Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Dokument wird beschrieben, wie Sie die Kapazität für azure Managed HSM ordnungsgemäß planen.
Häufige Kundenszenarien für die Kapazitätsplanung
Verschlüsselung von Daten im Ruhezustand mit vom Kunden verwalteten Schlüsseln
Azure-Dienste, die vom Kunden verwaltete Schlüssel verwenden, führen eine kleine Anzahl von Get Key-, Wrap- und Unwrap-Vorgängen aus, und speichern die Ergebnisse dann zwischen, während die Zugriffsberechtigungen regelmäßig überprüft werden. Dies bedeutet, dass nur wenige Anrufe pro Stunde getätigt werden. Aufgrund dieses Verhaltens ist es sehr unwahrscheinlich, dass Sie die in diesem Dokument beschriebenen Durchsatzgrenzwerte erreichen, wenn Sie verwaltetes HSM für ruhende Verschlüsselung verwenden.
Benutzerdefinierte Anwendungen
Für Kunden, die verwaltetes HSM für benutzerdefinierte Anwendungen verwenden, können die Benchmarknummern als ungefähre Erwartungen für die Architektur der benutzerdefinierten Anwendung verwendet werden. Ein verwaltetes HSM drosselt keine Vorgänge zur kryptografischen Operation und nutzt die HSM-Hardware und -CPUs vollständig aus. Die Zahlen sollten als Anleitung für die Kapazitätsplanung verwendet werden, es wird jedoch empfohlen, Auslastungstests und Leistungsnummern zu validieren. Die Zahlen sind eine inhärente Grenze des HSM und seiner aktuellen Firmware.
Planen der Transaktionskapazität für kryptografische Vorgänge
Jede verwaltete HSM-Instanz umfasst drei HSM-Partitionen mit Lastenausgleich. Bei den Durchsatzgrenzwerten handelt es sich um eine Funktion der zugrunde liegenden Hardwarekapazität, die der jeweiligen Partition zugeordnet ist. Die Tabellen zeigen den intern gemessenen ungefähren maximalen Durchsatz mit mindestens einer verfügbaren Partition an. Der tatsächliche Durchsatz kann bis zu drei Mal höher sein, wenn alle drei Partitionen verfügbar sind. Partitionen werden gelegentlich abgebaut, um fehlerhafte Hardware zu beheben, beim Patchen von Servern und bei anderen Aktualisierungen des Dienstcodes. Für die Kapazitätsplanung ist es sicher, davon auszugehen, dass 2 Partitionen verfügbar sind. Wenn Sie eine garantierte Anzahl von Vorgängen pro Sekunde benötigen, sollten Sie die Kapazitätsplanung mit nur einer verfügbaren Partition im Fokus erstellen.
Zur Skalierung der Verschlüsselung großer Datenmengen empfehlen wir die Verwendung einer Schlüsselhierarchie, in der nur der Schlüsselverschlüsselungsschlüssel in verwaltetem HSM gespeichert ist und zum Umschließen von Schlüsseln auf niedrigerer Ebene verwendet wird. Weitere Informationen finden Sie unter Azure Data Encryption-at-Rest: Umschlagverschlüsselung mit einer Schlüsselhierarchie
Die Benchmarknummern wurden anhand von internen Leistungstests einer Kernoperation nach der anderen auf unserer aktuellen Hardware mit der aktuellen Firmware berechnet. Jeder Schlüsselvorgang wurde für einen MHSM-Pool mit einer einzigen Partition ausgeführt, wobei für jede Anforderung derselbe Schlüssel verwendet wird. Die angezeigten Zahlen sind die durchschnittliche Anzahl von Vorgängen pro Sekunde, die länger als 5 Minuten dauern.
Bei diesen Zahlen wird davon ausgegangen, dass ein einzelner Schlüssel verwendet wird, um den maximalen Durchsatz zu erzielen. Wenn beispielsweise ein einzelner RSA-2048-Schlüssel verwendet wird, beträgt der maximale Durchsatz 900 Signiervorgänge. Wenn Sie jeweils 900 verschiedene Schlüssel mit einer Transaktion pro Sekunde verwenden, können sie nicht den gleichen Durchsatz erzielen.
Diese Nummern werden basierend auf unseren internen Leistungstests nach verwalteten HSM-Firmwareupdates aktualisiert.
Hinweis
Zur Genauigkeit empfehlen wir, Ihre Anwendungsworkloads zu testen, um Leistungsnummern zu überprüfen und Skalierungsanforderungen zu ermitteln. Diese Zahlen wurden unter optimalen Bedingungen abgerufen und stellen eine optimale Fallleistung dar.
RSA-Schlüsselvorgänge (Anzahl von Vorgängen pro Sekunde und HSM-Instanz)
| Vorgang | 2048-Bit | 3.072 Bit | 4.096 Bit |
|---|---|---|---|
| Schlüssel erstellen | 1 | 1 | 1 |
| Schlüssel löschen (vorläufiges Löschen) | 10 | 10 | 10 |
| Schlüssel bereinigen | 10 | 10 | 10 |
| Sicherungsschlüssel | 10 | 10 | 10 |
| Schlüssel wiederherstellen | 10 | 10 | 10 |
| Schlüsselinformationen abrufen | 1.100 | 1.100 | 1.100 |
| Verschlüsseln | 2800 | 2700 | 2300 |
| Entschlüsseln | 1.100 | 360 | 160 |
| Umschließen | 2200 | 1.900 | 1.900 |
| Auspacken | 1.100 | 360 | 160 |
| Signieren | 900 | 340 | 150 |
| Überprüfen | 3400 | 3400 | 3700 |
EC-Schlüsselvorgänge (Anzahl von Vorgängen pro Sekunde und HSM-Instanz)
Die folgende Tabelle gibt Aufschluss über die Anzahl von Vorgängen pro Sekunde für die einzelnen Kurventypen:
| Vorgang | P-256 | P-256K | P-384 | P-521 |
|---|---|---|---|---|
| Schlüssel erstellen | 1 | 1 | 1 | 1 |
| Schlüssel löschen (vorläufiges Löschen) | 10 | 10 | 10 | 10 |
| Schlüssel bereinigen | 10 | 10 | 10 | 10 |
| Sicherungsschlüssel | 10 | 10 | 10 | 10 |
| Schlüssel wiederherstellen | 10 | 10 | 10 | 10 |
| Schlüsselinformationen abrufen | 1.100 | 1.100 | 1.100 | 1.100 |
| Signieren | 330 | 330 | 160 | 200 |
| Überprüfen | 130 | 130 | 82 | 28 |
AES-Schlüsselvorgänge (Anzahl von Vorgängen pro Sekunde und HSM-Instanz)
Durchsatzgrenzwerte für Umschließen/Aufheben der Umschließung gelten für den AES-KW-Algorithmus.
| Vorgang | 128-Bit | 192-Bit | 256 Bit |
|---|---|---|---|
| Schlüssel erstellen | 1 | 1 | 1 |
| Schlüssel löschen (vorläufiges Löschen) | 10 | 10 | 10 |
| Schlüssel bereinigen | 10 | 10 | 10 |
| Sicherungsschlüssel | 10 | 10 | 10 |
| Schlüssel wiederherstellen | 10 | 10 | 10 |
| Schlüsselinformationen abrufen | 1.100 | 1.100 | 1.100 |
| Umschließen | 2100 | 2100 | 2100 |
| Auspacken | 1800 | 1.900 | 2200 |
Transaktionsgrenzwerte für administrative Vorgänge (Anzahl der gleichzeitigen Vorgänge pro HSM-Instanz)
| Vorgang | Anzahl der gleichzeitigen Vorgänge pro HSM-Instanz |
|---|---|
| Vollständige HSM-Sicherung/-Wiederherstellung (nur ein gleichzeitiger Sicherungs- oder Wiederherstellungsvorgang pro HSM-Instanz wird unterstützt) |
1 |
Informationen zu Azure Managed HSM-Dienstgrenzwerten finden Sie unter "Verwaltete HSM-Dienstgrenzwerte".