Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure HSM intégré est un cache de module de sécurité matériel (HSM) et un déchargement de chiffrement conçu pour améliorer la sécurité et les performances des opérations de chiffrement dans les machines virtuelles. Pour les clients qui s’appuient fortement sur le chiffrement et qui ont des charges de travail gourmandes en performances, Azure HSM intégré offre un moyen sécurisé de stockage de clés de chiffrement pour une utilisation rapide et sécurisée.
À compter du nouveau matériel Azure serveur AMD D Series v7 et AMD E series v7, les puces HSM conçues par Microsoft sont incorporées directement sur les serveurs, répondant aux normes FIPS (Federal Information Processing Standards) 140-3 Niveau 3. Ces puces résistantes à la falsification conservent les clés de chiffrement dans des limites matérielles sécurisées, éliminant ainsi les risques de latence et d’exposition. Le module HSM intégré fonctionne de manière transparente par défaut pour les services pris en charge tels que Azure Key Vault et le chiffrement stockage Azure, fournissant une approbation appliquée par le matériel sans plus de configuration. Cette intégration garantit que les opérations de chiffrement bénéficient de l’isolation de sécurité au niveau du matériel tout en conservant les performances et l’extensibilité des services cloud.
Avantages du HSM intégré Azure
-
Latence inférieure
- Réduisez les allers-retours réseau vers Azure Key Vault ou le HSM managé en effectuant des opérations de chiffrement localement sur le même nœud que la machine virtuelle
-
Les clés restent protégées
- Les clés stockées dans Azure HSM intégré ne sont pas exposées en texte clair et restent dans une limite FIPS 140-3 de niveau 3 HSM
-
Protection de la mémoire
- Protéger contre les attaques de mémoire et de vidage de mémoire en cas de crash
-
Infrastructure intégrée
- Azure HSM intégré est attaché à chaque nœud pris en charge dans le cadre de Azure infrastructure
-
Aucun coût supplémentaire
- Disponible sans coût supplémentaire
Opérations prises en charge
Les opérations de chiffrement suivantes sont prises en charge pour Azure HSM intégré :
-
AES - Chiffrer + Déchiffrer (
BCRYPT_AES_ALGORITHM)-
AES-CBC (
BCRYPT_CHAIN_MODE_CBC)- 128 bits
- 192 bits
- 256 bits
-
AES-GCM (
BCRYPT_CHAIN_MODE_GCM)- 256 bits
-
AES-XTS (
BCRYPT_XTS_AES_ALGORITHM)- 512 bits
-
AES-CBC (
-
RSA (
BCRYPT_RSA_ALGORITHM)-
Déchiffrer + signer
- RSA 2048 (2k)
- RSA 3072 (3k)
- RSA 4096 (4k)
-
Désencapsuler
- RSA 2048 (2k)
-
Déchiffrer + signer
- ECC
-
ECDSA - Sign (
BCRYPT_ECDSA_ALGORITHM)- ECC P256 (
BCRYPT_ECDSA_P256_ALGORITHM) - ECC P384 (
BCRYPT_ECDSA_P384_ALGORITHM) - ECC P521 (
BCRYPT_ECDSA_P521_ALGORITHM)
- ECC P256 (
-
ECDH - Secret Exchange (
BCRYPT_ECDH_ALGORITHM)- ECC P256 (
BCRYPT_ECDH_P256_ALGORITHM) - ECC P384 (
BCRYPT_ECDH_P384_ALGORITHM) - ECC P521 (
BCRYPT_ECDH_P521_ALGORITHM)
- ECC P256 (
-
ECDSA - Sign (
-
Dérivation de clé
-
HKDF (« Fonction de dérivation de clé basée sur HMAC ») (
BCRYPT_HKDF_ALGORITHM)- Comme défini dans IETF RFC 5869, et référencé dans NCrypt par la
BCRYPT_HKDF_ALGORITHMchaîne
- Comme défini dans IETF RFC 5869, et référencé dans NCrypt par la
-
HKDF (« Fonction de dérivation de clé basée sur HMAC ») (
Disponibilité et tarification
Azure HSM intégré est désormais disponible sur la plateforme AMD v7 en disponibilité générale dans toutes les régions prises en charge par AMD v7. Cela est pris en charge pour les séries Dasv7, Dadsv7, Easv7 et Eadsv7, pour 8 vCores et versions supérieures, pour les machines virtuelles à lancement sécurisé. La disponibilité générale du HSM intégré Azure est limitée à la prise en charge Windows uniquement, avec la prise en charge de Linux prévue prochainement. Cette fonctionnalité est proposée sans frais supplémentaires.
Notre dépôt GitHub contient des exemples et instructions clients pour plus d’informations sur l’utilisation Azure HSM intégré.
Limitations
- Support invité Windows uniquement
- Windows image invitée avec WS2025 ou WS2022 peut prendre en charge AziHSM. Visitez notre page GitHub pour obtenir plus d’instructions sur l’installation du pilote invité et du fournisseur de services clés requis pour l’interaction avec l’appareil.
- Nécessite l’adhésion du client , non activée par défaut pour toutes les références SKU.
- Pour plus d’informations sur la façon de s'inscrire, consultez notre documentation sur le déploiement.
- Pris en charge uniquement sur certaines références SKU de machine virtuelle
- Condition minimale requise pour la taille de machine virtuelle
- Azure HSM intégré n’est pris en charge que pour les tailles 8vCores et au-delà
- Type de sécurité de lancement approuvé pris en charge uniquement
- Cette fonctionnalité est disponible uniquement pour le type de sécurité de lancement approuvé. Standard et Confidentiel ne sont pas pris en charge.
- Aucune persistance des clés mises en cache localement dans les scénarios de désallocation de machine virtuelle et de redémarrage
- Azure HSM intégré est un cache de clés local conçu pour prendre en charge les opérations de chiffrement éphémères. Les clés ne sont pas conservées entre les redémarrages de la machine virtuelle.