您当前的位置:   首页 > 新闻中心
在 Microsoft Azure Key Vault 中管理、处理和控制您自己的密钥
发布时间:2022-01-18 10:39:15   阅读次数:

image.png

Microsoft 的 Azure Key Vault 托管 HSM 允许客户保护其云应用程序的加密密钥并符合标准。它是一种高度可用、完全托管的单租户云服务,使用经过 FIPS 140-2 3 级验证的硬件安全模块 (HSM)。在这里,我们将讨论在其数据中心内部部署集中管理的密钥管理系统的客户应使用托管 HSM 来管理其在 MS Azure Key Vault 中的密钥的原因。


高度可用、完全托管的单租户 HSM

Azure 的 Key Vault 托管HSM即服务是:

  1. 高可用性和区域弹性

    在支持区域的情况下,每个 HSM 集群中包含多个 HSM 分区,这些分区至少跨越两个可用区。如果发生硬件故障,HSM 集群中的成员分区会自动迁移到健康节点。


  2. 全面管理密钥

    该服务在密钥的整个生命周期中处理 HSM 配置、维护、配置和修补。


  3. 单租户

    HSM 的每个托管实例都专用于一个客户,而不是多租户,而是由多个 HSM 分区组成的集群。每个客户的 HSM 集群通过使用单独的客户特定安全域进行加密隔离。


增强的数据保护、访问控制和合规性

控制访问、保护数据和满足合规性要求对于适当的密钥管理至关重要。Azure 的 Key Vault通过以下六个因素完成了这一切:

  1. 数据驻留

    客户数据不会在客户在托管 HSM 中部署 HSM 实例的区域之外存储或处理。它仍然在客户的控制之下。


  2. 使用 Azure Log Analytics 进行监控和审核

    客户数据不会在客户在托管 HSM 中部署 HSM 实例的区域之外存储或处理。它仍然在客户的控制之下。


  3. 访问受限的集中式密钥管理

    关键的高价值密钥仅在一个地方在整个组织中进行管理。通过每个密钥的细化权限,根据“最小特权访问”的原则控制对每个密钥的访问。


  4. 隔离访问控制

    通过托管 HSM“本地 RBAC”访问控制模型,指定的 HSM 集群管理员可以完全控制 HSM。管理组、订阅或资源组管理员不能覆盖此控制。


  5. 用于安全连接的专用端点

    专用终结点用于允许在虚拟网络中运行的应用程序以私密且安全的方式连接到托管 HSM。


  6. 符合 FIPS 140-2 Level 3 级验证的 HSM

    Azure Key Vault 保护数据并满足联邦信息保护标准 (FIPS) 140-2 3 级验证 HSM 的合规性要求。这些托管 HSM 使用 Marvell LiquidSecurity HSM 适配器。


使用Thales Luna HSM实现MS Azure Key Vault的BYOK解决方案

Thales Luna HSM客户可以在自己的环境中创建加密密钥,然后将那些受HSM保护的密钥安全地直接带到Azure Key Vault中使用。这为客户提供了对Azure服务和云中运行的应用程序使用的加密密钥的增强的控制和安全性,同时确保密钥与敏感数据所在的位置保持隔离。此解决方案通过在Azure保管库之外的本地Luna HSM中维护密钥的原始版本,从而使他们能够更好地控制导入的密钥材料的耐用性,从而帮助客户增强安全性和密钥管理实践。



现在联系揽阁信息,我们的技术专家将会为您做更为详细的介绍。


揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609