Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Integrated HSM är en HSM-cache (maskinvarusäkerhetsmodul) och kryptolast som är utformad för att förbättra säkerheten och prestandan för kryptografiska åtgärder på virtuella datorer. För kunder som är starkt beroende av kryptografi och har prestandaintensiva arbetsbelastningar är Azure Integrated HSM ett säkert maskinvarubaserat sätt att lagra kryptografiska nycklar för snabb och säker användning.
Från och med ny Azure servermaskinvara AMD D Series v7 och AMD E-serien v7, bäddas Microsoft utformade HSM-chips in direkt på servrar och uppfyller FIPS-standarder (Federal Information Processing Standards) 140-3 Nivå 3. Dessa manipuleringsbeständiga chips håller krypteringsnycklar inom säkra maskinvarugränser, vilket eliminerar svarstider och exponeringsrisker. Den integrerade HSM fungerar transparent som standard för tjänster som stöds, till exempel Azure Key Vault och Azure Storage kryptering, vilket ger maskinvarustyrt förtroende utan mer konfiguration. Den här integreringen säkerställer att kryptografiska åtgärder drar nytta av säkerhetsisolering på maskinvarunivå samtidigt som prestanda och skalbarhet för molntjänster bibehålls.
Fördelar med Azure integrerad HSM
-
Kortare svarstid
- Minska nätverksresor till Azure Key Vault eller hanterad HSM genom att utföra kryptografiska åtgärder lokalt på samma nod som den virtuella datorn (VM)
-
Nycklar förblir skyddade
- Nycklar som lagras i Azure integrerad HSM exponeras inte i klartext och förblir inom en FIPS 140-3 Nivå 3 HSM-gräns
-
Minnesskydd
- Skydda mot minnes- och kraschdumparattacker
-
Inbyggd infrastruktur
- Azure integrerad HSM är kopplad till varje nod som stöds som en del av Azure infrastruktur
-
Ingen extra kostnad
- Tillgänglig utan extra kostnad
Åtgärder som stöds
Följande kryptografiska åtgärder stöds för Azure integrerad HSM:
-
AES – Kryptera + dekryptera (
BCRYPT_AES_ALGORITHM)-
AES-CBC (
BCRYPT_CHAIN_MODE_CBC)- 128-bit
- 192-bit
- 256-bit
-
AES-GCM (
BCRYPT_CHAIN_MODE_GCM)- 256-bit
-
AES-XTS (
BCRYPT_XTS_AES_ALGORITHM)- 512-bit
-
AES-CBC (
-
RSA (
BCRYPT_RSA_ALGORITHM)-
Dekryptera + signera
- RSA 2048 (2k)
- RSA 3072 (3k)
- RSA 4096 (4k)
-
Packa upp
- RSA 2048 (2k)
-
Dekryptera + signera
-
ECC
-
ECDSA – Signera (
BCRYPT_ECDSA_ALGORITHM)- ECC P256 (
BCRYPT_ECDSA_P256_ALGORITHM) - ECC P384 (
BCRYPT_ECDSA_P384_ALGORITHM) - ECC P521 (
BCRYPT_ECDSA_P521_ALGORITHM)
- ECC P256 (
-
ECDH – Nyckelutbyte (
BCRYPT_ECDH_ALGORITHM)- ECC P256 (
BCRYPT_ECDH_P256_ALGORITHM) - ECC P384 (
BCRYPT_ECDH_P384_ALGORITHM) - ECC P521 (
BCRYPT_ECDH_P521_ALGORITHM)
- ECC P256 (
-
ECDSA – Signera (
-
Nyckelhärledning
-
HKDF ("HMAC-baserad nyckelhärledningsfunktion") (
BCRYPT_HKDF_ALGORITHM)- Enligt definitionen i IETF RFC 5869 och refereras till i NCrypt av strängen
BCRYPT_HKDF_ALGORITHM
- Enligt definitionen i IETF RFC 5869 och refereras till i NCrypt av strängen
-
HKDF ("HMAC-baserad nyckelhärledningsfunktion") (
Tillgänglighet och priser
Azure Integrerad HSM är nu tillgänglig för användning på den allmänt tillgängliga plattformen AMD v7 i alla regioner som stöds av AMD v7. Detta stöds för allmänna ändamål Dasv7-serien, Dadsv7-serien, Easv7-serien och Eadsv7-serien för 8 virtuella kärnor eller fler för Trusted Launch-VM:er. Den Azure integrerade HSM-tillgängligheten gäller endast för Windows endast, och Linux-supporten kommer snart. Den här funktionen erbjuds utan extra kostnad.
Vår GitHub-lagringsplats innehåller kundexempel och instruktioner för mer information om hur du använder Azure integrerad HSM.
Limitations
- Endast Windows-gästsupport
- Windows gästbild med WS2025 eller WS2022 kan stödja AziHSM. Besök sidan GitHub för mer information om hur du installerar gästdrivrutinen och nyckeltjänstleverantören som krävs för att interagera med enheten.
- Kräver kundanmälning – inte aktiverat som standard för alla SKU:er.
- Mer information om hur du anmäler dig finns i vår dokumentation om hur du distribuerar.
- Stöds endast på utvalda VM-SKU:er
- Minimikrav på VM-storlek
- Azure integrerad HSM stöds endast för storlekar 8vCores och högre
- Säkerhetstypen Betrodd start stöds endast
- Den här funktionen är endast tillgänglig för säkerhetstypen Betrodd start. Standard och Konfidentiellt stöds inte.
- Ingen beständighet för lokalt cachelagrade nycklar mellan scenarier för frigöring och omstart av virtuella datorer
- Azure Integrated HSM är en lokal nyckelcachen som är utformad för att stödja tillfälliga kryptografiska åtgärder. Nycklar sparas inte mellan omstarter av den virtuella datorn.