Aanbevelen wanneer u een toegewezen HSM (Hardware Security Module) gebruikt
Azure Dedicated HSM is een Azure-service die cryptografische sleutelopslag in Azure biedt. Toegewezen HSM voldoet aan de strengste beveiligingsvereisten. Het is de ideale oplossing voor klanten die fips 140-2 op niveau 3 gevalideerde apparaten nodig hebben en volledige en exclusieve controle over het HSM-apparaat vereisen.
HSM-apparaten worden wereldwijd geïmplementeerd in verschillende Azure-regio's. Ze kunnen eenvoudig worden ingericht als een paar apparaten en geconfigureerd voor hoge beschikbaarheid. HSM-apparaten kunnen ook worden ingericht in verschillende regio's om te garanderen dat failover op regionaal niveau wordt uitgevoerd. Microsoft levert de Dedicated HSM-service met behulp van de Thales Luna 7 HSM-model A790-apparaten. Dit apparaat biedt de hoogste niveaus van prestatie- en cryptografische integratieopties.
Nadat ze zijn ingericht, worden HSM-apparaten rechtstreeks verbonden met het virtuele netwerk van een klant. Ze kunnen ook worden geopend door on-premises toepassings- en beheerhulpprogramma's wanneer u punt-naar-site- of site-naar-site-VPN-connectiviteit configureert. Klanten krijgen de software en documentatie om HSM-apparaten te configureren en te beheren vanuit de Thales-klantenondersteuningsportal.
Waarom Azure Dedicated HSM gebruiken?
FIPS 140-2-naleving op niveau 3
Veel organisaties hebben strenge branchevoorschriften die dicteren dat cryptografische sleutels moeten worden opgeslagen in MET FIPS 140-2 Level-3 gevalideerde HSM's. Azure Dedicated HSM en een nieuwe aanbieding met één tenant, Azure Key Vault Managed HSM, helpen klanten uit verschillende branchesegmenten, zoals financiële dienstverlening, overheidsinstanties en anderen, voldoen aan FIPS 140-2 Level-3-vereisten. De multitenant Azure Key Vault-service van Microsoft maakt momenteel gebruik van gevalideerde HSM's met FIPS 140-2 Level-2.
Apparaten met één tenant
Veel van onze klanten hebben een vereiste voor één tenant van het cryptografische opslagapparaat. Met de Azure Dedicated HSM-service kunnen ze een fysiek apparaat inrichten vanuit een van de wereldwijd gedistribueerde datacenters van Microsoft. Nadat deze is ingericht voor een klant, heeft alleen die klant toegang tot het apparaat.
Volledig beheer
Veel klanten hebben volledig beheer en volledige toegang tot hun apparaat nodig voor administratieve doeleinden. Nadat een apparaat is ingericht, heeft alleen de klant toegang op beheer- of toepassingsniveau tot het apparaat.
Microsoft heeft geen beheerbeheer nadat de klant het apparaat voor het eerst opent, waarna de klant het wachtwoord wijzigt. Vanaf dat moment is de klant een echte single-tenant met volledige beheer- en toepassingsbeheermogelijkheden. Microsoft onderhoudt toegang op monitorniveau (geen beheerdersrol) voor telemetrie via een seriële poortverbinding. Deze toegang omvat hardwaremonitors zoals temperatuur, voedingsstatus en ventilatorstatus.
De klant is vrij om deze noodzakelijke bewaking uit te schakelen. Als ze dit echter uitschakelen, ontvangen ze geen proactieve statuswaarschuwingen van Microsoft.
Hoge prestaties
Het Thales-apparaat is om verschillende redenen geselecteerd voor deze service. Het biedt een breed scala aan cryptografische algoritmeondersteuning, een verscheidenheid aan ondersteunde besturingssystemen en brede API-ondersteuning. Het specifieke model dat wordt geïmplementeerd, biedt uitstekende prestaties met 10.000 bewerkingen per seconde voor RSA-2048. Het ondersteunt 10 partities die kunnen worden gebruikt voor unieke toepassingsexemplaren. Dit apparaat is een apparaat met lage latentie, hoge capaciteit en hoge doorvoer.
Unieke cloudgebaseerde aanbieding
Microsoft herkende een specifieke behoefte aan een unieke set klanten. Het is de enige cloudprovider die nieuwe klanten een toegewezen HSM-service biedt die fips 140-2 niveau 3 is gevalideerd en een dergelijke mate van cloudgebaseerde en on-premises toepassingsintegratie biedt.
Is Azure Dedicated HSM geschikt voor u?
Azure Dedicated HSM is een gespecialiseerde service die voldoet aan unieke vereisten voor een specifiek type grootschalige organisatie. Als gevolg hiervan wordt verwacht dat het grootste deel van de Azure-klanten niet in het gebruiksprofiel voor deze service past. Velen vinden de Azure Key Vault- of Azure Managed HSM-service geschikter en rendabeler. We hebben de volgende criteria geïdentificeerd om u te helpen bepalen of het aan uw vereisten voldoet.
Beste pasvorm
Azure Dedicated HSM is het meest geschikt voor 'lift-and-shift'-scenario's waarvoor directe en enige toegang tot HSM-apparaten is vereist. Voorbeelden zijn:
- Toepassingen migreren van on-premises naar Azure Virtual Machines.
- Toepassingen migreren van Amazon AWS EC2 naar virtuele machines die gebruikmaken van de klassieke AWS Cloud HSM-service (Amazon biedt deze service niet aan nieuwe klanten).
- Het uitvoeren van verkleinde software, zoals Apache/Ngnix SSL Offload, Oracle TDE en ADCS in Azure Virtual Machines.
Niet passend
Azure Dedicated HSM is niet geschikt voor het volgende type scenario: Microsoft-cloudservices die ondersteuning bieden voor versleuteling met door de klant beheerde sleutels (zoals Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store, Azure Storage, Azure SQL Database en klantsleutel voor Office 365) die niet zijn geïntegreerd met Azure Dedicated HSM.
Notitie
Klanten moeten een toegewezen Microsoft-accountmanager hebben en voldoen aan de monetaire vereiste van vijf miljoen ($ 5M) USD of hoger in de totale vastgelegde Azure-omzet per jaar om in aanmerking te komen voor onboarding en gebruik van Azure Dedicated HSM.
Het hangt ervan af
Of Azure Dedicated HSM voor u werkt, is afhankelijk van een mogelijk complexe combinatie van vereisten en compromissen die u wel of niet kunt maken. Een voorbeeld is de FIPS 140-2 Niveau 3-vereiste. Deze vereiste is gebruikelijk, en Azure Dedicated HSM en een nieuwe single-tenant aanbieding, Azure Key Vault Managed HSM, zijn momenteel de enige opties om aan deze te voldoen. Als deze verplichte vereisten niet relevant zijn, is het vaak een keuze tussen Azure Key Vault en Azure Dedicated HSM. Beoordeel uw vereisten voordat u een beslissing neemt.
Situaties waarin u uw opties moet afwegen, zijn onder andere:
- Nieuwe code die wordt uitgevoerd op de virtuele Azure-machine van een klant
- SQL Server TDE in een virtuele Azure-machine
- Versleuteling aan de clientzijde van Azure Storage
- SQL Server en Azure SQL DB Always Encrypted