通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

什么是 Azure 专用 HSM?

Azure 专用 HSM 是在 Azure 中提供加密密钥存储的 Azure 服务。 专用 HSM 满足最严格的安全要求。 对于需要 FIPS 140-2 级别 3 验证设备且完全和独占控制 HSM 设备的客户,这是理想的解决方案。

HSM 设备在全球多个 Azure 区域部署。 可以轻松地将它们预配为一对设备,并配置为高可用性。 可以在跨区域设置中配置 HSM 设备,以确保防范区域级故障转移。 Microsoft使用 Thales Luna 7 HSM 型号 A790 设备提供专用 HSM 服务。 此设备提供最高级别的性能和加密集成选项。

预配后,HSM 设备将直接连接到客户的虚拟网络。 配置点到站点或站点到站点 VPN 连接时,还可以通过本地应用程序和管理工具访问它们。 客户获取软件和文档,以便从 Thales 客户支持门户配置和管理 HSM 设备。

为何使用 Azure 专用 HSM?

FIPS 140-2 级别 3 符合性

许多组织都有严格的行业法规,规定加密密钥必须存储在 FIPS 140-2 级别 3 验证的 HSM 中。 Azure 专用 HSM 和新的单租户产品/服务 Azure Key Vault 托管 HSM 可帮助来自各种行业领域的客户,例如金融服务行业、政府机构和其他部门的客户满足 FIPS 140-2 级别 3 要求。 同时,Microsoft 的多租户 Azure Key Vault 服务目前使用通过 FIPS 140-2 级别 2 验证的 HSM。

单租户设备

我们的许多客户要求加密存储设备的独立租用。 使用 Azure 专用 HSM 服务可以从Microsoft全球分布式数据中心之一预配物理设备。 将设备预配到客户后,只有客户才能访问该设备。

完全管理控制

许多客户需要对他们的设备拥有完全的管理权限和独占的访问权,以便进行管理。 预配设备后,只有客户对设备具有管理或应用程序级访问权限。

客户首次访问设备后,Microsoft没有管理控制权,此时客户更改了密码。 从那一点起,客户是一个真正的单租户,具有完全的管理控制和应用程序管理功能。 微软通过串行端口连接保持对遥测的监控级访问权限,而不是管理员角色。 此访问权限涵盖硬件监视器,例如温度、电源运行状况和风扇运行状况。

客户可以自行禁用此监控功能。 但是,如果他们禁用它,就无法收到来自Microsoft的主动健康警报。

高性能

出于多种原因,已为此服务选择了 Thales 设备。 它提供广泛的加密算法支持、各种支持的作系统和广泛的 API 支持。 部署的特定型号在 RSA-2048 下每秒可以处理 10,000 次操作,表现出色。 它支持可用于唯一应用程序实例的 10 个分区。 此设备是低延迟、高容量和高吞吐量设备。

唯一的基于云的产品/服务

Microsoft识别了对一组唯一客户的特定需求。 它是唯一一家云提供商,它为新客户提供经过 FIPS 140-2 级别 3 验证的专用 HSM 服务,并提供如此程度的基于云的和本地应用程序集成。

Azure 专用 HSM 是否适合你?

Azure 专用 HSM 是一种专用服务,可满足特定类型的大规模组织的独特要求。 因此,正常情况下,很多 Azure 客户不适合使用此服务。 许多人发现 Azure Key Vault 或 Azure 托管 HSM 服务更合适且更具成本效益。 为了帮助你确定它是否适合你的要求,我们确定了以下条件。

最适合

Azure 专用 HSM 特别适合需要直接直接和单独访问 HSM 设备的“直接迁移”方案。 示例包括:

  • 将应用程序从本地迁移到 Azure 虚拟机
  • 将应用程序从 Amazon AWS EC2 迁移到使用 AWS 云 HSM 经典服务的虚拟机(Amazon 不提供此服务给新客户)
  • 在 Azure 虚拟机中运行 Apache/Ngnix SSL Offload、Oracle TDE、ADCS 之类的现成软件

不适合

Azure 专用 HSM 不适合以下类型的方案:支持通过客户托管密钥进行加密的 Microsoft 云服务(例如 Azure 信息保护、Azure 磁盘加密、Azure Data Lake Store、Azure 存储、Azure SQL 数据库,以及适用于 Office 365 的客户密匙)不与 Azure 专用 HSM 集成。

注释

客户必须被分配一个 Microsoft 客户经理,并且每年满足 500 万美元或更高的总承诺 Azure 收入才能有资格加入和使用 Azure 专用 HSM。

这取决于

Azure 专用 HSM 是否适合取决于你能否做出需求和妥协的复杂组合。 例如 FIPS 140-2 级别 3 要求。 此要求很常见,Azure 专用 HSM 和新的单租户产品/服务 Azure Key Vault 托管 HSM 目前是唯一用于满足它的选项。 如果这些强制要求不相关,则通常是在 Azure Key Vault 和 Azure 专用 HSM 之间进行选择。 在做出决策之前评估要求。

必须权衡选项的情况包括:

  • 客户 Azure 虚拟机中运行的新代码
  • Azure 虚拟机中的 SQL Server TDE
  • Azure 存储客户端加密
  • SQL Server 和 Azure SQL 数据库始终加密

后续步骤

专用 HSM 是一项高度专业化的服务。 因此,我们建议你充分了解本文档集中的关键概念,包括定价、支持和服务级别协议。

Thales 集成指南协助您在现有的虚拟网络环境中进行 HSM 的预配。 还有一些操作指南可帮助你确定如何设置部署体系结构。