Что собой представляет управляемое устройство HSM в Azure Key Vault?

Управляемое устройство HSM (Hardware Security Module) в Azure Key Vault — это соответствующая стандартам и полностью управляемая облачная служба с высоким уровнем доступности для одного клиента. С ее помощью можно защищать криптографические ключи для облачных приложений, используя устройства HSM, отвечающие стандартам FIPS 140-2 уровня 3.

Сведения о ценах см. в разделе "Пулы управляемых устройств HSM" на странице цен Azure Key Vault. Поддерживаемые типы ключей см. в статье Сведения о ключах.

Примечание

Термин "экземпляр Управляемого устройства HSM" синонимичен термину "пул Управляемых устройств HSM". Чтобы избежать путаницы, мы используем в этих статьях только вариант "экземпляр Управляемого устройства HSM".

Зачем использовать Управляемое устройство HSM?

Полностью управляемое высокодоступное однотенантное устройство HSM как услуга

  • Полная управляемость. Подготовка, настройка, установка исправлений и обслуживание устройства HSM осуществляется службой.
  • Высокая доступность и устойчивость в пределах зоны (где поддерживаются зоны доступности). Каждый кластер HSM состоит из нескольких разделов HSM, охватывающих по крайней мере две зоны доступности. В случае сбоя оборудования разделы элементов для кластера HSM будут автоматически перенесены на работоспособные узлы.
  • Один клиент. Каждый экземпляр Управляемого устройства HSM выделен для одного арендатора и состоит из кластера с несколькими разделами HSM. Каждый кластер HSM использует отдельный домен безопасности, определяемый клиентом, который криптографически изолирует кластер HSM каждого клиента.

Контроль доступа, улучшенная защита данных и соответствие требованиям

  • Централизованное управление ключами. Управляйте критически важными и ценными ключами организации в одном расположении. Благодаря избирательным разрешениям на ключ вы можете контролировать доступ к каждому ключу по принципу минимального привилегированного доступа.
  • Изолированное управление доступом. Локальная модель управления доступом на основе ролей (RBAC) позволяет назначенным администраторам кластера HSM полностью контролировать устройства HSM, и это не переопределяется даже администраторами групп управления, подписок и групп ресурсов.
  • Частные конечные точки. Используйте частные конечные точки для безопасного частного подключения к управляемому модулю HSM из приложения, запущенного в виртуальной сети.
  • Устройства HSM, отвечающие стандартам FIPS 140-2 уровня 3. Защитите свои данные и соблюдайте требования, определяемые стандартом FIPS 140-2 уровня 3 (Федеральный стандарт по обработке информации), благодаря использованию устройств HSM. Управляемые устройства HSM используют адаптеры HSM от Marvell LiquidSecurity.
  • Мониторинг и аудит — полная интеграция с Azure Monitor. Получайте полные журналы всех действий с помощью Azure Monitor. Используйте Azure Log Analytics для аналитики и оповещений.
  • Место расположения данных — управляемое устройство HSM не хранит и не обрабатывает данные клиентов за пределами региона, в котором клиент развертывает экземпляр HSM.

Интеграция с Azure и службами Microsoft PaaS и SaaS

Использование тех же API и интерфейсов управления, что и для Key Vault

  • Легко переносите существующие приложения, которые используют мультитенантное хранилище, для использования Управляемых устройств HSM.
  • Используйте одни и те же шаблоны разработки и развертывания приложений для всех приложений независимо от используемого решения для управления ключами: мультитенантные хранилища или Управляемые устройства HSM для одного клиента.

Импорт ключей из локальных устройств HSM

  • Создавайте ключи, защищенные модулем HSM, на локальном устройстве HSM и безопасно импортируйте их в Управляемое устройство HSM.

Дальнейшие действия