Azure 专用 HSM 部署体系结构-ESG跨境

Azure 专用 HSM 部署体系结构

Azure专用HSM部署架构

Azure专用HSM在Azure中提供加密密钥存储。它符合严格的安全要求。如果客户满足以下条件，他们将从Azure专用HSM中受益:

必须满足FIPS 1402三级认证

它被要求拥有进入HSM的专属权。

应该完全控制它的设备。

HSM分布在微软数据中心，可以作为高可用性解决方案的基础设备对轻松配置。他们还可以跨区域部署灾难恢复解决方案。目前，您可以使用产品逐区域页面来查看具有专用HSM的区域。

每个分区都有一个部署在两个独立数据中心或至少两个独立可用性分区中的HSM机架。例如，在东南亚有三个可用区域，在美国东部有两个。欧洲、亚洲和美国有8个地区提供专门的HSM服务。当新的HSM机架添加到新的区域时，这种情况将会改变。关于Azure regions的详细信息，请参考Azure region官方信息。基于任何专用HSM的解决方案共享的一些设计因素包括位置/延迟、高可用性和对其他分布式应用的支持。

设备位置

HSM设备的最佳位置是离执行加密操作的应用程序最近的位置。区域内延迟预计为1比特毫秒。跨区域延迟可能是这个的5到10倍。

高可用性

为了实现高可用性，客户必须在配置了Thanles软件的区域中使用两台HSM设备作为高可用性对。当单个设备遇到阻止其处理密钥操作的问题时，这种部署可以确保密钥的可用性。还可以大大降低进行中断/修复维护(如电源更换)时的风险。对于设计来说，解释各种区域性断层的成因是非常重要的。当遇到自然灾害(如飓风、洪水或地震)时，可能会发生区域级故障。HSM设备应在另一个区域预先配备，以减轻此类事件的影响。部署在另一个区域的设备可以通过Thales软件成对配置。这意味着跨两个地区的高可用性和灾难恢复解决方案的最低部署是四台HSM设备。本地冗余和跨区域冗余可用作添加更多HSM设备的基准，以支持延迟和容量，或满足其他应用特定的要求。

分布式应用程序支持

通常，部署特殊的HSM设备来支持需要执行密钥存储和密钥检索操作的应用程序。专用HSM设备有10个分区用于独立的应用程序支持。设备的位置应取决于需要使用该服务的所有应用程序的整体情况。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。