Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure HSM integrato è una cache HSM (Hardware Security Module) e un offload di crittografia progettato per migliorare la sicurezza e le prestazioni delle operazioni di crittografia nelle macchine virtuali. Per i clienti che si affidano principalmente alla crittografia e hanno carichi di lavoro a elevato utilizzo delle prestazioni, Azure HSM integrato offre un modo sicuro basato su hardware per archiviare le chiavi crittografiche per un utilizzo rapido e sicuro.
A partire dal nuovo hardware server Azure AMD Serie V7 e AMD E serie v7, i chip HSM progettati Microsoft sono incorporati direttamente nei server, soddisfando gli standard FIPS (Federal Information Processing Standards) 140-3 Livello 3. Questi chip resistenti alle manomissioni mantengono le chiavi di crittografia entro limiti hardware sicuri, eliminando i rischi di latenza ed esposizione. Il modulo di protezione hardware integrato funziona in modo trasparente per impostazione predefinita per i servizi supportati, ad esempio Azure Key Vault e la crittografia Archiviazione di Azure, fornendo attendibilità applicata dall'hardware senza più configurazione. Questa integrazione garantisce che le operazioni crittografiche traggono vantaggio dall'isolamento della sicurezza a livello di hardware mantenendo al tempo stesso le prestazioni e la scalabilità dei servizi cloud.
Vantaggi dell'HSM integrato in Azure
-
Bassa latenza
- Ridurre i viaggi di andata e ritorno di rete per Azure Key Vault o HSM Gestito eseguendo operazioni crittografiche localmente nello stesso nodo della macchina virtuale (VM)
-
Le chiavi rimangono protette
- Le chiavi archiviate nell'HSM integrato di Azure non vengono esposte in chiaro e rimangono all'interno di un limite HSM FIPS 140-3 Livello 3.
-
Protezione della memoria
- Protezione dagli attacchi contro la memoria e i crash-dump
-
Infrastruttura integrata
- Azure HSM integrato è collegato a ogni nodo supportato come parte dell'infrastruttura di Azure
-
Nessun costo aggiuntivo
- Disponibile senza costi aggiuntivi
Operazioni supportate
Per Azure modulo di protezione hardware integrato sono supportate le operazioni di crittografia seguenti:
-
AES - Crittografa e decrittografia (
BCRYPT_AES_ALGORITHM)-
AES-CBC (
BCRYPT_CHAIN_MODE_CBC)- 128 bit
- 192 bit
- 256 bit
-
AES-GCM (
BCRYPT_CHAIN_MODE_GCM)- 256 bit
-
AES-XTS (
BCRYPT_XTS_AES_ALGORITHM)- 512 bit
-
AES-CBC (
-
RSA (
BCRYPT_RSA_ALGORITHM)-
Decrittografare e firma
- RSA 2048 (2k)
- RSA 3072 (3k)
- RSA 4096 (4k)
-
Unwrap
- RSA 2048 (2k)
-
Decrittografare e firma
-
ECC
-
ECDSA - Segno (
BCRYPT_ECDSA_ALGORITHM)- ECC P256 (
BCRYPT_ECDSA_P256_ALGORITHM) - ECC P384 (
BCRYPT_ECDSA_P384_ALGORITHM) - ECC P521 (
BCRYPT_ECDSA_P521_ALGORITHM)
- ECC P256 (
-
ECDH - Segreto Exchange (
BCRYPT_ECDH_ALGORITHM)- ECC P256 (
BCRYPT_ECDH_P256_ALGORITHM) - ECC P384 (
BCRYPT_ECDH_P384_ALGORITHM) - ECC P521 (
BCRYPT_ECDH_P521_ALGORITHM)
- ECC P256 (
-
ECDSA - Segno (
-
Derivazione della chiave
-
HKDF ("Funzione derivazione chiave basata su HMAC") (
BCRYPT_HKDF_ALGORITHM)- Come definito in IETF RFC 5869 e indicato in NCrypt dalla
BCRYPT_HKDF_ALGORITHMstringa
- Come definito in IETF RFC 5869 e indicato in NCrypt dalla
-
HKDF ("Funzione derivazione chiave basata su HMAC") (
Disponibilità e prezzi
Azure HSM integrato è ora disponibile per l'uso nella piattaforma AMD v7 disponibile a livello generale in tutte le aree supportate da AMD v7. Questa opzione è supportata per la serie Dasv7 per utilizzo generico, dadsv7, serie Easv7 e serie Eadsv7 per 8 vCore e versioni successive per le macchine virtuali di avvio attendibile. La disponibilità generale del modulo di protezione hardware integrato Azure è destinata solo al supporto Windows, con il supporto per Linux presto disponibile. Questa funzionalità è disponibile senza costi aggiuntivi.
Il repository GitHub include esempi di clienti e istruzioni per maggiori dettagli su come utilizzare Azure Integrated HSM.
Limitations
- Solo supporto guest per Windows
- L'immagine guest di Windows con WS2025 o WS2022 può supportare AziHSM. Visitare la pagina GitHub per altre istruzioni sull'installazione del driver guest e del provider di servizi chiave necessari per l'interazione con il dispositivo.
- Richiede il consenso esplicito del cliente, non abilitato per impostazione predefinita per tutti gli SKU.
- Per altre informazioni su come acconsentire esplicitamente, vedere la documentazione relativa alla distribuzione.
- Supportato solo su SKU di macchine virtuali selezionate
- Requisito minimo per le dimensioni della macchina virtuale
- Azure HSM integrato è supportato solo per le dimensioni 8vCores e superiori
- Supportato solo il tipo di sicurezza di avvio attendibile
- Questa funzionalità è disponibile solo per il tipo di sicurezza di avvio attendibile. Standard e Confidential non sono supportati.
- Nessuna persistenza delle chiavi memorizzate nella cache locale tra scenari di deallocazione e riavvio delle macchine virtuali
- Azure HSM integrato è una cache delle chiavi locale progettata per supportare operazioni di crittografia temporanee. Le chiavi non verranno mantenute tra i riavvii della macchina virtuale.