Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Azure Cloud HSM är en hög tillgänglighet, FIPS 140-3 Level 3-validerad dedikerad tjänst som uppfyller branschstandarder. Azure Cloud HSM ger kunderna fullständig administrativ auktoritet över sina maskinvarusäkerhetsmoduler (HSM). Det tillhandahåller ett säkert och kundägt HSM-kluster för att lagra kryptografiska nycklar och utföra kryptografiska åtgärder.
Azure Cloud HSM stöder olika program, inklusive PKCS#11, avlastning av Secure Sockets Layer (SSL) eller TLS-bearbetning (Transport Layer Security), certifikatutfärdare (CA) skydd av privata nycklar och transparent datakryptering (TDE). Det stöder också dokument- och kodsignering.
Varför ska du använda Azure Cloud HSM?
Fullständigt hanterad lösning
Många kunder behöver administrativ kontroll över sin HSM men vill inte ha de omkostnader och tillhörande kostnader som följer med klusterhantering för hög tillgänglighet, korrigering och underhåll. Azure Cloud HSM-kunder har säker, direkt, krypterad åtkomst från slutpunkt till slutpunkt till HSM-noder i sitt HSM-kluster via en privat, dedikerad länk från sitt virtuella nätverk.
När en kund har etablerat ett Azure Cloud HSM-kluster har kunden administrativ åtkomst till sina HSM:er. Tjänsten Azure Cloud HSM tar hand om hög tillgänglighet, korrigering och underhåll.
Kundägd, hög tillgänglig, dedikerad HSM som en tjänst
Azure Cloud HSM ger hög tillgänglighet och redundans genom att gruppera flera HSM:er i ett HSM-kluster. Tjänsten synkroniserar automatiskt nycklar och principer över varje HSM-nod.
Varje HSM-kluster består av tre HSM-noder. Om en HSM-resurs blir otillgänglig migreras medlemsnoder för HSM-klustret automatiskt och säkert till felfria noder.
Azure Cloud HSM-klustret stöder belastningsutjämning av kryptografiska åtgärder. Periodiska HSM-säkerhetskopior hjälper till att säkerställa säker och enkel dataåterställning.
Datahemvist: Cloud HSM lagrar eller bearbetar inte kunddata utanför den region där kunden distribuerar HSM-instansen.
HSM-kluster för enskild hyresgäst
Varje Azure Cloud HSM-instans är dedikerad till en enda kund. Varje HSM-kluster använder en separat kundspecifik säkerhetsdomän som kryptografiskt isolerar den.
Efterlevnad och certifiering
Azure Cloud HSM uppfyller flera branschefterlevnadsstandarder och certifieringar för att hjälpa kunder att uppfylla regelkrav.
FIPS 140-3 nivå 3
Många organisationer har strikta branschregler som kräver att kryptografiska nycklar måste lagras i FIPS 140-3 Level 3-verifierade HSM:er. Azure Cloud HSM erbjuder HSM:er som är verifierade för att uppfylla FIPS 140-3 Nivå 3-standarder. Procedurer för att verifiera HSM:s äkthet, inklusive kontroll av FIPS 140-3-nivå 3-certifieringen från NIST, finns i registreringsguiden. Azure Cloud HSM hjälper kunder från olika branschsegment (finansbranschen, myndigheter och andra) att uppfylla dessa FIPS-krav.
eIDAS
Azure Cloud HSM stöder eIDAS-efterlevnad enligt det österrikiska systemet genom att tillhandahålla säker nyckelhantering, kryptografiska åtgärder och FIPS 140-3 Nivå 3-verifierad maskinvara för att uppfylla stränga krav på kvalificerade elektroniska signaturer och tätningar för att säkerställa regelefterlevnad. Läs mer i QSCD-certifikatet.
PCI och PCI 3DS
Azure Cloud HSM tillhandahåller HSM:er som har verifierats för att uppfylla PCI- och PCI 3DS-standarder. Mer information om PCI-efterlevnadscertifiering för Azure Cloud HSM finns i PCI 3DS Attestation of Compliance (AOC) i Microsoft Service Trust Center.
Azure Cloud HSM-lämplighet
Azure Cloud HSM stöder:
- PKCS#11, OpenSSL, Java Cryptography Architecture (JCA), Java Cryptography Extension (JCE), Cryptography API: Next Generation (CNG) och key storage provider (KSP).
- Active Directory Certificate Services (AD CS).
- SSL/TLS-avlastning (Apache eller NGINX).
- TDE (Microsoft SQL Server eller Oracle).
- Certifikatlagring
- Dokument-, fil- och kodsignering.
Azure Cloud HSM är inte:
- En HSM-installation utan operativsystem.
- En hemlig butik.
- Ett erbjudande för livscykelhantering av certifikat.
Bästa passform
Azure Cloud HSM passar bäst för följande typer av scenarier:
- Migrera program från lokal till Azure Virtual Machines
- Migrera program från Azure Dedicated HSM eller AWS Cloud HSM
- Stöd för program som kräver PKCS#11
- Köra krympomsluten programvara som Apache- eller NGINX SSL-avlastning, SQL Server eller Oracle TDE och AD CS i Azure Virtual Machines
Passar inte
Azure Cloud HSM integreras inte med andra PaaS-tjänster (Plattform som en tjänst) eller SaaS(programvara som en tjänst) Azure tjänster. Azure Cloud HSM är endast infrastruktur som en tjänst (IaaS).
Azure Cloud HSM passar inte bra för Microsofts molntjänster som kräver stöd för kryptering med kundhanterade nycklar. Dessa tjänster omfattar Azure Information Protection, Azure Disk Encryption, Azure Data Lake Storage, Azure Storage och Microsoft Purview kundnyckel. I dessa scenarier bör kunderna använda Azure Key Vault Managed HSM.
Fysisk säkerhet
Azure datacenter har omfattande fysiska och procedurmässiga säkerhetskontroller. HSM:erna i Azure Cloud HSM finns i ett område med begränsad åtkomst i datacentret, med fysiska åtkomstkontroller och videoövervakning för ökad säkerhet.
Azure Cloud HSM innehåller både fysiska och logiska mekanismer för identifiering av manipulering och svar som initierar nyckelborttagning (nollisering) av maskinvaran. Dessa åtgärder är utformade för att upptäcka manipulering om den fysiska barriären komprometteras.
HSM:er skyddas mot brute-force-inloggningsattacker. Systemet låser kryptografiansvariga (COs) efter ett visst antal misslyckade åtkomstförsök. På samma sätt resulterar upprepade misslyckade försök att få åtkomst till en HSM med autentiseringsuppgifter för kryptografianvändare (CU) till att användaren låses. En CO måste sedan låsa upp CU. För att låsa upp en CO krävs kommandot getChallenge, signering av utmaningen med ägarnyckeln för partitionen via OpenSSL (PO.key), följt av kommandona unlockCO och changePswd.
Tjänståtgärder
Azure Cloud HSM har inte schemalagda underhållsperioder. Microsoft kan dock behöva utföra underhåll för nödvändiga uppgraderingar eller felaktiga maskinvarubyten. Kunder meddelas i förväg om någon påverkan förväntas.
Nästa steg
Dessa resurser är tillgängliga för att underlätta etablering och konfiguration av HSM:er i din befintliga virtuella nätverksmiljö: