微軟Azure專用硬體安全模組(HSM),為Azure提供加密金鑰儲存,使用者現在可以託管加密金鑰並且執行加密操作,以滿足企業嚴格的安全性以及法遵要求,現在於包括亞洲和美洲等8個區域可用。

Azure專用HSM帶來主要的好處,包括方便搬遷受HSM保護的應用程式、維持雲端應用程式的安全性並合乎法規。微軟提到,Azure專用HSM能用於將HSM應用程式,從其他雲端平臺遷移至Azure,適用需要FIPS 140-2 Level 3、Common Criteria EAL 4+、NITES或Brazil ITE,但不需要RSA和ECC加密的應用程式,實際使用情境包括將應用程式從企業內機房搬遷上Azure虛擬機器,或是在Azure虛擬機器中執行收縮包裝的軟體,另外,也能用於跨Azure雲端和企業內部機房的混合雲架構。Azure專用HSM可以用來備份企業內部的金鑰,使用者能完全管理雲端中的HSM。

應用程式搬遷至Azure除了有個位數毫秒延遲保證外,還有加密操作達10,000 RSA-2048 tps高吞吐量,Azure專用HSM支援每個HSM最高10個分區(Partition),以實現應用程式使用的靈活性,同時也可以增加每個裝置的容量與能力。

微軟強調,Azure專用HSM裝置已通過FIPS 140-2 Level 3和eIDAS Common Criteria EAL4+認證,可滿足企業的安全性以及法遵要求。另外,微軟無法查看儲存在Azure專用HSM中的加密金鑰,使用者擁有完全的管理以及加密控制權。

微軟也提醒了Azure專用HSM不適合的用例,包括微軟Azure雲端支援以客戶管理金鑰加密的服務,像是Azure Information Protection、Azure Disk Encryption、Azure Data Lake Store、Azure Storage、Azure SQL還有Office 365 Customer Key,都未整合在Azure專用HSM中。使用此類PaaS或SaaS的使用者,仰賴微軟提供的可用性以及災難恢復,並防止自有的金鑰被意外的刪除,這類服務透過Azure Key Vault提供使用者受管理的金鑰。

使用者可以直接在Azure中的虛擬網路上設定Azure專用HSM,該服務還能透過VPN連結到企業內部機房基礎設施。Azure專用HSM在美東、美西、東南亞、東亞、西歐和北歐等8個區域服務,並在未來計畫擴展到其他Azure區域。


Advertisement

更多 iThome相關內容