Az Azure Key Vault Managed HSM bemutatása
Fontos
A HSM-flottát FIPS 140-3 szintű, 3. szintű érvényesített belső vezérlőprogramra frissítjük az Azure Key Vault felügyelt HSM-hez és az Azure Key Vault Premiumhoz egyaránt. A fokozott biztonság és megfelelőség érdekében tekintse meg a felügyelt HSM belső vezérlőprogramjának frissítésével kapcsolatos részletes információkat.
Az Azure Key Vault felügyelt HSM (hardveres biztonsági modul) egy teljes körűen felügyelt, magas rendelkezésre állású, egybérlős, szabványoknak megfelelő felhőszolgáltatás, amely lehetővé teszi a titkosítási kulcsok védelmét a felhőalkalmazások számára a FIPS 140-2 3. szintű hitelesített HSM-ek használatával. Ez az Azure számos kulcsfontosságú felügyeleti megoldásának egyike.
A díjszabással kapcsolatos információkért tekintse meg a Felügyelt HSM-készletek szakaszt az Azure Key Vault díjszabási oldalán. A támogatott kulcstípusokról további információt a Kulcsok ismertetése című témakörben talál.
A "Felügyelt HSM-példány" kifejezés a "Felügyelt HSM-készlet" szinonimája. A félreértések elkerülése érdekében a cikkekben a "Felügyelt HSM-példányt" használjuk.
Feljegyzés
Teljes felügyelet egy biztonsági stratégia, amely három alapelvből áll: "Ellenőrzés explicit módon", "A legkevésbé jogosultsági hozzáférés használata" és a "Behatolás feltételezése". Az adatvédelem, beleértve a kulcskezelést is, támogatja a "legkevésbé jogosultsági hozzáférés használata" elvet. További információ: Mi Teljes felügyelet?
Miért érdemes felügyelt HSM-et használni?
Teljes körűen felügyelt, magas rendelkezésre állású, egybérlős HSM szolgáltatásként
- Teljes körűen felügyelt: A szolgáltatás kezeli a HSM kiépítését, konfigurálását, javítását és karbantartását.
- Magas rendelkezésre állás: Minden HSM-fürt több HSM-partícióból áll. Ha a hardver meghibásodik, a rendszer automatikusan áttelepíti a HSM-fürt tagpartícióit az kifogástalan állapotú csomópontokra. További információ: Felügyelt HSM szolgáltatásiszint-szerződés
- Egybérlős: Minden felügyelt HSM-példány egyetlen ügyfélnek van dedikáltan, és több HSM-partícióból álló fürtből áll. Minden HSM-fürt egy külön ügyfélspecifikus biztonsági tartományt használ, amely kriptográfiailag elkülöníti az egyes ügyfelek HSM-fürtjét.
Hozzáférés-vezérlés, fokozott adatvédelem és megfelelőség
- Központosított kulcskezelés: A kritikus fontosságú, nagy értékű kulcsok kezelése a szervezetben egy helyen. A kulcsonkénti részletes engedélyekkel szabályozhatja az egyes kulcsokhoz való hozzáférést a "legkevésbé kiemelt hozzáférés" elven.
- Izolált hozzáférés-vezérlés: A felügyelt HSM "helyi RBAC" hozzáférés-vezérlési modellje lehetővé teszi a kijelölt HSM-fürtgazdák számára, hogy teljes körű vezérléssel rendelkezzenek a HSM-ek felett, amelyeket még a felügyeleti csoport, az előfizetés vagy az erőforráscsoport rendszergazdái sem tudnak felülbírálni.
- Privát végpontok: Privát végpontok használatával biztonságosan és privát módon csatlakozhat a felügyelt HSM-hez a virtuális hálózaton futó alkalmazásból.
- FIPS 140-2 3. szintű érvényesített HSM-ek: Az adatok védelme és a fips (Federal Information Protection Standard) 140-2 3. szintű hitelesített HSM-ek megfelelőségi követelményeinek való megfelelés. A felügyelt HSM-k Marvell LiquidSecurity HSM-adaptereket használnak.
- Monitorozás és naplózás: teljes mértékben integrálva az Azure Monitorral. Az Összes tevékenység teljes naplóinak lekérése az Azure Monitoron keresztül. Az Azure Log Analytics használata elemzésekhez és riasztásokhoz.
- Adattárolás: A felügyelt HSM nem tárol/dolgoz fel ügyféladatokat azon a régión kívül, amelyben az ügyfél üzembe helyezi a HSM-példányt.
Integrálva az Azure-ral és a Microsoft PaaS/SaaS-szolgáltatásokkal
- Hozzon létre (vagy importáljon BYOK-kulcsokat), és használja őket inaktív adatok titkosításához az Azure-szolgáltatásokban, például az Azure Storage-ban, az Azure SQL-ben, az Azure Information Protectionben és a Microsoft 365 ügyfélkulcsában. A felügyelt HSM-et használó Azure-szolgáltatások teljesebb listáját az Adattitkosítási modellek című témakörben találja.
Ugyanazt az API-t és felügyeleti felületet használja, mint a Key Vault
- A felügyelt HSM-ek használatához egyszerűen migrálhatja a tárolót (több-bérlőt) használó meglévő alkalmazásokat.
- Az összes alkalmazáshoz ugyanazokat az alkalmazásfejlesztési és üzembehelyezési mintákat használhatja, függetlenül a használt kulcskezelési megoldástól: több-bérlős tárolók vagy egybérlős felügyelt HSM-ekhez.
Kulcsok importálása a helyszíni HSM-ekből
- Hozzon létre HSM által védett kulcsokat a helyszíni HSM-ben, és importálja őket biztonságosan a felügyelt HSM-be.
Következő lépések
- Kulcskezelés az Azure-ban
- Technikai részletekért lásd : Hogyan valósítja meg a felügyelt HSM a fő szuverenitást, a rendelkezésre állást, a teljesítményt és a méretezhetőséget kompromisszumok nélkül
- Rövid útmutató: Felügyelt HSM kiépítése és aktiválása az Azure CLI használatával felügyelt HSM létrehozásához és aktiválásához
- Az Azure Managed HSM biztonsági alapkonfigurációja
- Ajánlott eljárások az Azure Key Vault felügyelt HSM használatával
- Felügyelt HSM-állapot
- Felügyelt HSM szolgáltatásiszint-szerződés
- Felügyelt HSM-régió rendelkezésre állása
- Mi az a Teljes felügyelet?