Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
HSM Integrado do Azure é um cache HSM (módulo de segurança de hardware) e offload criptográfico projetado para aprimorar a segurança e o desempenho das operações criptográficas em Máquinas Virtuais. Para clientes que dependem muito da criptografia e têm cargas de trabalho com uso intensivo de desempenho, Azure HSM integrado fornece uma maneira segura de armazenar chaves criptográficas para uso rápido e seguro.
A partir do novo hardware do servidor Azure AMD D Series v7 e AMD E série v7, os chips HSM projetados por Microsoft são inseridos diretamente em servidores, atendendo aos padrões federais de processamento de informações (FIPS) 140-3 nível 3. Esses chips resistentes a adulterações mantêm chaves de criptografia dentro de limites de hardware seguros, eliminando riscos de latência e exposição. O HSM integrado opera de forma transparente por padrão para serviços com suporte, como criptografia de Azure Key Vault e Armazenamento do Azure, fornecendo confiança imposta por hardware sem mais configuração. Essa integração garante que as operações criptográficas se beneficiem do isolamento de segurança em nível de hardware, mantendo o desempenho e a escalabilidade dos serviços de nuvem.
Benefícios do HSM integrado Azure
-
Latência mais baixa
- Reduza as viagens de ida e volta na rede para o Azure Key Vault ou HSM Gerenciado, executando operações criptográficas localmente no mesmo nó da Máquina Virtual (VM).
-
As chaves permanecem protegidas
- As chaves armazenadas no HSM Integrado do Azure não são expostas em texto não criptografado e permanecem dentro de um limite de HSM FIPS 140-3 Nível 3.
-
Proteção de memória
- Proteja-se contra ataques de memória e despejo de memória.
-
Infraestrutura interna
- O HSM Integrado do Azure é anexado a cada nó compatível como parte da infraestrutura do Azure.
-
Sem custo adicional
- Disponível sem custo adicional
Operações com suporte
As seguintes operações criptográficas têm suporte para Azure HSM integrado:
-
AES – Criptografar + Descriptografar (
BCRYPT_AES_ALGORITHM)-
AES-CBC (
BCRYPT_CHAIN_MODE_CBC)- 128 bits
- 192 bits
- 256 bits
-
AES-GCM (
BCRYPT_CHAIN_MODE_GCM)- 256 bits
-
AES-XTS (
BCRYPT_XTS_AES_ALGORITHM)- 512 bits
-
AES-CBC (
-
RSA (
BCRYPT_RSA_ALGORITHM)-
Descriptografar + Assinar
- RSA 2048 (2k)
- RSA 3072 (3k)
- RSA 4096 (4k)
-
Desencapsular
- RSA 2048 (2k)
-
Descriptografar + Assinar
-
ECC
-
ECDSA - Sign (
BCRYPT_ECDSA_ALGORITHM)- ECC P256 (
BCRYPT_ECDSA_P256_ALGORITHM) - ECC P384 (
BCRYPT_ECDSA_P384_ALGORITHM) - ECC P521 (
BCRYPT_ECDSA_P521_ALGORITHM)
- ECC P256 (
-
ECDH – Troca secreta (
BCRYPT_ECDH_ALGORITHM)- ECC P256 (
BCRYPT_ECDH_P256_ALGORITHM) - ECC P384 (
BCRYPT_ECDH_P384_ALGORITHM) - ECC P521 (
BCRYPT_ECDH_P521_ALGORITHM)
- ECC P256 (
-
ECDSA - Sign (
-
Derivação de chave
-
HKDF ("Função de derivação de chave baseada em HMAC") (
BCRYPT_HKDF_ALGORITHM)- Conforme definido no IETF RFC 5869 e referenciado em NCrypt pela
BCRYPT_HKDF_ALGORITHMcadeia de caracteres
- Conforme definido no IETF RFC 5869 e referenciado em NCrypt pela
-
HKDF ("Função de derivação de chave baseada em HMAC") (
Disponibilidade e preços
Azure Integrated HSM agora está disponível para uso na plataforma AMD v7 disponível em todas as regiões que suportam AMD v7. Isso é compatível com as VMs de uso geral Dasv7-series, Dadsv7-series, Easv7-series e Eadsv7-series para 8 vCores ou mais para Inicialização Confiável. A disponibilidade geral do HSM integrado Azure é somente para suporte a Windows, com suporte para Linux em breve. Esse recurso é oferecido sem custo adicional.
Nosso GitHub repositório tem exemplos de clientes e instruções para obter mais detalhes sobre como usar Azure HSM integrado.
Limitações
- Windows suporte apenas para convidados
- A imagem convidada do Windows com WS2025 ou WS2022 pode ser compatível com o AziHSM. Visite nossa página GitHub para obter mais instruções sobre como instalar o driver convidado e o provedor de serviços de chave necessários para interfiguração com o dispositivo.
- Requer a aceitação do cliente , não habilitada por padrão para todas as SKUs.
- Para obter mais informações sobre como aceitar, consulte nossa documentação de implantação.
- Com suporte apenas em SKUs de VM selecionadas
- Requisito mínimo de tamanho de VM
- Azure HSM integrado só tem suporte para tamanhos 8vCores e superior
- Apenas o tipo de segurança Trusted Launch é suportado
- Esse recurso só está disponível para o tipo de segurança de Inicialização Confiável. Não há suporte para Standard e Confidential.
- Nenhuma persistência de chaves armazenadas localmente em cache em cenários de desalocação e reinicialização da VM
- Azure HSM integrado é um cache de chave local projetado para dar suporte a operações criptográficas efêmeras. As chaves não persistirão nas reinicializações da máquina virtual.