Announcements, Azure Dedicated HSM, Security
Azure Dedicated HSM 提供の発表
Posted on
2 min read
Microsoft Azure Dedicated Hardware Security Module (HSM) サービスでは、Azure の暗号キー ストレージを提供しており、最も厳しいお客様のセキュリティとコンプライアンスの要件にも対応します。このサービスは、HSM アプライアンスを占有的に、かつ完全に制御する FIPS 140-2 レベル 3 認定デバイスを必要とするお客様に最適なソリューションです。Azure Dedicated HSM サービスでは、Gemalto 社の SafeNet Luna Network HSM 7 デバイスを使用します。このデバイスは、最高レベルのパフォーマンスと暗号化を統合するオプションを提供しており、HSM で保護されたアプリケーションを簡単に Azure へ移行することができます。Azure Dedicated HSM はシングル テナント ベースでリースされます。
主な利点
- HSM で保護されたアプリケーションの移行: Gemalto HSM モデルでは、Oracle DB TDE、Active Directory 証明書サービス、Apache/NGINX TLS オフロード、および過去 15 年間に SafeNet HSM で移行したお客様独自のアプリケーションを使用します。これにより、アプリケーションを Azure Virtual Machines へ簡単に移行、または Azure 全体およびオンプレミスでのハイブリッド トポロジを実行することができます。また、これはオンプレミスでのキーのバックアップにも使用できます。アプリケーションが Azure に移行されると、待機時間が短縮 (1 桁台のミリ秒) され、暗号化操作のスループットも高まります (10,000 RSA-2048 tps)。Azure Dedicated HSM では、HSM ごとに 10 までのパーティションに対応しており、アプリケーションを柔軟に使用でき、デバイスごとの容量も増加します。
- セキュリティとコンプライアンスの維持: HSM デバイスは FIPS 140-2 レベル 3 と eIDAS Common Criteria EAL4 以上の認定を受けており、最も厳しいセキュリティとコンプライアンスの要件にも対応することができます。
- クラウドでの HSM の管理: Azure では、Azure Dedicated HSM を完全に管理し、暗号化を制御することができます。Microsoft ではお客様の暗号化キーを確認することはできません。
Azure Dedicated HSM は Azure でお客様の仮想ネットワーク上に直接プロビジョニングされます。このサービスにより、仮想プライベート ネットワークを介してオンプレミスのインフラストラクチャに接続する事もできます。
Azure Dedicated HSM をいつ使用するか
Azure Dedicated HSM は Azure でのセキュリティ キー ストレージのシナリオに関するお客様の一連のニーズに対応します。以下の条件から、お客様の要件に最適なものを決定できます。
最適な条件
Azure Dedicated HSM は HSM アプリケーションを Azure に、または他のクラウドから HSM アプリケーションに移行する場合に最適です。また、FIPS 140-2 レベル 3、Common Criteria EAL 4 以上、NITES、Brazil ITE を必要とし、RSA や ECC 以外の暗号化が必要なアプリケーションにも適しています。この例の一部を次に示します。
- オンプレミスから Azure Virtual Machines へのアプリケーションの移行。
- Azure Virtual Machines での市販のソフトウェアの実行。
適さない条件
Microsoft Azure クラウド サービスは、Azure Information Protection、Azure Disk Encryption、Azure Data Lake Store、Azure Storage、Azure SQL、Office 365 Customer Key など、お客様が管理するキーが Azure Dedicated HSM に統合されていない暗号化をサポートします。PaaS/SaaS サービスなどを使用するお客様は、可用性とディザスタ― リカバリーの保証と、キーを誤って削除した場合のユーザーの保護については Microsoft に依存しています。このような信頼に応えるため、Azure Key Vault サービスからお客様が管理するキーを提供するサービスがあります。
開始する
Dedicated HSM サービスは米国東部、米国西部、米国中南部、米国東部 2、東南アジア、東アジア、西ヨーロッパ、北ヨーロッパの 8 つの Azure リージョンで提供されています。今後、他の Azure リージョンにもこのサービスを継続的に展開する予定です。
Azure Dedicated HSM サービスについて詳しくは、サービス ドキュメントをご覧ください。
お客様のアプリケーションに対するこのサービスの価格と適合性については、お客様の Microsoft 担当者にお問い合わせいただくか、以下にコメントを入力してください。