بنية توزيع Azure Dedicated HSM
يوفر Azure Dedicated HSM تخزين مفتاح التشفير في Azure. وهو يفي بمتطلبات أمنية صارمة. سيستفيد العملاء من استخدام Azure Dedicated HSM إذا كانوا:
- يجب أن تفي بشهادة FIPS 140-2 المستوى 3
- المطالبة بأن يكون لديهم حق الوصول الحصري إلى HSM
- يجب أن يكون لديهم تحكم كامل في أجهزتهم
يتم توزيع HSMs عبر مراكز بيانات Microsoft ويمكن توفيرها بسهولة كزوج من الأجهزة كأساس لحل عالي التوفر. كما يمكن نشرها عبر المناطق لحل مرن للكوارث. يمكن التحقق من المناطق التي يتوفر فيها Dedicated HSM حاليا باستخدام صفحة المنتجات حسب المنطقة.
- شرق الولايات المتحدة
- East US 2
- غرب الولايات المتحدة
- West US 2
- شرق كندا
- وسط كندا
- South Central US
- جنوب شرق آسيا
- وسط الهند
- جنوب الهند
- شرق اليابان
- غرب اليابان
- أوروبا الشمالية
- أوروبا الغربية
- جنوب المملكة المتحدة
- غرب المملكة المتحدة
- شرق أستراليا
- جنوب شرق أستراليا
- شمال سويسرا
- غرب سويسرا
- ولاية فرجينيا الأمريكية
- ولاية تكساس الأمريكية
تحتوي كل منطقة من هذه المناطق على رفوف HSM موزعة إما في مركزي بيانات مستقلين أو على الأقل منطقتين مستقلتين للتوفر. يحتوي جنوب شرق آسيا على ثلاث مناطق توفر وشرق الولايات المتحدة 2 له منطقتان. هناك ما مجموعه 23 منطقة في جميع أنحاء أوروبا وآسيا وأمريكا الشمالية التي تقدم خدمة Dedicated HSM. لمزيد من المعلومات حول مناطق Azure، راجع معلومات مناطق Azure الرسمية. بعض عوامل التصميم لأي حل مخصص قائم على HSM هي الموقع/زمن الانتقال والتوافر العالي والدعم للتطبيقات الموزعة الأخرى.
موقع الجهاز
موقع جهاز HSM الأمثل على مقربة من التطبيقات التي تقوم بعمليات التشفير. من المتوقع أن يكون زمن الانتقال داخل المنطقة مكونا من رقم واحد بالمللي ثانية. قد يكون زمن الانتقال عبر المناطق أعلى من ذلك ب 5 إلى 10 مرات.
التوافر العالي
لتحقيق قابلية وصول عالية، يجب على العميل استخدام جهازي HSM في منطقة تم تكوينها باستخدام برنامج Thales كزوج قابلية وصول عالية. يضمن هذا النوع من النشر توفر المفاتيح إذا واجه جهاز واحد مشكلة تمنعه من معالجة عمليات المفاتيح. كما أنه يقلل بشكل كبير من المخاطر عند إجراء صيانة التوقف/الإصلاح مثل استبدال مزود الطاقة. من المهم أن يراعى التصميم أي نوع من حالات الفشل على المستوى الإقليمي. يمكن أن تحدث حالات الفشل على المستوى الإقليمي عندما تكون هناك كوارث طبيعية مثل الأعاصير أو الفيضانات أو الزلازل. يجب تخفيف هذه الأنواع من الأحداث عن طريق توفير أجهزة HSM في منطقة أخرى. قد يتم إقران الأجهزة المنشورة في منطقة أخرى معا عبر تكوين برنامج Thales. وهذا يعني أن الحد الأدنى للتوزيع لحل متوفر للغاية ومرونة بعد الكوارث هو أربعة أجهزة HSM عبر منطقتين. يمكن استخدام التكرار المحلي والتكرار عبر المناطق كأساس لإضافة أي عمليات نشر إضافية لجهاز HSM لدعم زمن الانتقال أو السعة أو لتلبية المتطلبات الأخرى الخاصة بالتطبيق.
دعم التطبيقات الموزعة
عادة ما يتم نشر أجهزة HSM المخصصة لدعم التطبيقات التي تحتاج إلى إجراء عمليات تخزين المفاتيح واسترجاع المفاتيح. تحتوي أجهزة HSM المخصصة على 10 أقسام لدعم التطبيق المستقل. يجب أن يستند موقع الجهاز إلى عرض شامل لجميع التطبيقات التي تحتاج إلى استخدام الخدمة.
الخطوات التالية
بمجرد تحديد بنية التوزيع، سيتم توفير معظم أنشطة التكوين لتنفيذ تلك البنية بواسطة Thales. يتضمن ذلك تكوين الجهاز بالإضافة إلى سيناريوهات تكامل التطبيق. لمزيد من المعلومات، استخدم مدخل دعم عملاء Thales وقم بتنزيل أدلة الإدارة والتكوين. يحتوي موقع شريك Microsoft على مجموعة متنوعة من أدلة التكامل. من المستحسن أن تكون جميع المفاهيم الرئيسية للخدمة، مثل التوفر العالي والأمان على سبيل المثال، مفهومة جيدا قبل توفير الجهاز أو تصميم التطبيق ونشره. مواضيع أخرى على مستوى المفهوم: