Anuncio de la disponibilidad de Azure Dedicated HSM

Publicado el 28 noviembre, 2018

Principal PM Manager, Azure Security

El servicio Microsoft Azure Dedicated Hardware Security Module (HSM) proporciona almacenamiento de claves criptográficas en Azure y satisface los requisitos más exigentes de cumplimiento normativo y seguridad para los clientes. Este servicio es la solución ideal para los clientes que requieren dispositivos conformes con el estándar FIPS 140-2 Nivel 3 con control total y exclusivo de los módulos HSM. El servicio Azure Dedicated HSM utiliza dispositivos SafeNet Luna Network HSM 7 de Gemalto. Este modelo de dispositivo ofrece los niveles más altos de rendimiento y opciones de integración criptográfica. Además, simplifica la migración a Azure de aplicaciones protegidas con módulos HSM. Azure Dedicated HSM se alquila a inquilinos individuales.

Ventajas principales

  • Migrar aplicaciones protegidas con HSM: el módulo HSM de Gemalto utiliza cientos de aplicaciones, como Oracle DB TDE, Servicios de certificados de Active Directory, descarga TLS de Apache/NGINX y sus propias aplicaciones que haya integrado con módulos HSM SafeNet en los últimos 15 años. Esto facilita la migración de aplicaciones a Azure Virtual Machines o la ejecución de topologías híbridas que abarquen Azure y el centro de datos local. También se puede usar para crear copias de seguridad de claves en el entorno local. Una vez que las aplicaciones se hayan migrado a Azure, obtendrá baja latencia (valores en milisegundos de un solo dígito) y alto rendimiento para operaciones criptográficas (10 000 transacciones RSA-2048 por segundo). Azure Dedicated HSM admite hasta diez particiones por módulo HSM con el fin de ofrecer flexibilidad en el uso de aplicaciones y más capacidad por dispositivo.
  • Mantener la seguridad y el cumplimiento normativo: los dispositivos HSM están certificados para FIPS 140-2 Nivel 3 y eIDAS Criterios comunes EAL4+, lo que facilita el poder satisfacer los requisitos más exigentes de seguridad y cumplimiento normativo.
  • Administrar módulos HSM en la nube: usted tiene el control total, tanto administrativo como criptográfico, sobre los módulos de Azure Dedicated HSM en Azure. Microsoft no tiene visibilidad alguna sobre sus claves criptográficas.

Azure Dedicated HSM se aprovisiona directamente en su red virtual en Azure. Este servicio se puede conectar también a su infraestructura local a través de una red privada virtual. 

Cuándo debe utilizarse Azure Dedicated HSM 

Azure Dedicated HSM satisface una serie de necesidades únicas de los clientes de tener almacenamiento seguro de claves en Azure. Los siguientes criterios le ayudarán a determinar lo más adecuado para sus necesidades:

Casos en los que está indicado 

Azure Dedicated HSM es óptimo para migrar a Azure aplicaciones protegidas con HSM, ya sean locales o procedentes de otras nubes. También es adecuado para aplicaciones que requieren FIPS 140-2 Nivel 3, Criterios comunes EAL 4+, NITES, o Brazil ITE y necesitan una criptografía distinta de RSA y ECC. Por ejemplo:

  • Migración de aplicaciones del entorno local a Azure Virtual Machines.
  • Ejecución de software empaquetado en Azure Virtual Machines.

Casos en los que no está indicado

Los servicios en la nube de Microsoft Azure que ofrecen cifrado con claves administradas por los clientes, como Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store, Azure Storage, Azure SQL y Clave de cliente de Office 365, no se integran con Azure Dedicated HSM. Los clientes que utilizan estos servicios PaaS/SaaS confían en Microsoft para asegurar la disponibilidad y la recuperación ante desastres, así como para la protección frente a la eliminación accidental de las claves por parte de los usuarios. Con el fin de cumplir estas promesas, estos servicios ofrecen claves administradas por los usuarios a través del servicio Azure Key Vault.

Introducción 

El servicio Dedicated HSM está disponible en ocho regiones de Azure: Este de EE. UU., Oeste de EE. UU., Centro-sur de EE. UU., Este de EE. UU. 2, Sudeste asiático, Asia Oriental, Europa Occidental y Europa del Norte. Nuestra intención es seguir ampliando el servicio a otras regiones de Azure.

Si desea obtener más información acerca de Azure Dedicated HSM, consulte la documentación del servicio.

Para obtener más información sobre precios e idoneidad de este servicio para sus aplicaciones, póngase en contacto con el representante local de cuentas de Microsoft o deje un comentario a continuación.