Az Azure Dedicated HSM üzembe helyezési architektúrája
Az Azure Dedikált HSM titkosítási kulcstárolót biztosít az Azure-ban. Megfelel a szigorú biztonsági követelményeknek. Az ügyfelek akkor használhatják az Azure Dedikált HSM-et, ha:
- Meg kell felelnie a FIPS 140-2 Level-3 minősítésnek
- Megkövetelheti, hogy kizárólagos hozzáféréssel rendelkezzenek a HSM-hez
- az eszközeik teljes felügyeletével kell rendelkezniük
A HSM-ek a Microsoft adatközpontjai között vannak elosztva, és könnyen kiéphetők eszközpárként egy magas rendelkezésre állású megoldás alapjaként. A régiókon belül is üzembe helyezhetők a vészrezselhető megoldás érdekében. A dedikált HSM-et tartalmazó régiók jelenleg a Termékek régiónként lapon ellenőrizhetők.
- USA keleti régiója
- USA 2. keleti régiója
- USA nyugati régiója
- USA 2. nyugati régiója
- Kelet-Kanada
- Közép-Kanada
- USA déli középső régiója
- Délkelet-Ázsia
- Közép-India
- Dél-India
- Kelet-Japán
- Nyugat-Japán
- Észak-Európa
- Nyugat-Európa
- Az Egyesült Királyság déli régiója
- Az Egyesült Királyság nyugati régiója
- Kelet-Ausztrália
- Délkelet-Ausztrália
- Észak-Svájc
- Nyugat-Svájc
- USA-beli államigazgatás – Virginia
- USA-beli államigazgatás – Texas
Mindegyik régióban HSM-állványok vannak üzembe helyezve két független adatközpontban vagy legalább két független rendelkezésre állási zónában. Délkelet-Ázsia három rendelkezésre állási zónával rendelkezik, az USA 2. keleti régiója pedig kettő. Európában, Ázsiában és Észak-Amerika összesen huszonhárom régió kínál dedikált HSM szolgáltatást. Az Azure-régiókról további információt az Azure-régiók hivatalos információiban talál. A dedikált HSM-alapú megoldások néhány tervezési tényezője a hely/késés, a magas rendelkezésre állás és az egyéb elosztott alkalmazások támogatása.
Eszközhely
Az optimális HSM-eszközhely a kriptográfiai műveleteket végző alkalmazások legközelebbi közelében található. A régión belüli késés várhatóan egyjegyű ezredmásodperc lesz. A régiók közötti késés ennél 5-10-szer nagyobb lehet.
Magas szintű rendelkezésre állás
A magas rendelkezésre állás eléréséhez az ügyfélnek két HSM-eszközt kell használnia egy régióban, amelyek a Thales szoftverrel magas rendelkezésre állási párként vannak konfigurálva. Az ilyen típusú üzembe helyezés biztosítja a kulcsok rendelkezésre állását, ha egyetlen eszköz problémát tapasztal, amely megakadályozza a kulcsműveletek feldolgozását. Emellett jelentősen csökkenti a kockázatokat a szünetek/javítások, például az áramellátás cseréje során. Fontos, hogy a tervezés során figyelembe kell venni bármilyen regionális szintű hibát. Regionális szintű hibák akkor fordulhatnak elő, ha természeti katasztrófák, például hurrikánok, árvizek vagy földrengések következnek be. Az ilyen típusú eseményeket a HSM-eszközök egy másik régióban való kiépítésével kell enyhíteni. A másik régióban üzembe helyezett eszközök a Thales szoftverkonfigurációval párosíthatók. Ez azt jelenti, hogy egy magas rendelkezésre állású és vészreziliens megoldás minimális üzembe helyezése négy HSM-eszköz két régióban. A régiók közötti helyi redundancia és redundancia alapkonfigurációként használható további HSM-eszköztelepítések hozzáadásához, amelyek támogatják a késést, a kapacitást vagy más alkalmazásspecifikus követelményeknek való megfelelést.
Elosztott alkalmazás támogatása
A dedikált HSM-eszközök általában olyan alkalmazások támogatására vannak üzembe helyezve, amelyeknek kulcstárolási és kulcslekérési műveleteket kell végrehajtaniuk. A dedikált HSM-eszközök 10 partícióval rendelkeznek a független alkalmazások támogatásához. Az eszköz helyének a szolgáltatás használatához szükséges összes alkalmazás holisztikus nézetén kell alapulnia.
Következő lépések
Az üzembehelyezési architektúra meghatározása után az architektúra implementálásához szükséges legtöbb konfigurációs tevékenységet a Thales biztosítja. Ez magában foglalja az eszközkonfigurációt és az alkalmazásintegrációs forgatókönyveket is. További információkért használja a Thales ügyfélszolgálati portálját, és töltse le a felügyeleti és konfigurációs útmutatókat. A Microsoft partnerwebhelyén számos integrációs útmutató található. Javasoljuk, hogy a szolgáltatás minden alapvető fogalma, például a magas rendelkezésre állás és a biztonság jól érthető legyen az eszköz kiépítése vagy az alkalmazások tervezése és üzembe helyezése előtt. További fogalomszintű témakörök: