Consigliare quando usare un modulo di protezione hardware dedicato (HSM)

  • 7 minuti

HSM dedicato di Azure è un servizio di Azure che fornisce l'archiviazione delle chiavi crittografiche in Azure. Il modulo di protezione hardware dedicato soddisfa i requisiti di sicurezza più rigorosi. È la soluzione ideale per i clienti che richiedono dispositivi convalidati FIPS 140-2 di livello 3 e il controllo completo ed esclusivo dell'appliance HSM.

I dispositivi HSM vengono distribuiti a livello globale in diverse aree di Azure. È possibile eseguirne facilmente il provisioning in coppia di dispositivi e configurarli per una disponibilità elevata. È anche possibile effettuare il provisioning dei dispositivi HSM tra aree in modo da garantire il failover a livello di area. Microsoft offre il servizio HSM dedicato usando le appliance A790 del modello HSM Thales Luna 7. Questo dispositivo offre i livelli più elevati di prestazioni e opzioni di integrazione crittografica.

Dopo il provisioning, i dispositivi HSM sono connessi direttamente alla rete virtuale di un cliente. È anche possibile accedervi tramite strumenti di gestione e applicazioni locali quando si configura la connettività VPN da punto a sito o da sito a sito. I clienti ottengono il software e la documentazione per configurare e gestire i dispositivi HSM dal portale di supporto clienti thales.

Perché usare HSM dedicato di Azure?

Conformità FIPS 140-2 Livello 3

Molte organizzazioni hanno normative di settore rigorose che impongono che le chiavi crittografiche devono essere archiviate in moduli di protezione hardware convalidati FIPS 140-2 Livello 3. HSM dedicato di Azure e una nuova offerta a tenant singolo, Azure Key Vault Managed HSM, aiuta i clienti di diversi segmenti di settore come i servizi finanziari, le agenzie governative e altri a soddisfare i requisiti FIPS 140-2 di livello 3. Il servizio Azure Key Vault multi-tenant di Microsoft usa attualmente moduli di protezione hardware convalidati FIPS 140-2 livello 2.

Dispositivi a tenant singolo

Molti dei nostri clienti richiedono la singola proprietà del dispositivo di archiviazione crittografico. Il servizio HSM dedicato di Azure consente di effettuare il provisioning di un dispositivo fisico da uno dei data center distribuiti a livello globale di Microsoft. Dopo che è stato configurato per un cliente, solo quel cliente può accedere al dispositivo.

Controllo amministrativo completo

Molti clienti richiedono il controllo amministrativo completo e l'accesso esclusivo al dispositivo per scopi amministrativi. Dopo il provisioning di un dispositivo, solo il cliente ha accesso amministrativo o a livello di applicazione al dispositivo.

Microsoft non ha alcun controllo amministrativo dopo che il cliente accede al dispositivo per la prima volta, a quel punto il cliente modifica la password. Da questo punto, il cliente è un vero tenant singolo con controllo amministrativo completo e funzionalità di gestione delle applicazioni. Microsoft gestisce l'accesso a livello di monitoraggio (non un ruolo di amministratore) per i dati di telemetria tramite la connessione alla porta seriale. Questo accesso riguarda i monitor hardware, ad esempio temperatura, integrità dell'alimentazione e salute della ventola.

Il cliente è libero di disabilitare questo monitoraggio necessario. Tuttavia, se lo disabilitano, non riceveranno avvisi di salute proattivi da Microsoft.

Prestazioni elevate

Il dispositivo Thales è stato selezionato per questo servizio per diversi motivi. Offre un'ampia gamma di supporto per algoritmi di crittografia, un'ampia gamma di sistemi operativi supportati e un ampio supporto per le API. Il modello specifico distribuito offre prestazioni eccellenti con 10.000 operazioni al secondo per RSA-2048. Supporta 10 partizioni che possono essere usate per le istanze dell'applicazione univoche. Questo dispositivo è un dispositivo a bassa latenza, capacità elevata e velocità effettiva elevata.

Offerta unica basata sul cloud

Microsoft ha riconosciuto una necessità specifica per un set univoco di clienti. È l'unico provider di servizi cloud che offre ai nuovi clienti un servizio HSM dedicato convalidato da FIPS 140-2 Livello 3 e offre tale estensione dell'integrazione di applicazioni locali e basate sul cloud.

Azure HSM dedicato è adatto a te?

HSM dedicato di Azure è un servizio specializzato che soddisfa requisiti univoci per un tipo specifico di organizzazione su larga scala. Di conseguenza, è previsto che la maggior parte dei clienti di Azure non si adatti al profilo d'uso per questo servizio. Molti troveranno il servizio Azure Key Vault o il servizio HSM gestito di Azure per essere più appropriato e conveniente. Per aiutarti a decidere se è adatto ai tuoi requisiti, abbiamo identificato i criteri seguenti.

Soluzione migliore

HSM dedicato di Azure è particolarmente adatto per gli scenari di trasferimento in modalità “lift-and-shift” che richiedono l'accesso diretto ed esclusivo ai dispositivi HSM. Gli esempi includono:

  • Migrazione di applicazioni dall'ambiente locale alle macchine virtuali di Azure.
  • Migrazione di applicazioni da Amazon AWS EC2 a macchine virtuali che usano il servizio AWS Cloud HSM Classic (Amazon non offre questo servizio ai nuovi clienti).
  • Esecuzione di software con wrapping ridotto, ad esempio Apache/Ngnix SSL Offload, Oracle TDE e ADCS in Macchine virtuali di Azure.

Non è adatto

HSM dedicato di Azure non è adatto per il tipo di scenario seguente: i servizi cloud Microsoft che supportano la crittografia con chiavi gestite dal cliente (ad esempio Azure Information Protection, Crittografia dischi di Azure, Azure Data Lake Store, Archiviazione di Azure, database SQL di Azure e Customer Key per Office 365) che non sono integrati con HSM dedicato di Azure.

Annotazioni

I clienti devono avere un Account Manager Microsoft assegnato e soddisfare il requisito monetario di cinque milioni di dollari ($5M USD) o superiore nei ricavi complessivi impegnati annualmente in Azure per qualificarsi per l'integrazione e l'utilizzo di Azure Dedicated HSM.

Dipende

Il funzionamento del modulo di protezione hardware dedicato di Azure dipende da una combinazione potenzialmente complessa di requisiti e compromessi che è possibile o meno eseguire. Un esempio è il requisito FIPS 140-2 Level 3. Questo requisito è comune e Azure Dedicated HSM insieme a una nuova offerta a tenant singolo, il modulo di protezione hardware gestito di Azure Key Vault, sono attualmente le uniche opzioni disponibili per soddisfarlo. Se questi requisiti obbligatori non sono rilevanti, spesso è una scelta tra Azure Key Vault e HSM dedicato di Azure. Valutare i requisiti prima di prendere una decisione.

Le situazioni in cui è necessario valutare le opzioni includono:

  • Nuovo codice in esecuzione nella macchina virtuale di Azure di un cliente
  • TDE di SQL Server in una macchina virtuale di Azure
  • Archiviazione di Azure con crittografia lato client
  • Always Encrypted per database SQL Server e SQL di Azure