Recomienda cuándo usar un módulo de seguridad de hardware dedicado (HSM)
Azure Dedicated HSM es un servicio de Azure que proporciona almacenamiento de claves criptográficas en Azure. Dedicated HSM cumple los requisitos de seguridad más estrictos. Es la solución ideal para los clientes que requieren dispositivos validados por FIPS 140-2 de nivel 3 y control completo y exclusivo del dispositivo HSM.
Los dispositivos HSM se implementan globalmente en varias regiones de Azure. Se pueden aprovisionar fácilmente como un par de dispositivos y configurarse para alta disponibilidad. Los dispositivos HSM también se pueden aprovisionar entre regiones para garantizar la conmutación por error de nivel regional. Microsoft ofrece el servicio Dedicated HSM mediante el uso de los dispositivos thales Luna 7 HSM modelo A790. Este dispositivo ofrece los niveles más altos de rendimiento y opciones de integración criptográfica.
Una vez aprovisionados, los dispositivos HSM se conectan directamente a la red virtual de un cliente. También se puede acceder a ellas mediante herramientas de administración y aplicaciones locales al configurar la conectividad VPN de punto a sitio o de sitio a sitio. Los clientes obtienen el software y la documentación para configurar y administrar dispositivos HSM desde el portal de soporte al cliente de Thales.
¿Por qué usar Azure Dedicated HSM?
Cumplimiento de FIPS 140-2 nivel 3
Muchas organizaciones tienen estrictas regulaciones del sector que dictan que las claves criptográficas deben almacenarse en HSM validados por FIPS 140-2 nivel 3. Azure Dedicated HSM y una nueva oferta de inquilino único, HSM administrado de Azure Key Vault, ayudan a los clientes de varios segmentos del sector, como el sector de servicios financieros, las agencias gubernamentales y otros a cumplir los requisitos de FIPS 140-2 nivel 3. El servicio Azure Key Vault multiinquilino de Microsoft usa actualmente HSM validados por FIPS 140-2 de nivel 2.
Dispositivos de un solo inquilino
Muchos de nuestros clientes tienen un requisito para el inquilino único del dispositivo de almacenamiento criptográfico. El servicio Azure Dedicated HSM les permite aprovisionar un dispositivo físico desde uno de los centros de datos distribuidos globalmente de Microsoft. Después de que se aprovisione en un cliente, solo ese cliente puede acceder al dispositivo.
Control administrativo completo
Muchos clientes requieren control administrativo total y acceso exclusivo a su dispositivo con fines administrativos. Una vez aprovisionado un dispositivo, solo el cliente tiene acceso administrativo o de nivel de aplicación al dispositivo.
Microsoft no tiene ningún control administrativo después de que el cliente acceda al dispositivo por primera vez, en cuyo momento el cliente cambia la contraseña. Desde ese punto, el cliente es un verdadero inquilino único con control administrativo total y funcionalidad de administración de aplicaciones. Microsoft mantiene el acceso de nivel de supervisión (no un rol de administrador) para la telemetría a través de la conexión de puerto serie. Este acceso cubre monitores de hardware como la temperatura, el estado de la fuente de alimentación y el estado del ventilador.
El cliente puede deshabilitar esta supervisión necesaria. Sin embargo, si lo deshabilitan, no recibirán alertas de estado proactivas de Microsoft.
Alto rendimiento
El dispositivo Thales se seleccionó por este servicio por diversos motivos. Ofrece una amplia gama de compatibilidad con algoritmos criptográficos, una variedad de sistemas operativos compatibles y una amplia compatibilidad con API. El modelo específico implementado ofrece un rendimiento excelente con 10 000 operaciones por segundo para RSA-2048. Admite 10 particiones que se pueden usar para instancias de aplicación únicas. Este dispositivo es una latencia baja, una alta capacidad y un dispositivo de alto rendimiento.
Oferta única basada en la nube
Microsoft reconoció una necesidad específica de un conjunto único de clientes. Es el único proveedor en la nube que ofrece a los nuevos clientes un servicio HSM dedicado que está validado por FIPS 140-2 de nivel 3 y ofrece una extensión de integración de aplicaciones local y basada en la nube.
¿Azure Dedicated HSM es adecuado para usted?
Azure Dedicated HSM es un servicio especializado que aborda los requisitos únicos de un tipo específico de organización a gran escala. Como resultado, se espera que la mayor parte de los clientes de Azure no se ajusten al perfil de uso de este servicio. Muchos encontrarán el servicio Azure Key Vault o HSM administrado de Azure para que sea más adecuado y rentable. Para ayudarle a decidir si es adecuado para sus requisitos, hemos identificado los siguientes criterios.
Casos en los que está indicado
Azure Dedicated HSM es más adecuado para escenarios de "lift-and-shift" que requieren acceso directo y exclusivo a dispositivos HSM. Algunos ejemplos son:
- Migración de aplicaciones del entorno local a Azure Virtual Machines.
- Migración de aplicaciones de Amazon AWS EC2 a máquinas virtuales que usan el servicio AWS Cloud HSM Classic (Amazon no ofrece este servicio a nuevos clientes).
- Ejecución de software encapsulado de reducción, como descarga ssl de Apache/Ngnix, TDE de Oracle y ADCS en Azure Virtual Machines.
Casos en los que no está indicado
Azure Dedicated HSM no es una buena opción para el siguiente tipo de escenario: servicios en la nube de Microsoft que admiten el cifrado con claves administradas por el cliente (como Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store, Azure Storage, Azure SQL Database y clave de cliente para Office 365) que no están integrados con Azure Dedicated HSM.
Nota:
Los clientes deben tener asignado administrador de cuentas de Microsoft y cumplir el requisito monetario de cinco millones ($5M) USD o superior en los ingresos totales confirmados de Azure anualmente para calificar para la incorporación y el uso de Azure Dedicated HSM.
Depende
Tanto si Azure Dedicated HSM funcionará para usted depende de una combinación potencialmente compleja de requisitos y riesgos que pueda o no realizar. Un ejemplo es el requisito fiPS 140-2 nivel 3. Este requisito es común y Azure Dedicated HSM y una nueva oferta de inquilino único, HSM administrado de Azure Key Vault son actualmente las únicas opciones para cumplirlo. Si estos requisitos obligatorios no son pertinentes, a menudo es una opción entre Azure Key Vault y Azure Dedicated HSM. Evalúe sus requisitos antes de tomar una decisión.
Entre las situaciones en las que tendrá que pesar sus opciones se incluyen:
- Nuevo código que se ejecuta en la máquina virtual de Azure de un cliente
- TDE de SQL Server en una máquina virtual de Azure
- Cifrado del lado cliente de Azure Storage
- SQL Server y Azure SQL DB Always Encrypted