O que é o Azure Dedicated HSM?

  • Artigo

O HSM Dedicado do Azure é um serviço do Azure que fornece armazenamento de chaves criptográficas no Azure. O HSM dedicado atende aos mais rigorosos requisitos de segurança. É a solução ideal para clientes que necessitam de dispositivos validados FIPS 140-2 Nível 3 e controle completo e exclusivo do aparelho HSM.

Os dispositivos HSM são implantados globalmente em várias regiões do Azure. Eles podem ser facilmente provisionados como um par de dispositivos e configurados para alta disponibilidade. Os dispositivos HSM também podem ser provisionados entre regiões para garantir contra failover em nível regional. A Microsoft fornece o serviço HSM dedicado usando os dispositivos Thales Luna 7 HSM modelo A790 . Este dispositivo oferece os mais altos níveis de desempenho e opções de integração criptográfica.

Depois de provisionados, os dispositivos HSM são conectados diretamente à rede virtual do cliente. Eles também podem ser acessados por aplicativos locais e ferramentas de gerenciamento quando você configura a conectividade VPN ponto a site ou site a site. Os clientes obtêm o software e a documentação para configurar e gerenciar dispositivos HSM no portal de suporte ao cliente da Thales.

Por que usar o HSM Dedicado do Azure?

Conformidade com FIPS 140-2 Nível 3

Muitas organizações têm regulamentações rigorosas do setor que determinam que as chaves criptográficas devem ser armazenadas em HSMs validados pelo FIPS 140-2 Level-3 . O HSM Dedicado do Azure e uma nova oferta de locatário único, o Azure Key Vault Managed HSM, ajudam os clientes de vários segmentos do setor, como o setor de serviços financeiros, agências governamentais e outros, a atender aos requisitos do FIPS 140-2 Nível 3. Enquanto o serviço multilocatário Azure Key Vault da Microsoft atualmente usa HSMs validados pelo FIPS 140-2 Level-2.

Dispositivos de inquilino único

Muitos dos nossos clientes têm um requisito para o arrendamento único do dispositivo de armazenamento criptográfico. O serviço HSM Dedicado do Azure permite que eles provisionem um dispositivo físico de um dos datacenters distribuídos globalmente da Microsoft. Depois de provisionado para um cliente, somente esse cliente pode acessar o dispositivo.

Controlo administrativo total

Muitos clientes exigem controle administrativo total e acesso exclusivo ao dispositivo para fins administrativos. Depois que um dispositivo é provisionado, somente o cliente tem acesso administrativo ou em nível de aplicativo ao dispositivo.

A Microsoft não tem controle administrativo depois que o cliente acessa o dispositivo pela primeira vez, momento em que o cliente altera a senha. A partir desse ponto, o cliente é um verdadeiro locatário único com controle administrativo total e capacidade de gerenciamento de aplicativos. A Microsoft mantém o acesso no nível do monitor (não uma função de administrador) para telemetria via conexão de porta serial. Esse acesso abrange monitores de hardware, como temperatura, integridade da fonte de alimentação e integridade do ventilador.

O cliente é livre para desativar esse monitoramento necessário. No entanto, se o desativarem, não receberão alertas de saúde proativos da Microsoft.

Elevado desempenho

O dispositivo Thales foi selecionado para este serviço por vários motivos. Ele oferece uma ampla gama de suporte a algoritmos criptográficos, uma variedade de sistemas operacionais suportados e amplo suporte a APIs. O modelo específico implantado oferece excelente desempenho com 10.000 operações por segundo para o RSA-2048. Ele suporta 10 partições que podem ser usadas para instâncias de aplicativos exclusivas. Este dispositivo é um dispositivo de baixa latência, alta capacidade e alta taxa de transferência.

Oferta única baseada na nuvem

A Microsoft reconheceu uma necessidade específica para um conjunto exclusivo de clientes. É o único provedor de nuvem que oferece aos novos clientes um serviço HSM dedicado validado pelo FIPS 140-2 Nível 3 e oferece uma extensão de integração de aplicativos locais e baseados em nuvem.

O HSM Dedicado do Azure é ideal para você?

O HSM Dedicado do Azure é um serviço especializado que aborda requisitos exclusivos para um tipo específico de organização de grande escala. Como resultado, espera-se que a maior parte dos clientes do Azure não se encaixe no perfil de uso desse serviço. Muitos acharão o Azure Key Vault ou o serviço Azure Managed HSM mais apropriado e econômico. Para ajudá-lo a decidir se é adequado às suas necessidades, identificamos os seguintes critérios.

Melhor ajuste

O HSM Dedicado do Azure é mais adequado para cenários de "elevação e mudança" que exigem acesso direto e exclusivo a dispositivos HSM. Exemplos incluem:

  • Migrando aplicativos do local para as Máquinas Virtuais do Azure
  • Migração de aplicativos do Amazon AWS EC2 para máquinas virtuais que usam o serviço AWS Cloud HSM Classic (a Amazon não está oferecendo esse serviço para novos clientes)
  • Executando software empacotado por encolhimento, como Apache/Ngnix SSL Offload, Oracle TDE e ADCS em Máquinas Virtuais do Azure

Não é um ajuste

O HSM Dedicado do Azure não é adequado para o seguinte tipo de cenário: serviços de nuvem da Microsoft que oferecem suporte à criptografia com chaves gerenciadas pelo cliente (como Proteção de Informações do Azure, Criptografia de Disco do Azure, Repositório Azure Data Lake, Armazenamento do Azure, Banco de Dados SQL do Azure e Chave do Cliente para Office 365) que não estão integrados ao HSM Dedicado do Azure.

Nota

Os clientes têm de ter um Gestor de Conta Microsoft atribuído e cumprir o requisito monetário de cinco milhões de USD (5 milhões de dólares) ou mais em receitas gerais comprometidas anualmente do Azure para se qualificarem para a integração e utilização do HSM Dedicado do Azure.

Depende

Se o HSM Dedicado do Azure funcionará para você depende de uma combinação potencialmente complexa de requisitos e compromissos que você pode ou não fazer. Um exemplo é o requisito FIPS 140-2 Nível 3. Esse requisito é comum, e o HSM Dedicado do Azure e uma nova oferta de locatário único, o Azure Key Vault Managed HSM são atualmente as únicas opções para atendê-lo. Se esses requisitos obrigatórios não forem relevantes, geralmente é uma escolha entre o Azure Key Vault e o Azure Dedicated HSM. Avalie os seus requisitos antes de tomar uma decisão.

As situações em que terá de ponderar as suas opções incluem:

  • Novo código em execução na máquina virtual do Azure de um cliente
  • TDE do SQL Server em uma máquina virtual do Azure
  • Criptografia do lado do cliente do Armazenamento do Azure
  • SQL Server e Banco de Dados SQL do Azure sempre criptografados

Próximos passos

Este é um serviço altamente especializado. Portanto, recomendamos que você compreenda completamente os principais conceitos deste conjunto de documentação, incluindo preços, suporte e contratos de nível de serviço.

Os guias de integração da Thales ajudam a facilitar o provisionamento de HSMs em um ambiente de rede virtual existente. Há também guias de instruções para ajudá-lo a determinar como configurar sua arquitetura de implantação.