Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Integrated HSM ist ein HSM-Cache (Hardware Security Module) und kryptografisches Offload, das entwickelt wurde, um die Sicherheit und Leistung kryptografischer Vorgänge auf virtuellen Computern zu verbessern. Für Kunden, die stark auf Kryptografie angewiesen sind und leistungsintensive Workloads haben, bietet Azure Integrated HSM eine sichere hardwaregestützte Möglichkeit, kryptografische Schlüssel für schnelle und sichere Verwendung zu speichern.
Beginnend mit der neuen Azure Serverhardware AMD D Series v7 und AMD E-Serie v7 werden Microsoft entwickelten HSM-Chips direkt auf Servern eingebettet, die federal Information Processing Standards (FIPS) 140-3 Level 3 Standards erfüllen. Diese manipulationssicheren Chips behalten Verschlüsselungsschlüssel innerhalb sicherer Hardwaregrenzen bei, wodurch Latenz- und Expositionsrisiken vermieden werden. Das integrierte HSM funktioniert standardmäßig transparent für unterstützte Dienste wie Azure Key Vault und Azure Storage Verschlüsselung und stellt ohne mehr Konfiguration eine hardwaregestützte Vertrauensstellung bereit. Diese Integration stellt sicher, dass kryptografische Vorgänge von der Sicherheitsisolation auf Hardwareebene profitieren und gleichzeitig die Leistung und Skalierbarkeit von Clouddiensten beibehalten.
Vorteile von Azure Integrated HSM
-
Geringere Latenz
- Reduzieren Sie Netzwerk-Roundtrips zu Azure Key Vault oder verwaltetem HSM, indem Sie kryptografische Vorgänge lokal auf demselben Knoten wie der virtuelle Computer (VM) ausführen.
-
Schlüssel bleiben geschützt
- Schlüssel, die in einem Azure-integrierten HSM gespeichert sind, werden nicht im Klartext verfügbar gemacht und verbleiben innerhalb einer HSM-Grenze von FIPS 140-3 Ebene 3.
-
Speicherschutz
- Schutz vor Arbeitsspeicher- und Crash-Dump-Angriffen
-
Integrierte Infrastruktur
- Azure Integrated HSM wird als Teil der Azure-Infrastruktur an jeden unterstützten Knoten angefügt.
-
Keine Zusätzliche Kosten
- Ohne Zusätzliche Kosten verfügbar
Unterstützte Operationen
Die folgenden kryptografischen Vorgänge werden für Azure Integrated HSM unterstützt:
-
AES - Verschlüsseln + Entschlüsseln (
BCRYPT_AES_ALGORITHM)-
AES-CBC (
BCRYPT_CHAIN_MODE_CBC)- 128-Bit
- 192-Bit
- 256 Bit
-
AES-GCM (
BCRYPT_CHAIN_MODE_GCM)- 256 Bit
-
AES-XTS (
BCRYPT_XTS_AES_ALGORITHM)- 512-Bit
-
AES-CBC (
-
RSA (
BCRYPT_RSA_ALGORITHM)-
Entschlüsselung + Zeichen
- RSA 2048 (2k)
- RSA 3072 (3k)
- RSA 4096 (4k)
-
Entpacken
- RSA 2048 (2k)
-
Entschlüsselung + Zeichen
-
ECC
-
ECDSA - Sign (
BCRYPT_ECDSA_ALGORITHM)- ECC P256 (
BCRYPT_ECDSA_P256_ALGORITHM) - ECC P384 (
BCRYPT_ECDSA_P384_ALGORITHM) - ECC P521 (
BCRYPT_ECDSA_P521_ALGORITHM)
- ECC P256 (
-
ECDH - Geheime Exchange (
BCRYPT_ECDH_ALGORITHM)- ECC P256 (
BCRYPT_ECDH_P256_ALGORITHM) - ECC P384 (
BCRYPT_ECDH_P384_ALGORITHM) - ECC P521 (
BCRYPT_ECDH_P521_ALGORITHM)
- ECC P256 (
-
ECDSA - Sign (
-
Schlüsselableitung
-
HKDF ("HMAC-basierte Schlüsselableitungsfunktion") (
BCRYPT_HKDF_ALGORITHM)- Wie in IETF RFC 5869 definiert und in NCrypt durch die
BCRYPT_HKDF_ALGORITHMZeichenfolge bezeichnet
- Wie in IETF RFC 5869 definiert und in NCrypt durch die
-
HKDF ("HMAC-basierte Schlüsselableitungsfunktion") (
Verfügbarkeit und Preise
Azure Integrated HSM ist jetzt für die allgemein verfügbare AMD v7-Plattform in allen unterstützten AMD v7-Regionen verfügbar. Dies wird für die generalisierten Dasv7-Serien, Dadsv7-Serien, Easv7-Serien und Eadsv7-Serien für 8 vCores und höher für Trusted Launch VMs unterstützt. Die allgemeine Verfügbarkeit von Azure Integrated HSM ist nur für Windows-Unterstützung vorgesehen, wobei der Linux-Support in Kürze verfügbar ist. Dieses Feature wird kostenlos angeboten.
Unser GitHub Repository enthält Kundenbeispiele und Anweisungen für weitere Details zur Verwendung Azure Integrierten HSM.
Limitations
- nur Windows Gastsupport
- Windows Gast-Image mit WS2025 oder WS2022 kann AziHSM unterstützen. Besuchen Sie unsere GitHub-Seite, um weitere Anweisungen zum Installieren des Gasttreibers und des wichtigsten Dienstanbieters zu erhalten, der für die Interoperabilität mit dem Gerät erforderlich ist.
- Erfordert die Kundenaktivierung – nicht standardmäßig für alle SKUs aktiviert.
- Weitere Informationen zur Registrierung finden Sie in unserer Dokumentation zum Bereitstellen.
- Wird nur für ausgewählte VM-SKUs unterstützt
- Mindestanforderung für VM-Größe
- Azure Integrated HSM wird nur für Größen 8vCores und höher unterstützt.
- Der Sicherheitstyp für vertrauenswürdigen Start wird nur unterstützt
- Dieses Feature ist nur für den Sicherheitstyp "Vertrauenswürdiger Start" verfügbar. Standard und Vertraulich werden nicht unterstützt.
- Keine Persistenz von lokal zwischengespeicherten Schlüsseln in VM-Deallocation- und Neustartszenarien
- Azure Integriertes HSM ist ein lokaler Schlüsselcache, der für die Unterstützung von kurzlebigen kryptografischen Vorgängen konzipiert ist. Schlüssel werden nicht über Neustarts des virtuellen Computers hinweg beibehalten.