Zalecane, kiedy należy używać dedykowanego sprzętowego modułu zabezpieczeń (HSM)
Dedykowany moduł HSM platformy Azure to usługa zapewniająca magazyn kluczy kryptograficznych na platformie Azure. Dedykowany moduł HSM spełnia większość najbardziej rygorystycznych wymagań dotyczących zabezpieczeń. To idealne rozwiązanie dla klientów, którzy potrzebują urządzeń zweryfikowanych w trybie FIPS 140-2 poziom 3 oraz kompletnej i wyłącznej kontroli nad urządzeniem HSM.
Urządzenia HSM są wdrażane globalnie w kilku regionach platformy Azure. Można je z łatwością aprowizować jako parę urządzeń i skonfigurować na potrzeby wysokiej dostępności. Urządzenia HSM można również aprowizować w kilku regionach, aby zabezpieczyć się przed pracą w trybie failover na poziomie regionu. Firma Microsoft dostarcza dedykowaną usługę HSM przy użyciu urządzeń firmy Thales Luna 7 HSM A790. To urządzenie oferuje najwyższe poziomy wydajności oraz opcje integracji usług kryptograficznych.
Po aprowizacji urządzenia HSM są podłączane bezpośrednio do sieci wirtualnej klienta. W przypadku skonfigurowania łączności sieci VPN typu punkt-lokacja lub lokacja-lokacja dostęp do urządzeń HSM można uzyskiwać za pomocą aplikacji lokalnej i narzędzi do zarządzania. Klienci uzyskują oprogramowanie i dokumentację, aby skonfigurować urządzenia HSM i zarządzać nimi z poziomu portalu pomocy technicznej klienta firmy Thales.
Dlaczego warto używać usługi Azure Dedicated HSM?
Zgodność ze standardem FIPS 140-2 poziom 3
Wiele organizacji ma rygorystyczne przepisy branżowe, które określają, że klucze kryptograficzne muszą być przechowywane w zweryfikowanych modułach HSM fiPS 140-2 poziom-3. Dedykowany moduł HSM platformy Azure i nowa oferta z jedną dzierżawą, zarządzany moduł HSM usługi Azure Key Vault, pomagają klientom z różnych segmentów branżowych, takich jak branża usług finansowych, agencje rządowe i inne spełniają wymagania fiPS 140-2 poziom-3. Wielodostępna usługa Azure Key Vault firmy Microsoft obecnie używa zweryfikowanych modułów HSM ze standardem FIPS 140-2 Level-2.
Urządzenia dla jednej dzierżawy
Wielu naszych klientów potrzebuje urządzenia magazynu kryptograficznego obsługującego jedną dzierżawę. Usługa Azure Dedicated HSM umożliwia aprowizację urządzenia fizycznego z jednego z globalnie rozproszonych centrów danych firmy Microsoft. Po aprowizowaniu u klienta tylko ten klient ma dostęp do danego urządzenia.
Pełna kontrola administracyjna
Wielu klientów wymaga pełnej kontroli administracyjnej oraz wyłącznego dostępu do swojego urządzenia w celach administracyjnych. Po aprowizacji urządzenia tylko dany klient ma wszelki dostęp administracyjny i na poziomie aplikacji do tego urządzenia.
Kiedy klient uzyska dostęp do urządzenia po raz pierwszy i zmieni hasło, firma Microsoft nie ma już żadnej kontroli administracyjnej nad urządzeniem. Od tego momentu klient jest rzeczywistym jedynym dzierżawcą z pełną kontrolą administracyjną i możliwością zarządzania aplikacją. Firma Microsoft zachowuje dostęp na poziomie monitorowania (nie jest to rola administratora) na potrzeby telemetrii za pośrednictwem połączenia portu szeregowego. Ten dostęp obejmuje monitory sprzętowe, takie jak temperatura, kondycja zasilacza i kondycja wentylatora.
Klient może w każdej chwili wyłączyć to monitorowanie. Jeśli jednak zostanie ono wyłączone, klient nie będzie otrzymywać proaktywnych alertów dotyczących kondycji od firmy Microsoft.
Wysoka wydajność
Urządzenie Thales zostało wybrane dla tej usługi z różnych powodów. Oferuje ono obsługę szerokiej gamy algorytmów kryptograficznych, różnych systemów operacyjnych i szerokiego zakresu interfejsów API. Określony model, który został wdrożony, oferuje doskonałą wydajność dzięki obsłudze 10 000 operacji na sekundę dla szyfrowania RSA-2048. Obsługuje on 10 partycji, których można użyć na potrzeby unikatowych wystąpień aplikacji. Jest to urządzenie o małych opóźnieniach, dużej pojemności i wysokiej przepływności.
Unikatowa oferta chmurowa
Firma Microsoft zauważyła specyficzną potrzebę unikatowego zestawu klientów. Jest to jedyny dostawca usług w chmurze, który oferuje nowym klientom dedykowaną usługę HSM, która jest zweryfikowana na poziomie FIPS 140-2 i oferuje taki zakres integracji aplikacji w chmurze i lokalnej.
Czy dedykowany moduł HSM platformy Azure jest dla Ciebie odpowiedni?
Azure Dedicated HSM to wyspecjalizowana usługa zaspokajająca unikatowe wymagania dużych organizacji określonego typu. W związku z tym oczekuje się, że większość klientów platformy Azure nie będzie pasować do profilu użycia dla tej usługi. Wiele z tych usług znajdzie usługę Azure Key Vault lub Azure Managed HSM, która będzie bardziej odpowiednia i ekonomiczna. Aby ułatwić podjęcie decyzji, czy ta usługa odpowiada Twoim potrzebom, określiliśmy następujące kryteria.
Najlepsze dopasowanie
Usługa Azure Dedicated HSM jest najbardziej odpowiednia dla scenariuszy migracji metodą „lift-and-shift”, które wymagają bezpośredniego i wyłącznego dostępu do urządzeń HSM. Oto kilka przykładów:
- Migrowanie aplikacji ze środowiska lokalnego do usługi Azure Virtual Machines.
- Migrowanie aplikacji z usługi Amazon AWS EC2 do maszyn wirtualnych korzystających z usługi AWS Cloud HSM Classic (firma Amazon nie oferuje tej usługi nowym klientom).
- Uruchamianie oprogramowania opatrującego w ścięcie, takiego jak Apache/Ngnix SSL Offload, Oracle TDE i ADCS w usłudze Azure Virtual Machines.
Brak dopasowania
Dedykowany moduł HSM platformy Azure nie jest odpowiedni dla następującego typu scenariusza: usługi w chmurze firmy Microsoft, które obsługują szyfrowanie przy użyciu kluczy zarządzanych przez klienta (takich jak Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store, Azure Storage, Azure SQL Database i Klucz klienta dla usługi Office 365), które nie są zintegrowane z dedykowanym modułem HSM platformy Azure.
Uwaga
Klienci muszą mieć przypisanego Menedżera kont Microsoft i spełnić wymóg pieniężny pięciu milionów (5 mln USD) USD lub większego całkowitego zatwierdzonego przychodu platformy Azure rocznie, aby kwalifikować się do dołączania i korzystania z dedykowanego modułu HSM platformy Azure.
To zależy
Niezależnie od tego, czy dedykowany moduł HSM platformy Azure będzie działać, zależy od potencjalnie złożonej kombinacji wymagań i kompromisów, które możesz lub których nie możesz wykonać. Przykładem jest wymaganie zgodności ze standardem FIPS 140-2 poziom 3. To wymaganie jest typowe, a dedykowany moduł HSM platformy Azure i nowa oferta z jedną dzierżawą, zarządzane moduły HSM usługi Azure Key Vault są obecnie jedynymi opcjami ich spełnienia. Jeśli te wymagane wymagania nie są istotne, często jest to wybór między usługą Azure Key Vault i dedykowanym modułem HSM platformy Azure. Przed podjęciem decyzji oceń swoje wymagania.
Sytuacje, w których trzeba będzie rozważyć opcje, obejmują:
- Nowy kod działający na maszynie wirtualnej platformy Azure klienta
- SQL Server TDE na maszynie wirtualnej platformy Azure
- Szyfrowanie po stronie klienta usługi Azure Storage
- SQL Server i Azure SQL DB Always Encrypted