Recommander quand utiliser un module de sécurité matériel dédié (HSM)
Un HSM dédié Azure est un service Azure qui permet le stockage de clés de chiffrement dans Azure. Un HSM dédié répond aux exigences de sécurité les plus strictes. Il constitue la solution idéale pour les clients qui ont besoin d’appareils certifiés FIPS 140-2 de niveau 3 ainsi que d’un contrôle complet et exclusif des appliances HSM.
Les appareils HSM sont déployés mondialement dans plusieurs régions Azure. Ils peuvent être facilement approvisionnés sous forme de paires d’appareils et être configurés pour la haute disponibilité. Les appareils HSM peuvent également être approvisionnés dans différentes régions afin d’offrir une garantie en cas de basculement au niveau régional. Microsoft fournit le service Dedicated HSM à l’aide des appliances Thales Luna 7 HSM modèle A790. Cet appareil offre les niveaux de performances et les options d’intégration de services de chiffrement les plus élevés.
Une fois approvisionnés, les appareils HSM sont connectés directement au réseau virtuel d’un client. Ils sont également accessibles via des applications et outils de gestion hébergés en local lorsque vous configurez une connectivité VPN point à site ou site à site. Les clients obtiennent les logiciels et la documentation nécessaires pour configurer et gérer les appareils HSM à partir du portail de support technique Thales.
Pourquoi utiliser le service Azure Dedicated HSM ?
Conformité FIPS 140-2 de niveau 3
De nombreuses organisations doivent se soumettre à des réglementations strictes qui imposent le stockage des clés de chiffrement dans des HSM certifiés FIPS 140-2 de niveau 3. Azure Dedicated HSM et une nouvelle offre monolocataire, Azure Key Vault Managed HSM, aident les clients de différents secteurs d’activité, comme la finance et les organismes publics, à respecter les exigences FIPS 140-2 de niveau 3. Le service Azure Key Vault multitenant de Microsoft utilise actuellement des HSM certifiés FIPS 140-2 de niveau 2.
Appareils à locataire unique
La plupart de nos clients n’ont besoin que d’un seul locataire pour l’appareil de stockage de chiffrement. Le service Azure Dedicated HSM autorise l’approvisionnement d’un appareil physique à partir de l’un des centres de données mondialement distribués de Microsoft. Une fois le provisionnement effectué pour un client, seul ce client peut accéder à l’appareil.
Contrôle administratif complet
De nombreux clients exigent un contrôle administratif complet et un accès exclusif sur leur appareil à des fins d’administration. Une fois l’approvisionnement effectué, seul le client dispose d’un accès administratif ou au niveau de l’application à l’appareil.
Microsoft ne dispose d’aucun contrôle d’administration dès lors que le client accède à l’appareil et modifie son mot de passe. À partir de là, le client est un vrai locataire unique disposant d’un contrôle administratif complet et de capacités de gestion des applications. Microsoft ne conserve aucun accès de surveillance (aucun un rôle d’administrateur) pour la télémétrie via une connexion de port série. Cet accès couvre des analyses matérielles telles que la température, le contrôle d’intégrité de l’alimentation électrique et l’intégrité du ventilateur.
Le client est libre de désactiver cette surveillance si nécessaire. S’il la désactive, il ne recevra en revanche aucune alerte proactive de contrôle d’intégrité de la part de Microsoft.
Hautes performances
L’appareil Thales a été sélectionné pour ce service pour diverses raisons. Il prend en charge une grande diversité d’algorithmes de chiffrement, de systèmes d’exploitation et d’API. Le modèle spécifique déployé offre d’excellentes performances avec 10 000 opérations par seconde pour RSA-2048. Il prend en charge 10 partitions qui peuvent être utilisées pour des instances d’applications uniques. Il s’agit d’un appareil à faible latence, haute capacité et débit élevé.
Offre cloud unique
Microsoft a reconnu un besoin spécifique parmi un ensemble unique de clients. Il s’agit du seul fournisseur cloud qui offre aux nouveaux clients un service HSM dédié conforme à la norme FIPS 140-2 de niveau 3 et une telle étendue d’intégration d’applications locales et dans le cloud.
Azure HSM dédié est-il fait pour vous ?
Azure Dedicated HSM est un service spécialisé ciblant les exigences uniques d’un type spécifique d’organisation à grande échelle. Ainsi, il est probable que la majeure partie des clients Azure ne répondent pas au profil d’utilisation pour ce service. Pour eux, le service Azure Key Vault ou HSM managé Azure sera plus approprié et économique. Pour vous aider à déterminer l’adéquation à vos besoins, nous avons identifié les critères suivants.
Adéquation
Le service Azure Dedicated HSM convient plus particulièrement aux scénarios « lift-and-shift » nécessitant un accès direct et unique aux appareils HSM. Voici quelques exemples :
- Migration d'applications locales vers des Machines virtuelles Azure.
- Migration d’applications d’Amazon AWS EC2 vers des machines virtuelles qui utilisent le service AWS Cloud HSM Classic (Amazon n’offre pas ce service aux nouveaux clients).
- Exécution de logiciels prêts à l’emploi, tels qu’Apache/Ngnix SSL Offload, Oracle TDE et ADCS, sur des machines virtuelles Azure.
Inadéquation
Le service Azure Dedicated HSM n’est pas adapté au type de scénario suivant : Les services cloud Microsoft qui prennent en charge le chiffrement avec des clés gérées par le client (tels qu’Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store, Stockage Azure, Azure SQL Database et Clé client pour Office 365) ne sont pas intégrés à Azure Dedicated HSM.
Remarque
Les clients doivent avoir un gestionnaire de compte Microsoft assigné et répondre à l’exigence monétaire de cinq millions de dollars (5M $) ou plus en revenu annuel global Azure engagé pour être éligibles pour l’intégration et l’utilisation d’Azure Dedicated HSM.
Cela dépend
L’utilité du service Azure Dedicated HSM dans votre situation dépend d’une série potentiellement complexe d’exigences et de compromis que vous pouvez ou non effectuer. L’exigence FIPS 140-2 de niveau 3 en est un exemple. Cette exigence est courante, et Azure Dedicated HSM et une nouvelle offre monolocataire, Azure Key Vault Managed HSM, sont actuellement les seules options pour la satisfaire. Si ces obligations légales ne sont pas pertinentes, vous pouvez alors choisir entre Azure Key Vault et Azure Dedicated HSM. Évaluez vos besoins avant de prendre une décision.
Les exemples de situations dans lesquelles vous devrez comparer vos options comprennent :
- Nouveau code exécuté sur la machine virtuelle Azure d’un client
- TDE SQL Server sur une machine virtuelle Azure
- Chiffrement Stockage Azure côté client
- SQL Server et Azure SQL DB Always Encrypted