Che cos'è il modulo di protezione hardware gestito di Azure Key Vault?
Importante
La flotta HSM viene aggiornata a un firmware convalidato fips 140-3 livello 3 sia per il modulo di protezione hardware gestito di Azure Key Vault che per Azure Key Vault Premium. Per informazioni dettagliate, vedere Aggiornamento del firmware del modulo di protezione hardware gestito per la sicurezza e la conformità avanzata.
Modulo di protezione hardware (HSM) gestito di Azure Key Vault, un servizio cloud completamente gestito, a disponibilità elevata, a tenant singolo e conforme agli standard che consente di proteggere le chiavi crittografiche per le applicazioni cloud tramite moduli di protezione hardware convalidati in base agli standard FIPS 140-2 livello 3. È una delle diverse soluzioni di gestione delle chiavi di in Azure.
Per informazioni sui prezzi, vedere la sezione Pool di moduli di protezione hardware gestiti nella pagina dei prezzi di Azure Key Vault. Per i tipi di chiave supportati, vedere Informazioni sulle chiavi.
Il termine "Istanza del modulo di protezione hardware gestito" è sinonimo di "pool di moduli di protezione hardware gestiti". Per evitare confusione, in questi articoli viene usato "Istanza del modulo di protezione hardware gestito".
Nota
Zero Trust è una strategia di sicurezza che comprende tre principi: "verifica esplicita", "accesso con privilegi minimi" e "presunzione di violazione". La protezione dei dati, inclusa la gestione delle chiavi, supporta il principio di "accesso con privilegi minimi". Per altre informazioni, vedere Che cos'è Zero Trust?
Perché usare il modulo di protezione hardware gestito?
Modulo di protezione hardware come servizio completamente gestito, a disponibilità elevata e a tenant singolo
- Completamente gestito: il servizio gestisce il provisioning, la configurazione, l'applicazione di patch e la manutenzione del modulo di protezione hardware.
- A disponibilità elevata: ogni cluster HSM è costituito da più partizioni del modulo di protezione hardware. Se l'hardware non riesce, le partizioni membro per il cluster HSM vengono automaticamente migrate in nodi integri. Per altre informazioni, vedere Contratti di servizio di Azure
- Tenant singolo: ogni istanza di modulo di protezione hardware gestito è dedicata a un singolo cliente ed è costituita da un cluster di più partizioni HSM. Ogni cluster di moduli di protezione hardware usa un dominio di sicurezza specifico del cliente, che isola tramite crittografia il cluster di moduli di protezione hardware di ciascun cliente.
Controllo di accesso, protezione avanzata dei dati e conformità
- Gestione centralizzata: le chiavi con valore elevato di importanza critica nell'intera organizzazione vengono gestite in un'unica posizione. Con le autorizzazioni granulari per chiave è possibile controllare l'accesso a ogni chiave in base al principio dei privilegi di accesso minimi.
- Controllo di accesso isolato: il modello di controllo degli accessi in base al ruolo locale del modulo di protezione hardware gestito consente agli amministratori designati del cluster di moduli di protezione hardware di avere il controllo completo su tali moduli e nemmeno gli amministratori del gruppo di gestione, della sottoscrizione o del gruppo di risorse possono aggirare questo controllo.
- Endpoint privati: usare endpoint privati per connettersi in modo sicuro e privato al modulo di protezione hardware gestito dall'applicazione in esecuzione in una rete virtuale.
- HSM convalidati di Livello 3 FIPS 140-2: è possibile proteggere i dati e soddisfare i requisiti di conformità con i moduli di protezione hardware convalidati in base agli standard FIPS (Federal Information Protection Standard) 140-2 livello 3. I moduli di protezione hardware gestiti usano schede HSM Marvell LiquidSecurity.
- Monitoraggio e controllo: integrazione completa con Monitoraggio di Azure. È possibile ottenere i log completi di tutte le attività tramite Monitoraggio di Azure e usare Azure Log Analytics per l'analisi e gli avvisi.
- Residenza dei dati: l'HSM gestito non archivia o elabora i dati dei clienti all'esterno dell'area in cui il cliente distribuisce l'istanza HSM.
Integrazione con i servizi PaaS/SaaS di Azure e Microsoft
- È possibile generare chiavi (o importarle tramite BYOK) e usarle per crittografare i dati inattivi in servizi di Azure come Archiviazione di Azure, Azure SQL, Azure Information Protection e Chiave cliente per Microsoft 365. Per un elenco più completo dei servizi di Azure che funzionano con HSM gestito, vedere Modelli di crittografia dei dati.
Uso delle stesse interfacce API e di gestione di Key Vault
- Eseguire facilmente la migrazione delle applicazioni esistenti che usano un insieme di credenziali (multi-tenant) per l'uso di moduli di protezione hardware gestiti.
- Usare gli stessi modelli di sviluppo e distribuzione di applicazioni per tutte le applicazioni indipendentemente dalla soluzione di gestione delle chiavi in uso: insiemi di credenziali multi-tenant o moduli di protezione hardware gestiti a tenant singolo.
Importare le chiavi dai moduli di protezione hardware locali
- È possibile generare chiavi con protezione HSM nel modulo di protezione hardware locale e importarle in modo sicuro nel modulo di protezione hardware gestito.
Passaggi successivi
- Gestione delle chiavi in Azure
- Per informazioni tecniche, vedere Come il modulo di protezione hardware gestito implementa la sovranità, la disponibilità, le prestazioni e la scalabilità chiave senza compromessi
- Vedere Avvio rapido: Effettuare il provisioning di un modulo di protezione hardware gestito e attivarlo tramite l'interfaccia della riga di comando di Azure per creare e attivare un modulo di protezione hardware gestito
- Baseline di sicurezza del modulo di protezione hardware gestito di Azure
- Vedere le procedure consigliate per l'uso del modulo di protezione hardware gestito di Azure Key Vault
- Stato HSM gestito
- Contratto di servizio HSM gestito
- Disponibilità dell'area dell'HSM gestito
- Che cos'è Zero Trust?