Implementatiearchitectuur van Azure Dedicated HSM
Azure Dedicated HSM biedt cryptografische sleutelopslag in Azure. Het voldoet aan strenge beveiligingsvereisten. Klanten profiteren van het gebruik van Azure Dedicated HSM als ze:
- Moet voldoen aan FIPS 140-2 Level-3-certificering
- Vereisen dat ze exclusieve toegang hebben tot de HSM
- moeten volledige controle over hun apparaten hebben
De HSM's worden gedistribueerd over de datacenters van Microsoft en kunnen eenvoudig worden ingericht als een paar apparaten als basis van een maximaal beschikbare oplossing. Ze kunnen ook worden geïmplementeerd in verschillende regio's voor een oplossing die bestand is tegen noodgevallen. De regio's met toegewezen HSM die momenteel beschikbaar zijn, kunnen worden gecontroleerd met behulp van de pagina Producten per regio.
- VS - oost
- VS - oost 2
- VS - west
- VS - west 2
- Canada - oost
- Canada - midden
- VS - zuid-centraal
- Azië - zuidoost
- India - centraal
- India - zuid
- Japan - oost
- Japan - west
- Europa - noord
- Europa -west
- Verenigd Koninkrijk Zuid
- Verenigd Koninkrijk West
- Australië - oost
- Australië - zuidoost
- Zwitserland - noord
- Zwitserland - west
- VS (overheid) - Virginia
- US Gov - Texas
Elk van deze regio's heeft HSM-rekken geïmplementeerd in twee onafhankelijke datacenters of ten minste twee onafhankelijke beschikbaarheidszones. Azië - zuidoost heeft drie beschikbaarheidszones en VS - oost 2 heeft twee. In totaal zijn er drieentwintig regio's in Heel Europa, Azië en Noord-Amerika die de Dedicated HSM-service aanbieden. Zie de officiële azure-regio's voor meer informatie over Azure-regio's. Sommige ontwerpfactoren voor een dedicated HSM-oplossing zijn locatie/latentie, hoge beschikbaarheid en ondersteuning voor andere gedistribueerde toepassingen.
Locatie apparaat
De optimale locatie van het HSM-apparaat bevindt zich in de buurt van de toepassingen die cryptografische bewerkingen uitvoeren. Latentie in regio's is naar verwachting milliseconden met één cijfer. Latentie tussen regio's kan 5 tot 10 keer hoger zijn dan dit.
Hoge beschikbaarheid
Om hoge beschikbaarheid te bereiken, moet een klant twee HSM-apparaten gebruiken in een regio die is geconfigureerd met Thales-software als een paar met hoge beschikbaarheid. Dit type implementatie zorgt voor de beschikbaarheid van sleutels als een enkel apparaat een probleem ondervindt waardoor de sleutelbewerkingen niet kunnen worden verwerkt. Het vermindert ook het risico bij het uitvoeren van onderbrekings- en herstelonderhoud, zoals vervanging van voeding. Het is belangrijk voor een ontwerp om rekening te houden met elk soort storing op regionaal niveau. Regionale storingen kunnen optreden wanneer er natuurrampen zijn, zoals orkanen, overstromingen of aardbevingen. Deze typen gebeurtenissen moeten worden beperkt door HSM-apparaten in een andere regio in te richten. Apparaten die in een andere regio zijn geïmplementeerd, kunnen worden gekoppeld via de Thales-softwareconfiguratie. Dit betekent dat de minimale implementatie voor een maximaal beschikbare en noodbestendige oplossing vier HSM-apparaten in twee regio's is. Lokale redundantie en redundantie tussen regio's kunnen worden gebruikt als basislijn om eventuele verdere HSM-apparaatimplementaties toe te voegen ter ondersteuning van latentie, capaciteit of om te voldoen aan andere toepassingsspecifieke vereisten.
Ondersteuning voor gedistribueerde toepassingen
Toegewezen HSM-apparaten worden doorgaans geïmplementeerd ter ondersteuning van toepassingen die sleutelopslag en sleutelherstelbewerkingen moeten uitvoeren. Toegewezen HSM-apparaten hebben 10 partities voor onafhankelijke toepassingsondersteuning. Apparaatlocatie moet zijn gebaseerd op een holistische weergave van alle toepassingen die de service moeten gebruiken.
Volgende stappen
Zodra de implementatiearchitectuur is bepaald, worden de meeste configuratieactiviteiten om die architectuur te implementeren door Thales geleverd. Dit omvat apparaatconfiguratie en toepassingsintegratiescenario's. Gebruik de Thales-portal voor klantondersteuning en download beheer- en configuratiehandleidingen voor meer informatie. De Microsoft-partnersite bevat diverse integratiehandleidingen. Het wordt aanbevolen dat alle belangrijke concepten van de service, zoals hoge beschikbaarheid en beveiliging, goed worden begrepen voordat apparaten worden ingericht of toepassingsontwerp en -implementatie. Meer onderwerpen op conceptniveau: