Co to jest zarządzany moduł HSM usługi Azure Key Vault?

Ważne

Aktualizujemy naszą flotę modułów HSM do zweryfikowanego oprogramowania układowego FIPS 140-3 na poziomie 3 zarówno dla zarządzanego modułu HSM usługi Azure Key Vault, jak i usługi Azure Key Vault Premium. Szczegółowe informacje można znaleźć w temacie Aktualizowanie zarządzanego oprogramowania układowego HSM w celu zapewnienia zwiększonych zabezpieczeń i zgodności.

Zarządzany moduł HSM usługi Azure Key Vault (sprzętowy moduł zabezpieczeń) to w pełni zarządzana, wysoce dostępna, zgodna ze standardami usługa w chmurze, która umożliwia ochronę kluczy kryptograficznych dla aplikacji w chmurze przy użyciu zweryfikowanych modułów HSM fiPS 140–2 poziom 3 . Jest to jedno z kilku kluczowych rozwiązań do zarządzania na platformie Azure.

Aby uzyskać informacje o cenach, zobacz sekcję Managed HSM Pools (Zarządzane pule modułów HSM) na stronie cennika usługi Azure Key Vault. Aby uzyskać informacje o obsługiwanych typach kluczy, zobacz About keys (Informacje o kluczach).

Termin "Wystąpienie zarządzanego modułu HSM" jest synonimem "Zarządzana pula modułów HSM". Aby uniknąć nieporozumień, w tych artykułach użyjemy polecenia "Wystąpienie zarządzanego modułu HSM".

Uwaga

Zero Trust to strategia zabezpieczeń obejmująca trzy zasady: "Weryfikuj jawnie", "Użyj dostępu z najmniejszymi uprawnieniami" i "Przyjmij naruszenie". Ochrona danych, w tym zarządzanie kluczami, obsługuje zasadę "najmniej uprzywilejowanego dostępu". Aby uzyskać więcej informacji, zobacz Co to jest zero trust?

Dlaczego warto używać zarządzanego modułu HSM?

W pełni zarządzane, wysoce dostępne, jednodostępne moduły HSM jako usługa

• W pełni zarządzane: usługa obsługuje aprowizowanie, konfigurację, stosowanie poprawek i konserwację modułu HSM.
• Wysoka dostępność: każdy klaster HSM składa się z wielu partycji HSM. Jeśli sprzęt ulegnie awarii, partycje członkowskie klastra HSM zostaną automatycznie zmigrowane do węzłów w dobrej kondycji. Aby uzyskać więcej informacji, zobacz Zarządzana umowa dotycząca poziomu usług modułu HSM
• Pojedyncza dzierżawa: każde zarządzane wystąpienie modułu HSM jest dedykowane jednemu klientowi i składa się z klastra wielu partycji HSM. Każdy klaster HSM używa oddzielnej domeny zabezpieczeń specyficznej dla klienta, która kryptograficznie izoluje klaster HSM każdego klienta.

Kontrola dostępu, rozszerzona ochrona danych i zgodność

• Scentralizowane zarządzanie kluczami: zarządzanie krytycznymi kluczami o wysokiej wartości w całej organizacji w jednym miejscu. Przy użyciu szczegółowych uprawnień na klucz należy kontrolować dostęp do każdego klucza w zasadzie "najmniej uprzywilejowany dostęp".
• Izolowana kontrola dostępu: Model kontroli dostępu zarządzanego modułu HSM "lokalnej kontroli dostępu RBAC" umożliwia wyznaczonym administratorom klastra HSM pełną kontrolę nad modułami HSM, które nawet grupy zarządzania, subskrypcji lub grupy zasobów nie mogą zastąpić.
• Prywatne punkty końcowe: używaj prywatnych punktów końcowych, aby bezpiecznie i prywatnie łączyć się z zarządzanym modułem HSM z poziomu aplikacji działającej w sieci wirtualnej.
• Zweryfikowane moduły HSM na poziomie 140–2 FIPS 140–2: Ochrona danych i spełnianie wymagań zgodności ze standardem FIPS (Federal Information Protection Standard) 140-2 Poziom 3 zweryfikowanych modułów HSM. Zarządzane moduły HSM używają adapterów Marvell LiquidSecurity HSM.
• Monitorowanie i inspekcja: w pełni zintegrowane z usługą Azure Monitor. Uzyskaj pełne dzienniki wszystkich działań za pośrednictwem usługi Azure Monitor. Użyj usługi Azure Log Analytics do analizy i alertów.
• Miejsce przechowywania danych: zarządzany moduł HSM nie przechowuje/przetwarza danych klientów poza regionem, w którym klient wdraża wystąpienie modułu HSM.

Integracja z platformami Azure i usługami PaaS/SaaS

• Generowanie (lub importowanie przy użyciu funkcji BYOK) kluczy i używanie ich do szyfrowania danych magazynowanych w usługach platformy Azure, takich jak Azure Storage, Azure SQL, Azure Information Protection i Klucz klienta dla platformy Microsoft 365. Aby uzyskać bardziej pełną listę usług platformy Azure, które współpracują z zarządzanym modułem HSM, zobacz Modele szyfrowania danych.

Używa tych samych interfejsów API i interfejsów zarządzania co usługa Key Vault

• Łatwe migrowanie istniejących aplikacji korzystających z magazynu (wielodostępnego) do korzystania z zarządzanych modułów HSM.
• Używaj tych samych wzorców tworzenia i wdrażania aplikacji dla wszystkich aplikacji niezależnie od używanego rozwiązania do zarządzania kluczami: wielodostępnych magazynów lub zarządzanych modułów HSM z jedną dzierżawą.

Importowanie kluczy z lokalnych modułów HSM

• Wygeneruj klucze chronione przez moduł HSM w lokalnym module HSM i zaimportuj je bezpiecznie do zarządzanego modułu HSM.

Następne kroki

• Zarządzanie kluczami na platformie Azure
• Aby uzyskać szczegółowe informacje techniczne, zobacz Jak zarządzany moduł HSM implementuje suwerenność klucza, dostępność, wydajność i skalowalność bez kompromisów
• Zobacz Szybki start: aprowizuj i aktywuj zarządzany moduł HSM przy użyciu interfejsu wiersza polecenia platformy Azure, aby utworzyć i aktywować zarządzany moduł HSM
• Punkt odniesienia zabezpieczeń zarządzanego modułu HSM platformy Azure
• Zobacz Najlepsze rozwiązania dotyczące używania zarządzanego modułu HSM usługi Azure Key Vault
• Stan zarządzanego modułu HSM
• Umowa dotycząca poziomu usług zarządzanego modułu HSM
• Dostępność regionu zarządzanego modułu HSM
• Co to jest zero trust?