Azure Key Vault 托管 HSM(硬件安全模块)是一项云服务,它具备完全托管、高度可用、单租户和符合标准的特点。有了该服务,你就可以使用通过了 FIPS 140-2 级别 3 验证的 HSM 来保护云应用程序的加密密钥。 它是 Azure 中关键管理解决方案之一。
有关定价信息,请参阅 Azure Key Vault 定价页上的“托管 HSM 池”部分。 有关支持的密钥类型,请参阅关于密钥。
术语“托管 HSM 实例”与“托管 HSM 池”同义。 为避免混淆,我们在这些文章中使用“托管 HSM 实例”。
- 完全托管:此服务处理 HSM 预置、配置、修补和维护。
- 高度可用:每个 HSM 群集由多个 HSM 分区组成。 如果硬件发生故障,HSM 群集的成员分区将自动迁移到运行状况良好的节点。 有关详细信息,请参阅托管 HSM 服务级别协议
- 单租户:每个托管 HSM 实例都专用于单个客户,并包含由多个 HSM 分区组成的群集。 每个 HSM 群集都使用特定于客户的单独安全域,该域以加密方式隔离每个客户的 HSM 群集。
- 集中式密钥管理:在一个位置管理整个组织内的重要高价值密钥。 通过精细控制每个密钥的权限,可根据“最低特权访问”原则控制每个密钥的访问权限。
- 独立的访问控制:托管 HSM“本地 RBAC”访问控制模型允许指定的 HSM 群集管理员完全控制甚至连管理组、订阅或资源组管理员都无法重写的 HSM。
- 专用终结点:使用专用终结点从虚拟网络中运行的应用程序以私密方式安全地连接到托管 HSM。
- 通过 FIPS 140-2 级别 3 验证的 HSM:保护你的数据并满足通过 FIPS(联邦信息保护标准)140-2 级别 3 验证的 HSM 的合规性要求。 托管 HSM 使用 Marvell LiquidSecurity HSM 适配器。
- 监视和审核:与 Azure Monitor 完全集成。 通过 Azure Monitor 获取所有活动的完整日志。 将 Azure Log Analytics 用于分析和警报。
- 数据驻留:托管 HSM 不会在客户部署 HSM 实例的区域之外存储/处理客户数据。
- 生成(或使用 BYOK 导入)密钥,并使用它们来加密 Azure 服务中的静态数据,如 Azure 存储、Azure SQL、Azure 信息保护和 Microsoft 365 的客户密钥。 有关使用托管 HSM 的 Azure 服务的更完整列表,请参阅数据加密模型。
- 轻松迁移使用保险库(多租户)的现有应用程序以使用托管 HSM。
- 无论使用哪种密钥管理解决方案,请对所有应用程序都使用相同的应用程序开发和部署模式:多租户保险库或单租户托管 HSM。
- 在本地 HSM 中生成受 HSM 保护的密钥,并将其安全地导入托管 HSM。
- Azure 中的密钥管理
- 有关技术详细信息,请参阅托管 HSM 如何实现密钥主权、可用性、性能和可伸缩性,而无需进行权衡
- 请参阅快速入门:使用 Azure CLI 预配和激活托管 HSM,以创建和激活托管 HSM
- Azure 托管 HSM 安全基线
- 请参阅使用 Azure Key Vault 托管 HSM 的最佳做法
- 托管 HSM 状态
- 托管 HSM 服务级别协议
- 托管 HSM 区域可用性
- 什么是零信任?
版权声明:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若内容造成侵权、违法违规、事实不符,请将相关资料发送至xkadmin@xkablog.com进行投诉反馈,一经查实,立即处理!
转载请注明出处,原文链接:https://www.xkablog.com/bcyy/14683.html