Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
HSM dedicato di Azure è in fase di ritiro. Microsoft supporterà completamente i clienti HSM dedicati esistenti fino al 31 luglio 2028. Non vengono accettati nuovi onboarding dei clienti. Per informazioni dettagliate e azioni necessarie, vedere l'aggiornamento ufficiale di Azure.
Se si è un utente del modulo di protezione hardware dedicato di Azure, vedere Eseguire la migrazione dal modulo di protezione hardware dedicato di Azure al modulo di protezione hardware gestito di Azure o al modulo di protezione hardware cloud di Azure. HSM cloud di Azure è ora disponibile a livello generale e il successore di HSM dedicato di Azure.
I nuovi clienti devono valutare ed eseguire l'onboarding nel modulo di protezione hardware cloud di Azure, nel modulo di protezione hardware gestito di Azure o in Azure Key Vault in base ai requisiti del carico di lavoro. Per indicazioni, vedere Come scegliere la soluzione di gestione delle chiavi di Azure appropriata.
HSM dedicato di Azure è un servizio di Azure che fornisce l'archiviazione delle chiavi crittografiche in Azure. Il modulo di protezione hardware dedicato soddisfa i requisiti di sicurezza più rigorosi. È la soluzione ideale per i clienti che richiedono dispositivi convalidati FIPS 140-2 di livello 3 e il controllo completo ed esclusivo dell'appliance HSM.
I dispositivi HSM vengono distribuiti a livello globale in diverse aree di Azure. È possibile eseguirne facilmente il provisioning in coppia di dispositivi e configurarli per una disponibilità elevata. È anche possibile effettuare il provisioning dei dispositivi HSM tra varie aree per garantire il failover a livello regionale. Microsoft offre il servizio HSM dedicato usando le appliance A790 del modello HSM Thales Luna 7 . Questo dispositivo offre i livelli più elevati di prestazioni e opzioni di integrazione crittografica.
Dopo il provisioning, i dispositivi HSM sono connessi direttamente alla rete virtuale di un cliente. È anche possibile accedervi tramite strumenti di gestione e applicazioni locali quando si configura la connettività VPN da punto a sito o da sito a sito. I clienti ottengono il software e la documentazione per configurare e gestire i dispositivi HSM dal portale di supporto clienti thales.
Perché usare HSM dedicato di Azure?
Conformità FIPS 140-2 Livello 3
Molte organizzazioni hanno normative di settore rigorose che impongono che le chiavi crittografiche devono essere archiviate in moduli di protezione hardware convalidati FIPS 140-2 Livello 3 . HSM Dedicato di Azure e una nuova offerta a tenant singolo, HSM Gestito di Azure Key Vault, aiutano i clienti di vari segmenti di settore, come il settore dei servizi finanziari, le agenzie governative e altri, a soddisfare i requisiti FIPS 140-2 di livello 3. Mentre il servizio Azure Key Vault multi-tenant di Microsoft usa attualmente moduli di protezione hardware convalidati FIPS 140-2 Livello 2.
Dispositivi a tenant singolo
Molti dei nostri clienti richiedono la singola proprietà del dispositivo di archiviazione crittografico. Il servizio HSM dedicato di Azure consente di effettuare il provisioning di un dispositivo fisico da uno dei data center distribuiti a livello globale di Microsoft. Una volta che il dispositivo è stato configurato per un cliente specifico, solo quel cliente può accedervi.
Controllo amministrativo completo
Molti clienti richiedono il controllo amministrativo completo e l'accesso esclusivo al dispositivo per scopi amministrativi. Dopo il provisioning di un dispositivo, solo il cliente ha accesso amministrativo o a livello di applicazione al dispositivo.
Microsoft non ha alcun controllo amministrativo dopo che il cliente accede al dispositivo per la prima volta, a quel punto il cliente modifica la password. Da questo punto, il cliente è un vero tenant singolo con controllo amministrativo completo e funzionalità di gestione delle applicazioni. Microsoft gestisce l'accesso a livello di monitoraggio (non un ruolo di amministratore) per i dati di telemetria tramite la connessione alla porta seriale. Questo accesso riguarda i monitor hardware, ad esempio temperatura, integrità dell'alimentazione e salute della ventola.
Il cliente è libero di disabilitare questo monitoraggio necessario. Tuttavia, se lo disabilitano, non riceveranno avvisi di salute proattivi da Microsoft.
Prestazioni elevate
Il dispositivo Thales è stato selezionato per questo servizio per diversi motivi. Offre un'ampia gamma di supporto per algoritmi di crittografia, sistemi operativi supportati diversi e ampio supporto per le API. Il modello specifico distribuito offre prestazioni eccellenti con 10.000 operazioni al secondo per RSA-2048. Supporta 10 partizioni che possono essere usate per le istanze dell'applicazione univoche. Questo dispositivo è un dispositivo a bassa latenza, capacità elevata e velocità effettiva elevata.
Offerta unica basata sul cloud
Microsoft ha riconosciuto una necessità specifica per un set univoco di clienti. È l'unico provider di servizi cloud che offre ai nuovi clienti un servizio HSM dedicato convalidato da FIPS 140-2 Livello 3 e offre tale estensione dell'integrazione di applicazioni locali e basate sul cloud.
Azure HSM dedicato è adatto a te?
HSM dedicato di Azure è un servizio specializzato che soddisfa requisiti univoci per un tipo specifico di organizzazione su larga scala. Di conseguenza, è previsto che la maggior parte dei clienti di Azure non si adatti al profilo d'uso per questo servizio. Molti trovano il servizio Azure Key Vault o il servizio HSM gestito di Azure per essere più appropriato e conveniente. Per aiutarti a decidere se è adatto ai tuoi requisiti, abbiamo identificato i criteri seguenti.
Soluzione ottimale
HSM dedicato di Azure è particolarmente adatto per gli scenari di trasferimento in modalità “lift-and-shift” che richiedono l'accesso diretto ed esclusivo ai dispositivi HSM. Gli esempi includono:
- La migrazione delle applicazioni dalle macchine locali alle macchine virtuali di Azure
- Migrazione di applicazioni da Amazon AWS EC2 a macchine virtuali che usano il servizio AWS Cloud HSM Classic (Amazon non offre questo servizio ai nuovi clienti)
- L'esecuzione di software standard, come Apache/Ngnix SSL Offload, Oracle TDE e ADCS, nelle macchine virtuali di Microsoft Azure
Non è adatto
HSM dedicato di Azure non rappresenta una soluzione adatta per il tipo di scenario seguente: i servizi cloud Microsoft che supportano la crittografia con chiavi gestite dal cliente (ad esempio Azure Information Protection, Crittografia dischi di Azure, Azure Data Lake Store, Archiviazione di Azure, Database SQL di Azure e Customer Key per Office 365) non sono integrati con HSM dedicato di Azure.
Annotazioni
I clienti devono avere un Account Manager Microsoft assegnato e soddisfare il requisito monetario di cinque milioni di dollari ($5M USD) o superiore nei ricavi complessivi impegnati annualmente in Azure per qualificarsi per l'integrazione e l'utilizzo di Azure Dedicated HSM.
Dipende
Se l'HSM dedicato Azure funzioni per te dipende da una combinazione potenzialmente complessa di requisiti e compromessi che puoi o non puoi eseguire. Un esempio è il requisito FIPS 140-2 Level 3. Questo requisito è comune, e Azure Dedicated HSM e una nuova offerta a tenant singolo, Azure Key Vault Managed HSM, sono attualmente le uniche opzioni per soddisfarlo. Se questi requisiti obbligatori non sono rilevanti, spesso è una scelta tra Azure Key Vault e HSM dedicato di Azure. Valutare i requisiti prima di prendere una decisione.
Le situazioni in cui è necessario valutare le opzioni includono:
- Nuovo codice in esecuzione nella macchina virtuale di Azure di un cliente
- TDE di SQL Server in una macchina virtuale di Azure
- Archiviazione di Azure con crittografia lato client
- Tecnologia Always Encrypted di SQL Server e database SQL di Azure
Passaggi successivi
HSM dedicato è un servizio altamente specializzato. È pertanto consigliabile comprendere appieno i concetti chiave di questo set di documentazione, inclusi i prezzi, il supporto e i contratti di servizio.
Le guide all'integrazione di Thales consentono di facilitare il provisioning di moduli di protezione hardware in un ambiente di rete virtuale esistente. Sono disponibili anche guide pratiche per determinare come configurare l'architettura di distribuzione.