Delen via

Wat is beheerde HSM van Azure Key Vault?

  • Artikel

Belangrijk

We werken onze HSM-vloot bij naar een met FIPS 140-3 gevalideerde firmware voor zowel door Azure Key Vault beheerde HSM als Azure Key Vault Premium. Zie de volledige informatie over het bijwerken van beheerde HSM-firmware voor verbeterde beveiliging en naleving.

Azure Key Vault Managed HSM (Hardware Security Module) is een volledig beheerde, maximaal beschikbare cloudservice die compatibel is met één tenant, waarmee u cryptografische sleutels voor uw cloudtoepassingen kunt beveiligen met behulp van met FIPS 140-2 Level 3 gevalideerde HSM's. Het is een van de verschillende oplossingen voor sleutelbeheer in Azure.

Zie de sectie Beheerde HSM-pools op de pagina met prijzen van Azure Key Vault voor informatie over prijzen. Zie Over sleutels voor ondersteunde sleuteltypen.

De term 'Beheerd HSM-exemplaar' staat voor 'Beheerde HSM-pool'. Om verwarring te voorkomen, gebruiken we 'Beheerd HSM-exemplaar' in deze artikelen.

Notitie

Zero Trust is een beveiligingsstrategie die bestaat uit drie principes: 'Expliciet verifiëren', 'Minimale toegang tot bevoegdheden gebruiken' en 'Inbreuk aannemen'. Gegevensbeveiliging, inclusief sleutelbeheer, ondersteunt het principe 'toegang tot minimale bevoegdheden gebruiken'. Zie Wat is Zero Trust?

Waarom zou u Managed HSM gebruiken?

Volledig beheerde,maximaal beschikbare HSM met één tenant als een service

  • Volledig beheerd: de service verwerkt HSM-inrichting, configuratie, patching en onderhoud.
  • Maximaal beschikbaar: elk HSM-cluster bestaat uit meerdere HSM-partities. Als de hardware mislukt, worden lidpartities voor uw HSM-cluster automatisch gemigreerd naar knooppunten die in orde zijn. Zie Managed HSM Service Level Agreement voor meer informatie
  • Eén tenant: Elk beheerd HSM-exemplaar is toegewezen aan één klant en bestaat uit een cluster met meerdere HSM-partities. Elk HSM-cluster maakt gebruik van een afzonderlijk, klantspecifiek beveiligingsdomein dat het HSM-cluster van elke klant cryptografisch isoleert.

Toegangsbeheer, uitgebreide gegevensbescherming en compliance

  • Gecentraliseerd sleutelbeheer: beheer kritieke, hoogwaardige sleutels binnen uw organisatie op één plaats. Met gedetailleerde machtigingen per sleutel beheert u de toegang tot elke sleutel op basis van het principe 'minst bevoegde toegang'.
  • Geïsoleerd toegangsbeheer: met het beheerde HSM-toegangsbeheermodel 'lokaal RBAC' kunnen aangewezen HSM-clusterbeheerders volledige controle hebben over de HSM's die zelfs beheerders van beheergroepen, abonnementen of resourcegroepen niet kunnen overschrijven.
  • Privé-eindpunten: gebruik privé-eindpunten om veilig en privé verbinding te maken met beheerde HSM vanuit uw toepassing die wordt uitgevoerd in een virtueel netwerk.
  • Met FIPS 140-2 level 3 gevalideerde HSM's: bescherm uw gegevens en voldoen aan de nalevingsvereisten met FIPS (Federal Information Protection Standard) 140-2 Gevalideerde HSM's op niveau 3. Beheerde HSM's maken gebruik van de Marvell LiquidSecurity HSM-adapters.
  • Bewaken en controleren: volledig geïntegreerd met Azure Monitor. U kunt volledige logboeken van alle activiteiten ophalen via Azure Monitor. Gebruik Azure Log Analytics voor analyse en waarschuwingen.
  • Gegevenslocatie: De beheerde HSM slaat geen klantgegevens op buiten de regio waarin de klant het HSM-exemplaar implementeert.

Geïntegreerd met PaaS-/SaaS-services van Azure en Microsoft

Maakt gebruik van dezelfde API en beheerinterfaces als Key Vault

  • Migreer eenvoudig uw bestaande toepassingen die gebruikmaken van een kluis (een multitenant) voor het gebruik van beheerde HSM's.
  • Gebruik dezelfde toepassingsontwikkelings- en implementatiepatronen voor al uw toepassingen, ongeacht de sleutelbeheeroplossing die wordt gebruikt: Multitenant-kluizen of beheerde HSM's met één tenant.

Sleutels importeren uit uw on-premises HSM's

  • Genereer met HSM beveiligde sleutels in uw on-premises HSM en importeer ze veilig in beheerde HSM.

Volgende stappen