建議何時使用專用硬體安全性模組 (HSM)

  • 7 分鐘

Azure 專用 HSM 是 Azure 服務,可在 Azure 中提供密碼編譯密鑰記憶體。 專用 HSM 符合最嚴格的安全性需求。 對於需要 FIPS 140-2 層級 3 驗證裝置且完整且獨佔控制 HSM 設備的客戶而言,這是理想的解決方案。

HSM 裝置會全域部署於數個 Azure 區域。 它們可以輕鬆地布建為一對裝置,並設定為高可用性。 HSM 裝置也可以跨區域布建,以確保不受區域層級故障轉移的影響。 Microsoft使用 Thales Luna 7 HSM 型號 A790 設備來提供專用 HSM 服務。 此裝置提供最高層級的效能和密碼編譯整合選項。

布建之後,HSM 裝置會直接連線到客戶的虛擬網路。 當您設定點對站或站對站 VPN 連線時,內部部署應用程式和管理工具也可以存取它們。 客戶可從 Thales 客戶支援入口網站取得軟體和檔,以設定及管理 HSM 裝置。

為何要使用 Azure 專用 HSM?

FIPS 140-2 層級 3 合規性

許多組織都有嚴格的產業法規,規定密碼編譯密鑰必須儲存在 FIPS 140-2 層級 3 驗證的 HSM 中。 Azure 專用 HSM 和新的單一租使用者供應專案 Azure Key Vault 受控 HSM,可協助來自各種產業區隔的客戶,例如金融服務產業、政府機構,以及其他符合 FIPS 140-2 層級 3 需求的客戶。 Microsoft 的多租戶 Azure Key Vault 服務目前使用符合 FIPS 140-2 第 2 級認證的 HSM。

單租戶裝置

許多客戶對於密碼編譯儲存裝置的單一租用有需求。 Azure 專用 HSM 服務可讓它們從其中一個Microsoft全球分散式數據中心布建實體裝置。 布建給客戶之後,只有該客戶才能存取裝置。

完全管理控制

許多客戶需要完整的系統管理控制權,並只存取其裝置以進行系統管理。 布建裝置之後,只有客戶具有裝置的系統管理或應用層級存取權。

客戶第一次存取裝置之後,Microsoft沒有系統管理控制權,此時客戶會變更密碼。 從那時起,客戶是真正的單一租戶,具有完整的系統管理控制和應用程式管理功能。 Microsoft會透過序列埠連線維護遙測的監視層級存取權(不是系統管理員角色)。 此存取涵蓋硬體監視器,例如溫度、電源供應狀況和風扇健康情況。

客戶可以自由關閉所需的監視功能。 不過,如果他們停用,他們就不會收到來自Microsoft的主動式健康情況警示。

高效能

基於各種原因,已為此服務選取 Thales 裝置。 它提供廣泛的密碼編譯演算法支援、各種支援的作系統,以及廣泛的 API 支援。 部署的特定模型可提供絕佳的效能,且 RSA-2048 每秒有 10,000 個作業。 它支援10個可用於獨特應用程式實例的資料分區。 此裝置是低延遲、高容量和高輸送量裝置。

獨特的雲端服務方案

Microsoft可辨識一組唯一客戶的特定需求。 它是唯一的雲端提供者,提供新客戶專用的 HSM 服務,這些服務經過 FIPS 140-2 第3級驗證,並提供如此程度的雲端和內部部署應用程式整合。

Azure 專用 HSM 是否適合您?

Azure 專用 HSM 是一項特製化服務,可解決特定類型大型組織的獨特需求。 因此,預期大部分 Azure 客戶無法充分利用這項服務。 許多人會發現 Azure Key Vault 或 Azure 受控 HSM 服務更合適且符合成本效益。 為了協助您判斷其是否符合您的需求,我們識別出下列準則。

最適合

Azure 專用 HSM 最適合需要直接且獨占存取 HSM 裝置的「搬遷」情境。 範例包括:

  • 將應用程式從內部部署移轉至 Azure 虛擬機。
  • 將應用程式從 Amazon AWS EC2 遷移至使用 AWS Cloud HSM 傳統服務的虛擬機(Amazon 未將此服務提供給新客戶)。
  • 在 Azure 虛擬機中執行壓縮包裝的軟體,例如 Apache/Ngnix SSL 卸除、Oracle TDE 和 ADCS。

不適合

Azure 專用 HSM 不適合下列案例類型:Microsoft雲端服務,可支援使用客戶管理的密鑰進行加密(例如 Azure 資訊保護、Azure 磁碟加密、Azure Data Lake Store、Azure 儲存器、Azure SQL Database 和 Office 365 的客戶密鑰),但未與 Azure 專用 HSM 整合。

注意

客戶必須擁有一位指派的 Microsoft 帳戶管理員,並符合每年五百萬美元或更高的年度整體承諾 Azure 營收的貨幣要求,才能符合啟用和使用 Azure 專用 HSM 服務的資格。

這取決於

Azure 專用 HSM 是否適合您,取決於您能否接受的可能複雜的需求和妥協。 例如 FIPS 140-2 等級 3 需求。 這項需求很常見,而 Azure 專用硬體安全模組 (HSM) 和新的單一租戶方案 Azure Key Vault 受控 HSM 目前是唯一可滿足需求的選項。 如果這些授權需求不相關,則通常是 Azure Key Vault 與 Azure 專用 HSM 之間的選擇。 在做出決策之前,請先評估您的需求。

您必須權衡選項的情況包括:

  • 在客戶的 Azure 虛擬機中執行的新程式代碼
  • Azure 虛擬機中的 SQL Server TDE
  • Azure 記憶體用戶端加密
  • SQL Server 和 Azure SQL DB 的 Always Encrypted 功能