Die dedizierten Hardwaresicherheitsmodule (HSM) von Microsoft sind ein Azure-Dienst, der kryptografische Schlüsselspeicherung in Azure bietet und die strengsten Sicherheits- und Complianceanforderungen von Kunden erfüllt. Dieser Dienst ist die ideale Lösung für Kunden, die Geräte mit der Zertifizierung „FIPS 140-2 Level 3“ verwenden und die vollständige sowie uneingeschränkte Kontrolle über die HSM-Appliance wünschen. Der dedizierte Azure-HSM-Dienst verwendet SafeNet Luna Network HSM 7-Geräte von Gemalto. Dieses Gerät bietet ein Höchstmaß an Leistung und kryptographische Integrationsoptionen. Außerdem erleichtert es Ihnen, durch HSM geschützte Anwendungen zu Azure zu migrieren. Das dedizierte Azure-HSM wird auf Basis eines einzelnen Mandanten geleast.

Hauptvorteile

• Anwendungen mit HSM-Schutz migrieren: Das HSM-Modell von Gemalto verwendet Hunderte von Anwendungen wie Oracle DB TDE, Active Directory-Zertifikatsdienste, Apache/NGINX-TLS-Auslagerung sowie Ihre eigenen Anwendungen, die in den vergangenen 15 Jahren mit SafeNet-HSMs integriert wurden. Dies erleichtert Ihnen die Migration von Anwendungen zu Azure Virtual Machines und die Ausführung von Hybridtopologien in Azure sowie in lokalen Umgebungen. So lassen sich auch Schlüssel lokal sichern. Nach der Migration Ihrer Anwendungen zu Azure erzielen Sie eine niedrige Latenz (Millisekunden im einstelligen Bereich) und einen hohen Durchsatz für kryptografische Vorgänge (10.000 Transaktionen pro Sekunde bei RSA-2048). Jedes dedizierte Azure-HSM unterstützt bis zu zehn Partitionen für eine flexible Anwendungsverwendung und erhöhte Kapazität pro Gerät.
• Sicherheit und Compliance verwalten: HSM-Geräte sind gemäß „FIPS 140-2 Level 3“ und „eIDAS Common Criteria EAL4+“ zertifiziert und erfüllen somit die strengsten Sicherheits- und Complianceanforderungen.
• HSMs in der Cloud verwalten: Sie haben die vollständige administrative und kryptografische Kontrolle über die dedizierten HSMs in Azure. Ihre kryptographischen Schlüssel sind für Microsoft nicht sichtbar.

Das dedizierte Azure-HSM wird direkt in Ihrem virtuellen Netzwerk in Azure bereitgestellt. Dieser Dienst kann sich auch über ein privates virtuelles Netzwerk mit Ihrer lokalen Infrastruktur verbinden. 

Anwendungsbeispiele für dedizierte Azure-HSMs 

Das dedizierte Azure-HSM erfüllt mehrere einzigartige Kundenanforderungen für sichere Schlüsselspeicherung in Azure. Mithilfe der folgenden Kriterien finden Sie die beste Lösung für Ihre Anforderungen:

Ideal geeignet 

Dedizierte Azure-HSMs sind ideal für die Migration von HSM-Anwendungen zu Azure oder aus anderen Clouds. Außerdem eignen sie sich optimal für Anwendungen, die „FIPS 140-2 Level 3“, „Common Criteria EAL 4+“, „NITES“ oder „Brazil ITE“ sowie eine andere Verschlüsselung als RSA oder ECC erfordern. Hier sind zwei Beispiele:

• Migration von Anwendungen aus lokalen Systemen zu Azure Virtual Machines
• Ausführung von im Einzelhandel erhältlicher lizenzierter Software auf Azure Virtual Machines

Nicht geeignet

Azure-Clouddienste von Microsoft, die die Verschlüsselung mit von Kunden verwalteten Schlüsseln unterstützen (z.B. Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store, Azure Storage, Azure SQL, Kundenschlüssel in Office 365), können nicht mit den dedizierten Azure-HSMs integriert werden. Kunden solcher PaaS/SaaS-Dienste verwenden Microsoft, um Verfügbarkeit und Notfallwiederherstellung zu garantieren und sich vor dem versehentlichen Löschen von Schlüsseln durch Benutzer zu schützen. Um diese Garantien zu gewährleisten, bieten solche Dienste über den Dienst Azure Key Vault von Kunden verwaltete Schlüssel an.

Erste Schritte 

Der dedizierte HSM-Dienst ist in acht Azure-Regionen verfügbar: „USA, Osten“, „USA, Westen“, „USA, Süden-Mitte“, „USA, Osten 2“, „Asien, Südosten“, Asien, Osten“, „Europa, Westen“ und „Europa, Norden“. Es ist geplant, diesen Dienst auf weitere Azure-Regionen auszudehnen.

Weitere Informationen zu dedizierten Azure-HSMs finden Sie in der Dienstdokumentation.

Für weitere Informationen zu den Preisen und der Kompatibilität des Dienstes mit Ihren Anwendungen wenden Sie sich an Ihren Microsoft-Kundenbetreuer, oder posten Sie unten einen Kommentar.