Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Azure HSM é um módulo de segurança de hardware (HSM) cache e descarregamento criptográfico concebido para melhorar a segurança e o desempenho das operações criptográficas em máquinas virtuais. Para clientes que dependem fortemente da criptografia e têm cargas de trabalho intensivas em desempenho, o Azure Integrated HSM oferece uma forma segura, apoiada por hardware, de armazenar chaves criptográficas para uma utilização rápida e segura.
Começando com o novo hardware Azure servidor AMD D Series v7 e AMD E series v7, os chips HSM desenhados pela Microsoft são incorporados diretamente nos servidores, cumprindo as normas Federal Information Processing Standards (FIPS) 140-3 Nível 3. Estes chips resistentes a adulteração mantêm as chaves de encriptação dentro dos limites seguros do hardware, eliminando riscos de latência e exposição. O HSM integrado opera de forma transparente por padrão para serviços suportados como o Azure Key Vault e a encriptação do Armazenamento do Azure, proporcionando confiança reforçada por hardware sem mais configurações. Esta integração garante que as operações criptográficas beneficiam do isolamento de segurança ao nível do hardware, mantendo ao mesmo tempo o desempenho e a escalabilidade dos serviços na cloud.
Benefícios do Azure Integrated HSM
-
Menor latência
- Reduza as viagens de ida e volta da rede para o Azure Key Vault ou HSM gerido realizando operações criptográficas localmente no mesmo nó da Máquina Virtual (VM)
-
As chaves mantêm-se protegidas
- As chaves armazenadas no Azure Integrated HSM não são expostas em texto claro e permanecem dentro do limite FIPS 140-3 Nível 3 HSM
-
Proteção de memória
- Proteger contra ataques de memória e crash-dump
-
Infraestrutura incorporada
- O Azure Integrated HSM está ligado a cada nó suportado como parte da infraestrutura do Azure
-
Sem custos adicionais
- Disponível sem custo adicional
Operações suportadas
As seguintes operações criptográficas são suportadas para o Azure Integrated HSM:
-
AES - Encriptar + Decifrar (
BCRYPT_AES_ALGORITHM)-
AES-CBC (
BCRYPT_CHAIN_MODE_CBC)- 128 bits
- 192 bits
- 256 bits
-
AES-GCM (
BCRYPT_CHAIN_MODE_GCM)- 256 bits
-
AES-XTS (
BCRYPT_XTS_AES_ALGORITHM)- 512 bits
-
AES-CBC (
-
RSA (
BCRYPT_RSA_ALGORITHM)-
Decifrar + Assinar
- RSA 2048 (2k)
- RSA 3072 (3k)
- RSA 4096 (4k)
-
Desencapsular
- RSA 2048 (2k)
-
Decifrar + Assinar
- CEC
-
ECDSA - Assinatura (
BCRYPT_ECDSA_ALGORITHM)- ECC P256 (
BCRYPT_ECDSA_P256_ALGORITHM) - ECC P384 (
BCRYPT_ECDSA_P384_ALGORITHM) - ECC P521 (
BCRYPT_ECDSA_P521_ALGORITHM)
- ECC P256 (
-
ECDH - Troca Secreta (
BCRYPT_ECDH_ALGORITHM)- ECC P256 (
BCRYPT_ECDH_P256_ALGORITHM) - ECC P384 (
BCRYPT_ECDH_P384_ALGORITHM) - ECC P521 (
BCRYPT_ECDH_P521_ALGORITHM)
- ECC P256 (
-
ECDSA - Assinatura (
-
Derivação de Chaves
-
HKDF ("Função de Derivação de Chaves baseada em HMAC") (
BCRYPT_HKDF_ALGORITHM)- Como definido no IETF RFC 5869, e referido em NCrypt pela
BCRYPT_HKDF_ALGORITHMcadeia
- Como definido no IETF RFC 5869, e referido em NCrypt pela
-
HKDF ("Função de Derivação de Chaves baseada em HMAC") (
Disponibilidade e preços
O Azure Integrated HSM está agora disponível para utilização na plataforma AMD v7, agora disponível em todas as regiões suportadas pela AMD v7. Essa funcionalidade é suportada para as séries Dasv7, Dadsv7, Easv7 e Eadsv7 para VMs de Lançamento Confiável com 8 vCores ou mais. A disponibilidade geral Azure HSM integrado é apenas para suporte Windows, com suporte Linux a chegar em breve. Esta funcionalidade é oferecida sem custos adicionais.
O nosso repositório GitHub tem amostras de clientes e instruções para mais detalhes sobre como usar Azure HSM Integrado.
Limitações
- Apenas suporte para convidados no Windows
- A imagem de sistema operativo convidado do Windows com WS2025 ou WS2022 pode suportar AziHSM. Visite a nossa página GitHub para mais instruções sobre como instalar o driver convidado e o fornecedor de serviços chave necessário para a interface com o dispositivo.
- Requer a participação do cliente — não está ativada por defeito para todos os SKUs.
- Para mais informações sobre como aderir, consulte a nossa documentação de como implantar.
- Suportado apenas em determinados SKUs de VM
- Requisito mínimo de tamanho de VM
- Azure HSM integrado é suportado apenas para tamanhos 8vCores e superiores
- Apenas o tipo de segurança Trusted Launch é suportado
- Esta funcionalidade está disponível apenas para o tipo de segurança Trusted Launch. Standard e Confidential não são suportados.
- Sem persistência de chaves em cache local em cenários de desalocação e reinício de VMs
- O Azure Integrated HSM é um cache de chave local concebido para suportar operações criptográficas efémeras. As chaves não persistem durante os reinícios da máquina virtual.