Aanbevelen wanneer u een toegewezen HSM (Hardware Security Module) gebruikt
Azure Toegewezen HSM is een Azure-service die opslag van cryptografische sleutels biedt in Azure. Toegewezen HSM voldoet aan de strengste beveiligingseisen. Dit is de ideale oplossing voor klanten die apparaten willen gebruiken die zijn gevalideerd met FIPS 140-2 Niveau 3 en die volledige en exclusieve controle over het HSM-apparaat willen.
HSM-apparaten zijn wereldwijd geïmplementeerd in verschillende Azure-regio's. Ze kunnen eenvoudig worden ingericht als een paar apparaten en worden geconfigureerd voor hoge beschikbaarheid. HSM-apparaten kunnen ook worden ingericht in verschillende regio's als oplossing voor een eventuele failover op regionaal niveau. Microsoft levert de Dedicated HSM-service met behulp van de Thales Luna 7 HSM-model A790-apparaten. Dit apparaat biedt de hoogste prestatieniveaus en de beste opties voor cryptografische integratie.
Nadat HSM-apparaten zijn ingericht, zijn ze rechtstreeks verbonden met het virtuele netwerk van een klant. Ze zijn dan ook toegankelijk voor on-premises hulpprogramma's voor toepassingen en beheer door een punt-naar-site-verbinding of site-naar-site-verbinding te configureren voor het VPN. Klanten krijgen de software en documentatie om HSM-apparaten te configureren en te beheren vanuit de Thales-klantenondersteuningsportal.
Waarom Azure Dedicated HSM gebruiken?
Naleving van FIPS 140-2 Niveau 3
Veel organisaties hebben strenge branchevoorschriften die dicteren dat cryptografische sleutels moeten worden opgeslagen in MET FIPS 140-2 Level-3 gevalideerde HSM's. Azure Dedicated HSM en een nieuwe aanbieding met één tenant, Azure Key Vault Managed HSM, helpen klanten uit verschillende branchesegmenten, zoals financiële dienstverlening, overheidsinstanties en anderen, voldoen aan FIPS 140-2 Level-3-vereisten. De multitenant Azure Key Vault-service van Microsoft maakt momenteel gebruik van gevalideerde HSM's met FIPS 140-2 Level-2.
Apparaten met één tenant
Veel van onze klanten hebben behoefte aan een cryptografisch opslagapparaat met een enkele tenant. Met de Azure Dedicated HSM-service kunnen ze een fysiek apparaat inrichten vanuit een van de wereldwijd gedistribueerde datacenters van Microsoft. Zodra dit apparaat is ingericht voor een klant, heeft alleen deze klant nog toegang tot het apparaat.
Volledig beheer
Veel klanten hebben behoefte aan volledig beheer en toegang tot hun apparaat die exclusief is bedoeld voor beheer. Nadat een apparaat is ingericht, heeft alleen de klant op beheer- of toepassingsniveau toegang tot het apparaat.
Microsoft heeft geen administratieve controle meer nadat de klant de eerste keer toegang krijgt tot het apparaat en het wachtwoord wijzigt. Vanaf dit moment beschikt de klant over een enkele tenant met mogelijkheden voor volledig beheer en toepassingsbeheer. Microsoft behoudt wel toegang op bewakingsniveau (dit is geen beheerdersrol) voor telemetrie via een seriële poortverbinding. Deze toegang geldt voor hardwaremonitors zoals temperatuur, en de status van de voeding en van de ventilator.
Het staat de klant vrij om dit uit te schakelen. De klant ontvangt dan echter geen proactieve statusmeldingen meer van Microsoft.
Hoge prestaties
Het Thales-apparaat is om verschillende redenen geselecteerd voor deze service. Het biedt brede ondersteuning voor cryptografische algoritmen, een verscheidenheid aan ondersteunde besturingssystemen en brede API-ondersteuning. Het specifieke model dat is geïmplementeerd, biedt uitstekende prestaties met 10.000 bewerkingen per seconde voor RSA-2048. Het biedt ondersteuning voor 10 partities die kunnen worden gebruikt voor unieke toepassingsexemplaren. Het is een apparaat met een lage latentie, hoge capaciteit en hoge doorvoer.
Unieke cloudaanbieding
Microsoft heeft een specifieke behoefte herkend bij een unieke groep klanten. Het is de enige cloudprovider die nieuwe klanten een toegewezen HSM-service biedt die fips 140-2 niveau 3 is gevalideerd en een dergelijke mate van cloudgebaseerde en on-premises toepassingsintegratie biedt.
Is Azure Toegewezen HSM geschikt voor u?
Azure Dedicated HSM is een gespecialiseerde service die zich richt op de unieke vereisten van een specifiek type grootschalige organisaties. Als gevolg hiervan wordt verwacht dat het grootste deel van de Azure-klanten niet in het gebruiksprofiel voor deze service past. Velen vinden de Azure Key Vault- of Azure Managed HSM-service geschikter en rendabeler. We hebben de volgende criteria geïdentificeerd om u te helpen te bepalen of Azure Dedicated HSM geschikt is voor u.
Geschikt voor
Azure Dedicated HSM is het meest geschikt voor lift-and-shift-scenario's waarvoor directe en exclusieve toegang tot HSM-apparaten is vereist. Voorbeelden zijn:
- Toepassingen migreren van on-premises naar Azure Virtual Machines.
- Toepassingen migreren van Amazon AWS EC2 naar virtuele machines die gebruikmaken van de klassieke AWS Cloud HSM-service (Amazon biedt deze service niet aan nieuwe klanten).
- Het uitvoeren van verkleinde software, zoals Apache/Ngnix SSL Offload, Oracle TDE en ADCS in Azure Virtual Machines.
Niet geschikt voor
Azure Dedicated HSM is niet geschikt voor het volgende type scenario: Microsoft-cloudservices die ondersteuning bieden voor versleuteling met door de klant beheerde sleutels (zoals Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store, Azure Storage, Azure SQL Database en klantsleutel voor Office 365) die niet zijn geïntegreerd met Azure Dedicated HSM.
Notitie
Klanten moeten een toegewezen Microsoft-accountmanager hebben en voldoen aan de monetaire vereiste van vijf miljoen ($ 5M) USD of hoger in de totale vastgelegde Azure-omzet per jaar om in aanmerking te komen voor onboarding en gebruik van Azure Dedicated HSM.
Dat hangt ervan af
Of Azure Dedicated HSM voor u werkt, is afhankelijk van een mogelijk complexe combinatie van vereisten en compromissen die u wel of niet kunt maken. Een voorbeeld is de vereiste voor FIPS 140-2 Niveau 3. Deze vereiste is gebruikelijk en Azure Dedicated HSM en een nieuwe aanbieding met één tenant, azure Key Vault Managed HSM zijn momenteel de enige opties om deze te ontmoeten. Als deze verplichte vereisten niet relevant zijn, is het vaak een keuze tussen Azure Key Vault en Azure Dedicated HSM. Bekijk wat uw vereisten zijn voordat u een keuze maakt.
Situaties waarin u uw opties moet afwegen, zijn onder andere:
- Nieuwe code die wordt uitgevoerd op de virtuele Azure-machine van een klant
- SQL Server TDE in een virtuele Azure-machine
- Azure Storage-versleuteling aan de clientzijde
- SQL Server en Azure SQL DB Always Encrypted