas e de alto valor em toda a sua organização num só local. Com permissões granulares por chave, controle o acesso a cada chave no princípio do "acesso menos privilegiado".
  • Controlo de acesso isolado: O modelo de controlo de acesso "local RBAC" gerido do HSM permite que os administradores de clusters HSM designados tenham controlo total sobre os HSMs que mesmo os administradores do grupo de gestão, subscrição ou grupo de recursos não podem substituir.
  • Pontos finais privados: Utilize pontos finais privados para ligar de forma segura e privada ao HSM gerido a partir da sua aplicação em execução numa rede virtual.
  • HSMs validados fips 140-2 Nível 3: Proteja os seus dados e cumpra os requisitos de conformidade com os HSMs validados de FIPS (Federal Information Protection Standard) 140-2 Nível 3. Os HSMs geridos utilizam adaptadores HSM da Marvell LiquidSecurity.
  • Monitor e auditoria: totalmente integrado com monitor Azure. Obtenha registos completos de toda a atividade através do Azure Monitor. Utilize a Azure Log Analytics para análise e alertas.
  • Residência de dados: A Gerida HSM não armazena/processa os dados dos clientes fora da região onde o cliente implementa a instância HSM.

Integrado com serviços Azure e Microsoft PaaS/SaaS

Usa as mesmas interfaces de API e gestão como Key Vault

  • Migrar facilmente as suas aplicações existentes que usam um cofre (um multi-inquilino) para utilizar HSMs geridos.
  • Utilize os mesmos padrões de desenvolvimento e implementação de aplicações para todas as suas aplicações, independentemente da solução de gestão chave em uso: cofres multi-inquilinos ou HSMs geridos por um único inquilino.

Chaves de importação dos seus HSMs no local

  • Gerencie as chaves protegidas pelo HSM no seu HSM no local e importe-as de forma segura no HSM gerido.

Passos seguintes