Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Integrated HSM is een HSM-cache (Hardware Security Module) en crypto-offload die is ontworpen om de beveiliging en prestaties van cryptografische bewerkingen in virtuele machines te verbeteren. Voor klanten die sterk afhankelijk zijn van cryptografie en prestatie-intensieve workloads hebben, biedt Azure Geïntegreerde HSM een veilige manier om cryptografische sleutels op te slaan voor snel en veilig gebruik.
Beginnend met nieuwe Azure serverhardware AMD D Series v7 en AMD E-serie v7, worden Microsoft ontworpen HSM-chips rechtstreeks op servers ingesloten, voldoen aan fips-standaarden (Federal Information Processing Standards) 140-3 niveau 3. Deze manipulatiebestendige chips houden versleutelingssleutels binnen veilige hardwaregrenzen, waardoor latentie en blootstellingsrisico's worden geëlimineerd. De geïntegreerde HSM werkt standaard transparant voor ondersteunde services, zoals Azure Key Vault en Azure Storage versleuteling, waardoor hardware afgedwongen vertrouwen zonder meer configuratie wordt geboden. Deze integratie zorgt ervoor dat cryptografische bewerkingen profiteren van beveiligingsisolatie op hardwareniveau, terwijl de prestaties en schaalbaarheid van cloudservices behouden blijven.
Voordelen van Azure Geïntegreerde HSM
-
Lagere latentie
- Verminder netwerkrondes naar Azure Key Vault of beheerde HSM door cryptografische bewerkingen lokaal uit te voeren op hetzelfde knooppunt als de virtuele machine (VM)
-
Sleutels blijven beveiligd
- Sleutels die zijn opgeslagen in Azure Geïntegreerde HSM worden niet weergegeven in platte tekst en blijven binnen de HSM-grenzen van FIPS 140-3 Niveau 3.
-
Geheugenbeveiliging
- Bescherming tegen geheugen- en crashdumpaanvallen
-
Ingebouwde infrastructuur
- Azure Geïntegreerde HSM is gekoppeld aan elk ondersteund knooppunt als onderdeel van Azure-infrastructuur
-
Geen extra kosten
- Beschikbaar zonder extra kosten
Ondersteunde bewerkingen
De volgende cryptografische bewerkingen worden ondersteund voor Azure Geïntegreerde HSM:
-
AES - Versleutelen en ontsleutelen (
BCRYPT_AES_ALGORITHM)-
AES-CBC (
BCRYPT_CHAIN_MODE_CBC)- 128-bits
- 192-bits
- 256-bits
-
AES-GCM (
BCRYPT_CHAIN_MODE_GCM)- 256-bits
-
AES-XTS (
BCRYPT_XTS_AES_ALGORITHM)- 512-bit
-
AES-CBC (
-
RSA (
BCRYPT_RSA_ALGORITHM)-
Ontsleutelen + ondertekenen
- RSA 2048 (2k)
- RSA 3072 (3k)
- RSA 4096 (4k)
-
Uitpakken
- RSA 2048 (2k)
-
Ontsleutelen + ondertekenen
-
ECC
-
ECDSA - Teken (
BCRYPT_ECDSA_ALGORITHM)- ECC P256 (
BCRYPT_ECDSA_P256_ALGORITHM) - ECC P384 (
BCRYPT_ECDSA_P384_ALGORITHM) - ECC P521 (
BCRYPT_ECDSA_P521_ALGORITHM)
- ECC P256 (
-
ECDH - Geheime Uitwisseling (
BCRYPT_ECDH_ALGORITHM)- ECC P256 (
BCRYPT_ECDH_P256_ALGORITHM) - ECC P384 (
BCRYPT_ECDH_P384_ALGORITHM) - ECC P521 (
BCRYPT_ECDH_P521_ALGORITHM)
- ECC P256 (
-
ECDSA - Teken (
-
Sleutelafleiding
-
HKDF ('HMAC-based Key Derivation Function') (
BCRYPT_HKDF_ALGORITHM)- Zoals gedefinieerd in IETF RFC 5869 en waarnaar wordt verwezen in NCrypt door de
BCRYPT_HKDF_ALGORITHMtekenreeks
- Zoals gedefinieerd in IETF RFC 5869 en waarnaar wordt verwezen in NCrypt door de
-
HKDF ('HMAC-based Key Derivation Function') (
Beschikbaarheid en prijzen
Azure Geïntegreerde HSM is nu beschikbaar voor gebruik op het algemeen beschikbare AMD v7-platform in alle ondersteunde AMD v7-regio's. Dit wordt ondersteund voor de Dasv7-serie, Dadsv7-serie, Easv7-serie en Eadsv7-serie voor 8 vCores en hoger voor Trusted Launch-VM's. De algemene beschikbaarheid van de Azure Geïntegreerde HSM is alleen beschikbaar voor Windows-ondersteuning, met binnenkort linux-ondersteuning. Deze functie wordt zonder extra kosten aangeboden.
Onze GitHub opslagplaats bevat klantvoorbeelden en instructies voor meer informatie over het gebruik van Azure Geïntegreerde HSM.
Limitations
- alleen Windows-gastondersteuning
- Windows-gastimage met WS2025 of WS2022 kan AziHSM ondersteunen. Ga naar onze pagina GitHub voor meer instructies over het installeren van het gaststuurprogramma en de sleutelserviceprovider die nodig is voor communicatie met het apparaat.
- Vereist dat de klant zich aanmeldt. Deze is niet standaard ingeschakeld voor alle SKU's.
- Voor meer informatie over hoe u zich kunt aanmelden, zie onze handleiding voor implementatie.
- Alleen ondersteund voor geselecteerde VM-SKU's
- Minimale VM-groottevereiste
- Azure Geïntegreerde HSM wordt alleen ondersteund voor grootten 8vCores en hoger
- Alleen het beveiligingstype Vertrouwde Start wordt ondersteund
- Deze functie is alleen beschikbaar voor het beveiligingstype Vertrouwde start. Standard en Vertrouwelijk worden niet ondersteund.
- Geen persistentie van lokaal in de cache geplaatste sleutels tijdens scenario's van deallocatie en opnieuw opstarten van VM's.
- Azure Geïntegreerde HSM is een lokale sleutelcache die is ontworpen ter ondersteuning van tijdelijke cryptografische bewerkingen. Sleutels blijven niet behouden tijdens het opnieuw opstarten van de virtuele machine.