次の方法で共有

Azure Cloud HSM とは

Microsoft Azure Cloud HSM は、業界標準に準拠した、高可用性の FIPS 140-3 レベル 3 で検証されたシングルテナント サービスです。 Azure Cloud HSM は、お客様にハードウェア セキュリティ モジュール (HSM) に対する完全な管理権限を付与します。 暗号化キーを格納し、暗号化操作を実行するための、セキュリティで保護された顧客所有の HSM クラスターが提供されます。

Azure Cloud HSM は、PKCS#11、Secure Sockets Layer (SSL) またはトランスポート層セキュリティ (TLS) 処理のオフロード、証明機関 (CA) 秘密キー保護、透過的なデータ暗号化 (TDE) など、さまざまなアプリケーションをサポートしています。 また、ドキュメントとコードの署名もサポートしています。

Azure Cloud HSM を使用する理由

フル マネージド ソリューション

多くのお客様は HSM の管理制御を必要としますが、高可用性、修正プログラムの適用、メンテナンスのためのクラスター管理に伴うオーバーヘッドと補助的なコストは必要ありません。 Azure Cloud HSM のお客様は、仮想ネットワークからのプライベートな専用リンクを介して、HSM クラスター内の HSM ノードへの安全で直接的なエンド ツー エンドの暗号化アクセスを行うことができます。

顧客が Azure Cloud HSM クラスターをプロビジョニングした後、顧客は HSM への管理アクセスを維持します。 Azure Cloud HSM サービスは、高可用性、修正プログラムの適用、およびメンテナンスを処理します。

顧客所有で高可用性を備えた、シングルテナントのサービスとしての HSM

Azure Cloud HSM は、複数の HSM を HSM クラスターにグループ化することで、高可用性と冗長性を実現します。 サービスは、各 HSM ノード間でキーとポリシーを自動的に同期します。

各 HSM クラスターは、3 つの HSM ノードで構成されます。 HSM リソースが使用できなくなった場合、HSM クラスターのメンバー ノードは自動的に安全に正常なノードに移行されます。

Azure Cloud HSM クラスターでは、暗号化操作の負荷分散がサポートされています。 定期的な HSM バックアップは、セキュリティで保護されたシンプルなデータ復旧を保証するのに役立ちます。

データ所在地: Cloud HSM は、顧客が HSM インスタンスをデプロイするリージョンの外部に顧客データを格納または処理しません。

シングルテナント HSM クラスター

各 Azure Cloud HSM インスタンスは、1 人の顧客専用です。 各 HSM クラスターは、暗号化によって分離する個別の顧客固有のセキュリティ ドメインを使用します。

コンプライアンスと認定資格

Azure Cloud HSM は、複数の業界コンプライアンス標準と認定を満たし、お客様が規制要件を満たすのに役立ちます。

FIPS 140-3 レベル 3

多くの組織には、暗号化キーを FIPS 140-3 レベル 3 の検証済み HSM に格納する必要があることを規定する厳しい業界規制があります。 Azure Cloud HSM には、FIPS 140-3 レベル 3 標準を満たすように検証された HSM が用意されています。 NIST からの FIPS 140-3 レベル 3 認定の確認など、HSM の信頼性を確認する手順については、オンボード ガイドを参照してください。 Azure Cloud HSM は、さまざまな業界セグメント (金融サービス業界、政府機関など) のお客様がこれらの FIPS 要件を満たすのに役立ちます。

eIDAS

Azure Cloud HSM は、セキュリティで保護されたキー管理、暗号化操作、FIPS 140-3 レベル 3 で検証されたハードウェアを提供することで、オーストリアのスキームに基づく eIDAS コンプライアンスをサポートし、規制コンプライアンスを確保するために認定された電子署名とシールの厳格な要件を満たします。 詳細については、 QSCD 証明書を参照してください。

PCI および PCI 3DS

Azure Cloud HSM は、PCI および PCI 3DS 標準を満たすように検証された HSM を提供します。 Azure Cloud HSM の PCI コンプライアンス認定の詳細については、Microsoft Service Trust Center の PCI 3DS コンプライアンス構成証明 (AOC) を参照してください。

Azure Cloud HSM の適合性

Azure Cloud HSM では、次の機能がサポートされます。

  • PKCS#11、OpenSSL、Java Cryptography Architecture (JCA)、Java Cryptography Extension (JCE)、Cryptography API: Next Generation (CNG)、キー ストレージ プロバイダー (KSP)。
  • Active Directory 証明書サービス (AD CS)
  • SSL/TLS オフロード (Apache または NGINX)。
  • TDE (Microsoft SQL Server または Oracle)。
  • 証明書ストレージ
  • ドキュメント、ファイル、およびコード署名。

Azure Cloud HSM はではありません

  • ベアメタル HSM アプライアンス。
  • シークレット ストア。
  • 証明書ライフサイクル管理の提供。

最適

Azure Cloud HSM は、次の種類のシナリオに最適です。

  • オンプレミスからAzure Virtual Machinesへのアプリケーションの移行
  • Azure Dedicated HSMまたは AWS Cloud HSM からのアプリケーションの移行
  • PKCS#11 を必要とするアプリケーションのサポート
  • Azure Virtual Machinesでの Apache または NGINX SSL オフロード、SQL Serverまたは Oracle TDE、AD CS などの圧縮ラップされたソフトウェアの実行

適していない

Azure Cloud HSM は、他のサービスとしてのプラットフォーム (PaaS) やサービスとしてのソフトウェア (SaaS) Azure サービスと統合されません。 Azure Cloud HSM は、サービスとしてのインフラストラクチャ (IaaS) のみです。

Azure Cloud HSM は、カスタマー マネージド キーを使用した暗号化のサポートを必要とする Microsoft クラウド サービスには適していません。 これらのサービスには、Azure Information Protection、Azure Disk Encryption、Azure Data Lake Storage、Azure Storage、Microsoft Purviewカスタマー キーが含まれます。 このようなシナリオでは、Azure Key Vault Managed HSM を使用する必要があります。

物理的なセキュリティ

Azureデータセンターには、広範な物理的および手続き型のセキュリティ制御があります。 Azure Cloud HSM の HSM は、データセンターの制限付きアクセス領域でホストされ、物理的なアクセス制御とビデオ監視によってセキュリティが強化されます。

Azure Cloud HSM には、ハードウェアのキー削除 (ゼロ化) を開始する物理的および論理的な改ざん検出と応答メカニズムの両方が組み込まれています。 これらの対策は、物理的な障壁が侵害された場合に改ざんを検出するように設計されています。

HSM は、ブルート フォース サインイン攻撃から保護されます。 システムは、一連の失敗したアクセス試行の後に、暗号役員 (CO) をロックアウトします。 同様に、暗号化ユーザー (CU) 資格情報を使用して HSM にアクセスしようとすると、ユーザーがロックアウトされます。 その後、CO は CU のロックを解除する必要があります。 CO のロックを解除するには、 getChallenge コマンドが必要です。OpenSSL を使用してパーティション所有者キー (PO.key) を使用してチャレンジに署名した後、 unlockCO コマンドと changePswd コマンドを実行します。

サービス操作

Azure Cloud HSM には、スケジュールされたメンテナンス期間がありません。 ただし、必要なアップグレードやハードウェアの交換に問題がある場合は、Microsoft がメンテナンスを実行する必要がある場合があります。 影響が予想される場合は、事前に通知されます。

次のステップ

これらのリソースは、既存の仮想ネットワーク環境への HSM のプロビジョニングと構成を容易にするために使用できます。

  • Last updated on