Distributionsarkitektur för Azure Dedicated HSM

  • Artikel
  • 2 minuter för att läsa

Azure Dedicated HSM tillhandahåller lagring av kryptografiska nycklar i Azure. Den uppfyller stränga säkerhetskrav. Kunder kan dra nytta av Azure Dedicated HSM om de:

HSM:erna distribueras över Microsofts datacenter och kan enkelt etableras som ett par enheter som grund för en lösning med hög tillgång. De kan också distribueras mellan regioner för en motståndskraftig katastroflösning. De regioner Dedicated HSM tillgängliga för närvarande kan kontrolleras på sidan Produkter efter region.

  • East US
  • USA, östra 2
  • USA, västra
  • USA, västra 2
  • USA, södra centrala
  • Sydostasien
  • Asien, östra
  • Indien, centrala
  • Södra Indien
  • Japan, östra
  • Japan, västra
  • Europa, norra
  • Europa, västra
  • Storbritannien, södra
  • Storbritannien, västra
  • Kanada, centrala
  • Australien, östra
  • Australien, sydöstra
  • Schweiz, norra
  • Schweiz, västra
  • US Gov, Virginia
  • US Gov, Texas

Var och en av dessa regioner har HSM-rack distribuerade i antingen två oberoende datacenter eller minst två oberoende tillgänglighetszoner. Asien, sydöstra har tre tillgänglighetszoner och USA, östra 2 har två. Det finns totalt 23 regioner i Europa, Asien och Nordamerika som erbjuder Dedicated HSM tjänst. Mer information om Azure-regioner finns i den officiella informationen om Azure-regioner. Vissa designfaktorer för Dedicated HSM lösning är plats/svarstid, hög tillgänglighet och stöd för andra distribuerade program.

Enhetsplats

Optimal HSM-enhetsplats ligger nära de program som utför kryptografiska åtgärder. Svarstiden i regionen förväntas vara ensiffriga millisekunder. Svarstiden mellan regioner kan vara 5 till 10 gånger högre än så.

Hög tillgänglighet

För att uppnå hög tillgänglighet måste en kund använda två HSM-enheter i en region som är konfigurerade med Thales-programvara som ett par med hög tillgänglighet. Den här typen av distribution säkerställer tillgängligheten för nycklar om en enskild enhet har problem som hindrar den från att bearbeta nyckelåtgärder. Det minskar också avsevärt risken vid underhåll av avbrott/korrigering, till exempel ersättning av strömförsörjning. Det är viktigt att en design tar hänsyn till alla typer av fel på regional nivå. Fel på regional nivå kan inträffa vid naturkatastrofer som orkaner, översvämningar eller jordbävningar. Dessa typer av händelser bör undvikas genom att etablera HSM-enheter i en annan region. Enheter som distribueras i en annan region kan kopplas ihop via Thales programvarukonfiguration. Det innebär att den lägsta distributionen för en hög tillgänglig och katastroftålig lösning är fyra HSM-enheter i två regioner. Lokal redundans och redundans mellan regioner kan användas som baslinje för att lägga till ytterligare HSM-enhetsdistributioner för att stödja svarstider, kapacitet eller för att uppfylla andra programspecifika krav.

Stöd för distribuerade program

Dedicated HSM-enheter distribueras vanligtvis som stöd för program som behöver utföra åtgärder för nyckellagring och nyckelhämtning. Dedicated HSM-enheter har 10 partitioner för oberoende programstöd. Enhetens plats bör baseras på en holistisk vy över alla program som behöver använda tjänsten.

Nästa steg

När distributionsarkitekturen har fastställts tillhandahålls de flesta konfigurationsaktiviteter för att implementera den arkitekturen av Thales. Detta omfattar både enhetskonfiguration och programintegreringsscenarier. Mer information finns i Thales kundsupportportal och ladda ned administrations- och konfigurationsguider. Microsofts partnerwebbplats har en mängd olika integreringsguider. Vi rekommenderar att alla viktiga begrepp för tjänsten, till exempel hög tillgänglighet och säkerhet till exempel, är väl förstådda innan enhetsetablering eller programdesign och distribution. Ytterligare avsnitt om konceptnivå: