Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Azure cloud HSM è un servizio a tenant singolo convalidato FIPS 140-3 di livello 3 a disponibilità elevata conforme agli standard del settore. Azure cloud HSM concede ai clienti un'autorità amministrativa completa sui moduli di protezione hardware. Fornisce un cluster HSM sicuro e di proprietà del cliente per l'archiviazione delle chiavi crittografiche e l'esecuzione di operazioni di crittografia.
Azure Cloud HSM supporta varie applicazioni, tra cui PKCS#11, l'offload dell'elaborazione del protocollo SSL (Secure Sockets Layer) o TLS (Transport Layer Security), la protezione della chiave privata dell'autorità di certificazione e la crittografia TDE (Transparent Data Encryption). Supporta anche la firma del documento e del codice.
Perché utilizzare Azure Cloud HSM?
Soluzione completamente gestita
Molti clienti richiedono il controllo amministrativo del modulo di protezione hardware, ma non vogliono i costi generali e ausiliari associati alla gestione dei cluster per la disponibilità elevata, l'applicazione di patch e la manutenzione. I clienti di Azure Cloud HSM hanno accesso crittografato sicuro, diretto e completo ai nodi HSM nel proprio cluster HSM tramite un collegamento privato dedicato dalla propria rete virtuale.
Dopo che un cliente effettua il provisioning di un cluster di Azure Cloud HSM, mantiene l'accesso amministrativo ai propri moduli di protezione hardware. Il servizio HSM cloud Azure si occupa della disponibilità elevata, dell'applicazione di patch e della manutenzione.
Modulo di protezione hardware a tenant singolo di proprietà del cliente, a disponibilità elevata come servizio
Azure Cloud HSM offre disponibilità elevata e ridondanza raggruppando più HSM in un cluster. Il servizio sincronizza automaticamente le chiavi e i criteri in ogni nodo del modulo di protezione hardware.
Ogni cluster HSM è costituito da tre nodi HSM. Se una risorsa HSM non è più disponibile, i nodi membro per il cluster HSM vengono migrati automaticamente e in modo sicuro ai nodi integri.
Il cluster Azure cloud HSM supporta il bilanciamento del carico delle operazioni di crittografia. I backup periodici del modulo di protezione hardware consentono di garantire un ripristino dei dati sicuro e semplice.
Residenza dei dati: il modulo di protezione hardware cloud non archivia o elabora i dati dei clienti all'esterno dell'area in cui il cliente distribuisce l'istanza del modulo di protezione hardware.
Cluster del modulo di protezione hardware a tenant singolo
Ogni istanza del modulo di protezione hardware cloud Azure è dedicata a un singolo cliente. Ogni cluster HSM usa un dominio di sicurezza specifico del cliente separato che lo isola in modo crittografico.
Conformità e certificazione
Il modulo di protezione hardware cloud di Azure soddisfa più standard e certificazioni di conformità del settore per aiutare i clienti a soddisfare i requisiti normativi.
FIPS 140-3 Livello 3
Molte organizzazioni hanno normative di settore rigorose che stabiliscono che le chiavi crittografiche devono essere archiviate in moduli di protezione hardware convalidati FIPS 140-3 livello 3 . HSM cloud di Azure offre moduli di protezione hardware convalidati per soddisfare gli standard FIPS 140-3 Di livello 3. Per le procedure per verificare l'autenticità del modulo di protezione hardware, inclusa la verifica della certificazione FIPS 140-3 di livello 3 da parte di NIST, vedere la guida all'onboarding.. Azure Cloud HSM consente ai clienti di diversi segmenti di settore (settore dei servizi finanziari, agenzie governative e altri) di soddisfare questi requisiti FIPS.
eIDAS
Il modulo di protezione hardware cloud di Azure supporta la conformità eIDAS nello schema austriaco fornendo la gestione sicura delle chiavi, le operazioni di crittografia e l'hardware convalidato FIPS 140-3 livello 3 per soddisfare requisiti rigorosi per firme e sigilli elettronici qualificati per garantire la conformità alle normative. Altre informazioni sono disponibili nel certificato QSCD.
PCI e PCI 3DS
HSM cloud di Azure fornisce moduli di protezione hardware convalidati per soddisfare gli standard PCI e PCI 3DS. Per ulteriori dettagli sulla certificazione di conformità PCI per il Modulo di Sicurezza Hardware (HSM) Cloud di Azure, vedere l'attestazione di conformità PCI 3DS nel Centro protezione dei servizi Microsoft.
Idoneità dell'HSM cloud Azure
Azure Cloud HSM supporta:
- PKCS#11, OpenSSL, Java Cryptography Architecture (JCA), Java Cryptography Extension (JCE), API di crittografia: Next Generation (CNG) e provider di archiviazione chiavi (KSP).
- Servizi certificati di Active Directory (AD CS).
- Offload SSL/TLS (Apache o NGINX).
- TDE (Microsoft SQL Server o Oracle).
- Archiviazione certificati
- Firma di documenti, file e codice.
Azure Cloud HSM non:
- Un'appliance del modulo di protezione hardware bare metal.
- Un deposito segreto.
- Offerta per la gestione del ciclo di vita dei certificati.
Soluzione ottimale
Azure Cloud HSM è più adatto per i seguenti tipi di scenari:
- Migrazione di applicazioni da locale a Azure Virtual Machines
- Migrazione di applicazioni da Azure Dedicated HSM o aws Cloud HSM
- Supporto di applicazioni che richiedono PKCS#11
- Esecuzione di software standard, come Apache o NGINX SSL Offload, SQL Server o Oracle TDE e ADCS, in Macchine virtuali di Azure
Non è adatto
Azure Cloud HSM non si integra con altri servizi Platform as a Service (PaaS) o Software as a Service (SaaS) di Azure. Azure Cloud HSM è un'infrastruttura come servizio (IaaS) solo.
Azure Cloud HSM non è adatto ai servizi cloud Microsoft che richiedono il supporto per la crittografia con chiavi gestite dal cliente. Questi servizi includono Azure Information Protection, Azure Disk Encryption, Azure Data Lake Storage, Azure Storage e Microsoft Purview Customer Key. Per questi scenari, i clienti devono usare Azure Key Vault modulo di protezione hardware gestito.
Sicurezza fisica
Azure data center dispongono di controlli di sicurezza fisici e procedurali estesi. I moduli di protezione hardware nel modulo di protezione hardware cloud di Azure sono ospitati in un'area di accesso limitato del data center, con controlli di accesso fisico e video sorveglianza per una maggiore sicurezza.
Azure Cloud HSM incorpora meccanismi fisici e logici di rilevamento e risposta alle manomissioni che avviano l'azzeramento delle chiavi dell'hardware. Queste misure sono progettate per rilevare manomissioni se la barriera fisica è compromessa.
I moduli di protezione hardware sono protetti da attacchi di forza bruta. Il sistema blocca gli agenti di crittografia (CO) dopo un set di tentativi di accesso non riusciti. Analogamente, ripetuti tentativi non riusciti di accedere a un modulo di protezione hardware con credenziali dell'utente di crittografia (CU) comportano il blocco dell'utente. Un CO deve quindi sbloccare l'unità di capacità. Lo sblocco di una CO richiede il comando getChallenge, firmare la richiesta di verifica con la chiave del proprietario della partizione (PO.key) tramite OpenSSL, seguito dai comandi unlockCO e changePswd.
Operazioni del servizio
HSM cloud di Azure non dispone di finestre di manutenzione pianificate. Microsoft potrebbe tuttavia dover eseguire la manutenzione per gli aggiornamenti necessari o la sostituzione hardware difettosa. I clienti ricevono una notifica anticipata se si prevede un impatto.
Passaggi successivi
Queste risorse sono disponibili per facilitare il provisioning e la configurazione dei moduli di protezione hardware nell'ambiente di rete virtuale esistente: