Microsoft Azure Cloud HSM は、業界標準に準拠した、高可用性の FIPS 140-3 レベル 3 で検証されたシングルテナント サービスです。 Azure Cloud HSM は、ハードウェア セキュリティ モジュール (HSM) に対する完全な管理権限を顧客に付与します。 暗号化キーを格納し、暗号化操作を実行するための、セキュリティで保護された顧客所有の HSM クラスターが提供されます。
Azure Cloud HSM では、PKCS#11、Secure Sockets Layer (SSL) またはトランスポート層セキュリティ (TLS) 処理のオフロード、証明機関 (CA) 秘密キー保護、透過的なデータ暗号化 (TDE) など、さまざまなアプリケーションがサポートされています。 また、ドキュメントとコードの署名もサポートしています。
Azure Cloud HSM を使用する理由
フル マネージド ソリューション
多くのお客様は HSM の管理制御を必要としますが、高可用性、修正プログラムの適用、メンテナンスのためのクラスター管理に伴うオーバーヘッドと補助的なコストは必要ありません。 Azure Cloud HSM のお客様は、仮想ネットワークからのプライベートな専用リンクを介して、HSM クラスター内の HSM インスタンスへの安全で直接的なエンド ツー エンドの暗号化アクセスを行うことができます。
顧客が Azure Cloud HSM クラスターをプロビジョニングした後、顧客は HSM への管理アクセスを維持します。 Azure Cloud HSM サービスは、高可用性、修正プログラムの適用、およびメンテナンスを処理します。
顧客所有で高可用性を備えた、シングルテナントのサービスとしての HSM
Azure Cloud HSM は、複数の HSM を HSM クラスターにグループ化することで、高可用性と冗長性を提供します。 サービスは、各 HSM インスタンス間でキーとポリシーを自動的に同期します。
各 HSM クラスターは、3 つの HSM パーティションで構成されます。 HSM リソースが使用できなくなった場合、HSM クラスターのメンバー パーティションは自動的かつ安全に正常なノードに移行されます。
Azure Cloud HSM クラスターでは、暗号化操作の負荷分散がサポートされています。 定期的な HSM バックアップは、セキュリティで保護されたシンプルなデータ復旧を保証するのに役立ちます。
シングルテナント HSM クラスター
各 Azure Cloud HSM インスタンスは、1 人の顧客専用です。 各 HSM クラスターは、暗号化によって分離する個別の顧客固有のセキュリティ ドメインを使用します。
FIPS 140-3 レベル 3 コンプライアンス
多くの組織には、暗号化キーを FIPS 140-3 レベル 3 の検証済み HSM に格納する必要があることを規定する厳しい業界規制があります。 Azure Cloud HSM は、さまざまな業界セグメント (金融サービス業界、政府機関など) のお客様がこれらの FIPS 要件を満たすのに役立ちます。
Azure Cloud HSM の適合性
Azure Cloud HSM では、次の機能がサポートされます。
- PKCS#11、OpenSSL、Java Cryptography Architecture (JCA)、Java Cryptography Extension (JCE)、Cryptography API: Next Generation (CNG)、キー ストレージ プロバイダー (KSP)。
- Active Directory 証明書サービス (AD CS)。
- SSL/TLS オフロード (Apache または NGINX)。
- TDE (Microsoft SQL Server または Oracle)。
- 証明書ストレージ
- ドキュメント、ファイル、およびコード署名。
Azure Cloud HSM は 次のものではありません。
- ベアメタル HSM アプライアンス。
- シークレット ストア。
- 証明書ライフサイクル管理の提供。
最適
Azure Cloud HSM は、次の種類のシナリオに最適です。
- オンプレミスから Azure Virtual Machines にアプリケーションを移行する
- Azure Dedicated HSM または AWS Cloud HSM からのアプリケーションの移行
- PKCS#11 を必要とするアプリケーションのサポート
- Azure Virtual Machines での Apache または NGINX SSL オフロード、SQL Server または Oracle TDE、AD CS などの圧縮ラップされたソフトウェアの実行
適していない
Azure Cloud HSM は、他のサービスとしてのプラットフォーム (PaaS) またはサービスとしてのソフトウェア (SaaS) Azure サービスと統合されません。 Azure Cloud HSM は、サービスとしてのインフラストラクチャ (IaaS) のみです。
Azure Cloud HSM は、カスタマー マネージド キーを使用した暗号化のサポートを必要とする Microsoft クラウド サービスには適していません。 これらのサービスには、Azure Information Protection、Azure Disk Encryption、Azure Data Lake Storage、Azure Storage、Microsoft Purview カスタマー キーが含まれます。 このようなシナリオでは、お客様は Azure Key Vault Managed HSM を使用する必要があります。
関連コンテンツ
これらのリソースは、既存の仮想ネットワーク環境への HSM のプロビジョニングと構成を容易にするために使用できます。