Azure 專用 HSM 部署體系結構

Azure專用HSM部署架構

Azure專用HSM在Azure中提供加密密鑰存儲。它符合嚴格的安全要求。如果客戶滿足以下條件，他們將從Azure專用HSM中受益:

必須滿足FIPS 1402三級認證

它被要求擁有進入HSM的專屬權。

應該完全控制它的設備。

HSM分布在微軟數據中心，可以作為高可用性解決方案的基礎設備對輕松配置。他們還可以跨區域部署災難恢復解決方案。目前，您可以使用產品逐區域頁面來查看具有專用HSM的區域。

每個分區都有一個部署在兩個獨立數據中心或至少兩個獨立可用性分區中的HSM機架。例如，在東南亞有三個可用區域，在美國東部有兩個。歐洲、亞洲和美國有8個地區提供專門的HSM服務。當新的HSM機架添加到新的區域時，這種情況將會改變。關于Azure regions的詳細信息，請參考Azure region官方信息。基于任何專用HSM的解決方案共享的一些設計因素包括位置/延遲、高可用性和對其他分布式應用的支持。

設備位置

HSM設備的最佳位置是離執行加密操作的應用程序最近的位置。區域內延遲預計為1比特毫秒。跨區域延遲可能是這個的5到10倍。

高可用性

為了實現高可用性，客戶必須在配置了Thanles軟件的區域中使用兩臺HSM設備作為高可用性對。當單個設備遇到阻止其處理密鑰操作的問題時，這種部署可以確保密鑰的可用性。還可以大大降低進行中斷/修復維護(如電源更換)時的風險。對于設計來說，解釋各種區域性斷層的成因是非常重要的。當遇到自然災害(如颶風、洪水或地震)時，可能會發生區域級故障。HSM設備應在另一個區域預先配備，以減輕此類事件的影響。部署在另一個區域的設備可以通過Thales軟件成對配置。這意味著跨兩個地區的高可用性和災難恢復解決方案的最低部署是四臺HSM設備。本地冗余和跨區域冗余可用作添加更多HSM設備的基準，以支持延遲和容量，或滿足其他應用特定的要求。

分布式應用程序支持

通常，部署特殊的HSM設備來支持需要執行密鑰存儲和密鑰檢索操作的應用程序。專用HSM設備有10個分區用于獨立的應用程序支持。設備的位置應取決于需要使用該服務的所有應用程序的整體情況。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。