Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Azure Cloud HSM ist ein hoch verfügbarer FIPS 140-3 Level 3-validierter Einzelmandantendienst, der den Branchenstandards entspricht. Azure Cloud HSM gewährt Kunden vollständige administrative Kontrolle über ihre Hardwaresicherheitsmodule (HSMs). Es bietet einen sicheren und kundeneigenen HSM-Cluster zum Speichern kryptografischer Schlüssel und zum Ausführen kryptografischer Vorgänge.
Azure Cloud HSM unterstützt verschiedene Anwendungen, einschließlich PKCS#11, Offloading von Secure Sockets Layer (SSL) oder Transport Layer Security (TLS) Verarbeitungen, Schutz privater Schlüssel der Zertifizierungsstelle (CA), und transparente Datenverschlüsselung (TDE). Sie unterstützt auch die Dokument- und Codesignatur.
Warum Azure Cloud HSM verwenden?
Vollständig verwaltete Lösung
Viele Kunden benötigen administrative Kontrolle über ihr HSM, möchten aber nicht den Aufwand und die Nebenkosten, die mit der Clusterverwaltung für hohe Verfügbarkeit, Patching und Wartung einhergehen. Azure Cloud HSM-Kunden haben sicheren, direkten, end-to-End-verschlüsselten Zugriff auf HSM-Knoten in ihrem HSM-Cluster über einen privaten, dedizierten Link aus ihrem virtuellen Netzwerk.
Nachdem ein Kunde einen Azure Cloud HSM-Cluster bereitgestellt hat, behält der Kunde administrativen Zugriff auf seine HSMs. Der Azure Cloud HSM-Dienst kümmert sich um hohe Verfügbarkeit, Patching und Wartung.
Hochverfügbares Einzelmandanten-HSM als Dienst im Kundenbesitz
Azure Cloud HSM bietet hohe Verfügbarkeit und Redundanz, indem mehrere HSMs in einem HSM-Cluster gruppiert werden. Der Dienst synchronisiert automatisch Schlüssel und Richtlinien auf jedem HSM-Knoten.
Jeder HSM-Cluster besteht aus drei HSM-Knoten. Wenn eine HSM-Ressource nicht verfügbar ist, werden Memberknoten für Ihren HSM-Cluster automatisch und sicher zu gesunden Knoten migriert.
Der Azure Cloud HSM-Cluster unterstützt den Lastenausgleich von kryptografischen Vorgängen. Regelmäßige HSM-Sicherungen sorgen für eine sichere und einfache Datenwiederherstellung.
Data Residency: Cloud HSM speichert oder verarbeitet keine Kundendaten außerhalb der Region, in der der Kunde die HSM-Instanz bereitstellt.
HSM-Cluster mit einem Mandanten
Jede Azure Cloud HSM-Instanz ist einem einzelnen Kunden zugeordnet. Jeder HSM-Cluster verwendet eine separate kundenspezifische Sicherheitsdomäne, die sie kryptografisch isoliert.
Konformität und Zertifizierung
Azure Cloud HSM erfüllt mehrere Branchencompliancestandards und Zertifizierungen, um Kunden bei der Erfüllung gesetzlicher Anforderungen zu unterstützen.
FIPS 140-3 Ebene 3
Viele Organisationen verfügen über strenge Branchenvorschriften, die diktieren, dass kryptografische Schlüssel in FIPS 140-3 Level 3 validierten HSMs gespeichert werden müssen. Azure Cloud HSM bietet HSMs, die überprüft werden, um FIPS 140-3 Level 3-Standards zu erfüllen. Verfahren zur Überprüfung der Echtheit Ihres HSM, einschließlich der Überprüfung der FIPS 140-3 Level 3-Zertifizierung von NIST, finden Sie im Onboarding-Handbuch. Azure Cloud HSM hilft Kunden aus verschiedenen Branchensegmenten (Finanzdienstleistungsbranche, Behörden und andere), diese FIPS-Anforderungen zu erfüllen.
eIDAS
Azure Cloud HSM unterstützt die eIDAS-Compliance im rahmen des österreichischen Schemas, indem sichere Schlüsselverwaltung, kryptografische Vorgänge und FIPS 140-3 Validierte Hardware bereitgestellt werden, um strenge Anforderungen an qualifizierte elektronische Signaturen und Siegel zu erfüllen, um die Einhaltung gesetzlicher Vorschriften zu gewährleisten. Weitere Informationen finden Sie im QSCD-Zertifikat.
PCI und PCI 3DS
Azure Cloud HSM stellt HSMs bereit, die überprüft werden, um PCI- und PCI 3DS-Standards zu erfüllen. Weitere Informationen zur PCI-Compliance-Zertifizierung für Azure Cloud HSM finden Sie im PCI 3DS-Compliance-Attest (AOC) im Microsoft Service Trust Center.
Azure Cloud HSM-Eignung
Azure Cloud HSM unterstützt:
- PKCS#11, OpenSSL, Java Cryptography Architecture (JCA), Java Cryptography Extension (JCE), Kryptografie-API: Next Generation (CNG) und Schlüsselspeicheranbieter (KSP).
- Active Directory Zertifikatdienste (AD CS).
- SSL/TLS Offloading (Apache oder NGINX).
- TDE (Microsoft SQL Server oder Oracle).
- Zertifikatspeicher
- Dokument, Datei und Codesignatur.
Azure Cloud HSM ist nicht:
- Eine Bare-Metal-HSM-Appliance.
- Ein geheimer Laden.
- Ein Angebot für die Lebenszyklusverwaltung von Zertifikaten.
Optimal geeignet
Azure Cloud HSM eignet sich am besten für die folgenden Szenarien:
- Migrieren von Anwendungen von lokal zu Azure Virtual Machines
- Migrieren von Anwendungen von Azure Dedicated HSM oder AWS Cloud HSM
- Unterstützung von Anwendungen, die PKCS#11 erfordern
- Ausführen von Standardsoftware wie Apache oder NGINX für SSL Offloading, SQL Server oder Oracle TDE sowie AD CS in Azure Virtual Machines
Nicht geeignet
Azure Cloud HSM integriert sich nicht in andere Plattform-als-Dienst- (PaaS) oder Software-als-Dienst-(SaaS)-Azure-Dienste. Azure Cloud HSM ist nur Infrastruktur als Dienst (IaaS).
Azure Cloud HSM eignet sich nicht gut für Microsoft-Clouddienste, die Unterstützung für die Verschlüsselung mit vom Kunden verwalteten Schlüsseln erfordern. Zu diesen Diensten gehören Azure Information Protection, Azure Disk Encryption, Azure Data Lake Storage, Azure Storage und Microsoft Purview Customer Key. In diesen Szenarien sollten Kunden Azure Key Vault Managed HSM verwenden.
Physische Sicherheit
Azure Rechenzentren verfügen über umfangreiche physische und verfahrenstechnische Sicherheitskontrollen. Die HSMs in Azure Cloud HSM werden in einem eingeschränkten Zugriffsbereich des Rechenzentrums gehostet, mit physischen Zugriffssteuerungen und Videoüberwachung für zusätzliche Sicherheit.
Azure Cloud HSM umfasst sowohl physische als auch logische Manipulationserkennungs- und Reaktionsmechanismen, die die Schlüssellöschung (Nullisierung) der Hardware initiieren. Diese Maßnahmen sollen Manipulationen erkennen, wenn die physische Barriere kompromittiert wird.
HSMs werden vor Brute-Force-Anmeldeangriffen geschützt. Das System sperrt Kryptografie-Offiziere (COs) nach einer bestimmten Anzahl von erfolglosen Zugriffsversuchen aus. Ebenso führen wiederholte erfolglose Versuche, auf ein HSM mit Kryptografiebenutzeranmeldeinformationen (CU) zuzugreifen, dazu, dass der Benutzer gesperrt wird. Ein CO muss dann das CU entsperren. Das Entsperren eines CO erfordert den getChallenge Befehl, wobei die Abfrage mit dem Partitionsbesitzerschlüssel (PO.key) über OpenSSL signiert wird, gefolgt von den unlockCO und changePswd den Befehlen.
Dienstvorgänge
Azure Cloud HSM hat keine geplanten Wartungsfenster. Microsoft könnte jedoch möglicherweise Wartungen durchführen müssen, um notwendige Upgrades vorzunehmen oder fehlerhafte Hardware zu ersetzen. Kunden werden im Voraus benachrichtigt, wenn auswirkungen erwartet werden.
Nächste Schritte
Diese Ressourcen stehen zur Verfügung, damit Sie die Bereitstellung und Konfiguration von HSMs in Ihrer vorhandenen virtuellen Netzwerkumgebung vereinfachen können: