Empfehlen, wann ein dediziertes Hardwaresicherheitsmodul (HSM) verwendet werden soll
Azure Dedicated HSM ist ein Azure-Dienst, der Speicherung von kryptografischen Schlüsseln in Azure bietet. Dedicated HSM erfüllt die strengsten Sicherheitsanforderungen. Es ist die optimale Lösung für Kunden, die Geräte mit der Zertifizierung „FIPS 140-2 Level 3“ sowie die vollständige und uneingeschränkte Kontrolle über die HSM-Appliance benötigen.
HSM-Geräte werden weltweit über mehrere Azure-Regionen hinweg bereitgestellt. Sie können einfach als ein Gerätepaar bereitgestellt und für Hochverfügbarkeit konfiguriert werden. HSM-Geräte können zum Schutz vor regionalen Ausfällen auch regionsübergreifend bereitgestellt werden. Microsoft stellt den Dedicated HSM-Dienst mithilfe von Geräten vom Typ Thales Luna 7 HSM Modell A790 bereit. Dieses Gerät bietet ein Höchstmaß an Leistung und kryptografischen Integrationsoptionen.
Nachdem sie bereitgestellt wurden, sind die HSM-Geräte direkt mit dem virtuellen Netzwerk eines Kunden verbunden. Auf sie können auch lokale Anwendungen und Verwaltungstools zugreifen, wenn Sie Point-to-Site- oder Site-to-Site-VPN-Konnektivität konfigurieren. Kunden erhalten die Software und die Dokumentation für die Konfiguration und Verwaltung von HSM-Geräten über das Thales-Portal für den Kundensupport.
Argumente für die Verwendung von Azure Dedicated HSM
Konformität mit „FIPS 140-2 Level 3“
Aufgrund strenger branchenspezifischer Vorschriften müssen in vielen Organisationen die kryptografischen Schlüssel in HSMs gespeichert werden, die gemäß FIPS 140-2 Level 3 überprüft wurden. Azure Dedicated HSM und das neue Einzelmandantangebot Verwaltetes Azure Key Vault-HSM unterstützen Kunden aus verschiedenen Branchensegmenten (etwa Finanzdienstleister, Behörden usw.) dabei, die Anforderungen von „FIPS 140-2 Level-3“ zu erfüllen. Der mehrinstanzenfähige Azure Key Vault-Dienst von Microsoft verwendet nach „FIPS 140-2 Level 2“ geprüfte HSMs.
Geräte mit nur einem Mandanten
Bei vielen unserer Kunden darf das kryptografische Speichergerät nur über einen einzelnen Mandanten verfügen. Der Dedicated HSM-Dienst ermöglicht die Bereitstellung eines physischen Geräts über eines der weltweit verteilten Datencenter von Microsoft. Nach der Bereitstellung für einen Kunden kann nur noch dieser Kunde auf das Gerät zugreifen.
Vollständige administrative Kontrolle
Viele Kunden benötigen die vollständige administrative Kontrolle und den alleinigen Zugriff auf ihr Gerät für administrative Zwecke. Nachdem ein Gerät bereitgestellt wurde, besitzt nur noch der jeweilige Kunde Zugriff auf Administrator- oder Anwendungsebene.
Microsoft verfügt über keinerlei administrative Kontrolle, nachdem der Kunde zum ersten Mal auf das Gerät zugegriffen und das Kennwort geändert hat. Ab diesem Zeitpunkt ist der Kunde ein echter einzelner Mandant mit vollständiger administrativer Kontrolle und uneingeschränkter Anwendungsverwaltung. Microsoft behält den Zugriff auf die Telemetrie über die serielle Schnittstelle auf Überwachungsebene (keine Administratorrolle) bei. Dieser Zugriff umfasst Hardwareüberwachungen wie Temperatur, Integrität der Stromversorgung und Lüfterzustand.
Dem Kunden steht es frei, diese erforderliche Überwachung zu deaktivieren. Wenn er sie jedoch deaktiviert, erhält er keine proaktiven Integritätswarnungen von Microsoft.
Hohe Leistung
Das Thales-Gerät wurde aus verschiedenen Gründen für diesen Dienst gewählt. Es bietet eine breite Palette an kryptographischer Algorithmusunterstützung, eine Vielzahl von unterstützten Betriebssystemen und eine breite API-Unterstützung. Das bereitgestellte Modell bietet eine ausgezeichnete Leistung von 10.000 Vorgängen pro Sekunde für RSA-2048. Es unterstützt zehn Partitionen, die jeweils für individuelle Anwendungsinstanzen verwendet werden können. Dieses Gerät zeichnet sich durch geringe Latenz, hohe Kapazität und hohen Durchsatz aus.
Einzigartiges cloudbasiertes Angebot
Microsoft hat bei einigen Kunden einen ganz spezifischen Bedarf ausgemacht. Microsoft ist der einzige Cloudanbieter, der Neukunden einen Dienst für dedizierte HSMs bietet, der die Anforderungen von „FIPS 140-2 Level 3“ erfüllt und über eine so umfangreiche Integration für cloudbasierte und lokale Anwendungen verfügt.
Ist der Azure-Dienst für dedizierte HSMs das Richtige für Sie?
Azure Dedicated HSM ist ein spezieller Dienst, der die individuellen Anforderungen eines ganz bestimmten Typs großer Organisationen erfüllt. Der Großteil der Azure-Kunden wird daher voraussichtlich keine Verwendung für diesen Dienst haben. In den meisten Fällen dürfte der Azure Key Vault-Dienst oder der Azure Managed HSM-Dienst besser geeignet und kostengünstiger sein. Damit Sie leichter entscheiden können, ob der Dienst für Sie in Frage kommt, haben wir für Sie die folgenden Kriterien zusammengestellt.
Optimal geeignet
Azure Dedicated HSM eignet sich am besten für Lift & Shift-Szenarien, die einen direkten und alleinigen Zugriff auf HSM-Geräte erfordern. Beispiele:
- Migration von Anwendungen aus lokalen Systemen zu Azure Virtual Machines
- Migrieren von Anwendungen von Amazon AWS EC2 zu Virtual Machines mit dem Dienst „AWS Cloud HSM Classic“ (Amazon bietet diesen Dienst nicht für Neukunden an)
- Ausführen von Software aus dem Handel (etwa Apache/Ngnix SSL Offload, Oracle TDE und ADCS) in Azure Virtual Machines
Nicht geeignet
Azure Dedicated HSM ist für das folgende Szenario nicht gut geeignet: Für Microsoft-Clouddienste, die die Verschlüsselung mit kundenseitig verwalteten Schlüsseln unterstützen (etwa Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store, Azure Storage, Azure SQL-Datenbank, Kundenschlüssel in Office 365), steht keine Integration mit Azure Dedicated HSM zur Verfügung.
Hinweis
Kunden müssen über einen zugewiesenen Microsoft-Kundenbetreuer verfügen und die finanzielle Anforderung von fünf Millionen USD Azure-Gesamtumsatz pro Jahr oder mehr erfüllen, um sich für das Onboarding und die Nutzung von Azure Dedicated HSM zu qualifizieren.
Das kommt darauf an
Ob Azure Dedicated HSM für Sie funktioniert, hängt von einer potenziell komplexen Mischung aus Anforderungen und Kompromissen ab, die Sie eingehen können oder auch nicht. Ein Beispiel ist die FIPS 140-2 Level 3-Anforderung. Diese Anforderung ist üblich, und derzeit wird sie nur von Azure Dedicated HSM und dem neuen Einzelmandantangebot Verwaltetes HSM von Azure Key Vault erfüllt. Wenn diese gesetzlichen Anforderungen nicht relevant sind, besteht häufig die Wahl zwischen Azure Key Vault und Azure Dedicated HSM. Werten Sie Ihre Anforderungen vor einer Entscheidung aus.
Zu den Situationen, in denen Sie Ihre Optionen abwägen müssen, gehören unter anderem:
- Neuer Code, der auf einem virtuellen Azure-Computer eines Kunden ausgeführt wird
- TDE von SQL Server auf einem virtuellen Azure-Computer
- Clientseitige Verschlüsselung von Azure Storage
- Always Encrypted für SQL Server und Azure SQL-Datenbank