Azure 專用 HSM 部署體系結(jié)構(gòu)

Azure專用HSM部署架構(gòu)

Azure專用HSM在Azure中提供加密密鑰存儲(chǔ)。它符合嚴(yán)格的安全要求。如果客戶滿足以下條件，他們將從Azure專用HSM中受益:

必須滿足FIPS 1402三級(jí)認(rèn)證

它被要求擁有進(jìn)入HSM的專屬權(quán)。

應(yīng)該完全控制它的設(shè)備。

HSM分布在微軟數(shù)據(jù)中心，可以作為高可用性解決方案的基礎(chǔ)設(shè)備對(duì)輕松配置。他們還可以跨區(qū)域部署災(zāi)難恢復(fù)解決方案。目前，您可以使用產(chǎn)品逐區(qū)域頁(yè)面來(lái)查看具有專用HSM的區(qū)域。

每個(gè)分區(qū)都有一個(gè)部署在兩個(gè)獨(dú)立數(shù)據(jù)中心或至少兩個(gè)獨(dú)立可用性分區(qū)中的HSM機(jī)架。例如，在東南亞有三個(gè)可用區(qū)域，在美國(guó)東部有兩個(gè)。歐洲、亞洲和美國(guó)有8個(gè)地區(qū)提供專門(mén)的HSM服務(wù)。當(dāng)新的HSM機(jī)架添加到新的區(qū)域時(shí)，這種情況將會(huì)改變。關(guān)于Azure regions的詳細(xì)信息，請(qǐng)參考Azure region官方信息。基于任何專用HSM的解決方案共享的一些設(shè)計(jì)因素包括位置/延遲、高可用性和對(duì)其他分布式應(yīng)用的支持。

設(shè)備位置

HSM設(shè)備的最佳位置是離執(zhí)行加密操作的應(yīng)用程序最近的位置。區(qū)域內(nèi)延遲預(yù)計(jì)為1比特毫秒。跨區(qū)域延遲可能是這個(gè)的5到10倍。

高可用性

為了實(shí)現(xiàn)高可用性，客戶必須在配置了Thanles軟件的區(qū)域中使用兩臺(tái)HSM設(shè)備作為高可用性對(duì)。當(dāng)單個(gè)設(shè)備遇到阻止其處理密鑰操作的問(wèn)題時(shí)，這種部署可以確保密鑰的可用性。還可以大大降低進(jìn)行中斷/修復(fù)維護(hù)(如電源更換)時(shí)的風(fēng)險(xiǎn)。對(duì)于設(shè)計(jì)來(lái)說(shuō)，解釋各種區(qū)域性斷層的成因是非常重要的。當(dāng)遇到自然災(zāi)害(如颶風(fēng)、洪水或地震)時(shí)，可能會(huì)發(fā)生區(qū)域級(jí)故障。HSM設(shè)備應(yīng)在另一個(gè)區(qū)域預(yù)先配備，以減輕此類事件的影響。部署在另一個(gè)區(qū)域的設(shè)備可以通過(guò)Thales軟件成對(duì)配置。這意味著跨兩個(gè)地區(qū)的高可用性和災(zāi)難恢復(fù)解決方案的最低部署是四臺(tái)HSM設(shè)備。本地冗余和跨區(qū)域冗余可用作添加更多HSM設(shè)備的基準(zhǔn)，以支持延遲和容量，或滿足其他應(yīng)用特定的要求。

分布式應(yīng)用程序支持

通常，部署特殊的HSM設(shè)備來(lái)支持需要執(zhí)行密鑰存儲(chǔ)和密鑰檢索操作的應(yīng)用程序。專用HSM設(shè)備有10個(gè)分區(qū)用于獨(dú)立的應(yīng)用程序支持。設(shè)備的位置應(yīng)取決于需要使用該服務(wù)的所有應(yīng)用程序的整體情況。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。