Von Bedeutung
Azure Key Vault Managed HSM と Azure Key Vault Premium の両方について、HSM フリートを FIPS 140-3 レベル 3 の検証済みファームウェアに更新しました。 セキュリティとコンプライアンスの強化については、Managed HSM ファームウェアの更新に関するページを参照してください。
Azure Key Vault Managed HSM (ハードウェア セキュリティ モジュール) は、 FIPS 140-3 レベル 3 で検証された HSM を使用して、クラウド アプリケーションの暗号化キーを保護できるようにする、フル マネージドの高可用性シングルテナントの標準準拠クラウド サービスです。 これは、Azure のいくつかの主要な管理ソリューションの 1 つです。
価格については、 Azure Key Vault の価格ページの「Managed HSM プール」セクションを参照してください。 サポートされているキーの種類については、「 キーについて」を参照してください。
"Managed HSM インスタンス" という用語は、"Managed HSM プール" と同義です。 混乱を避けるために、これらの記事全体で "Managed HSM インスタンス" を使用します。
注
ゼロ トラストは、"明示的に検証する"、"最小限の特権アクセスを使用する"、"侵害を想定する" の 3 つの原則で構成されるセキュリティ戦略です。 キー管理を含むデータ保護では、"最小限の特権アクセスを使用する" 原則がサポートされています。 詳細については、「ゼロ トラストとは」を参照してください。
Managed HSM を使用する理由
フルマネージドかつ高可用性のシングルテナント型HSMサービス
- フル マネージド: サービスは、HSM のプロビジョニング、構成、修正プログラムの適用、およびメンテナンスを処理します。
- 高可用性: 各 HSM クラスターは、複数の HSM パーティションで構成されます。 ハードウェアに障害が発生した場合、HSM クラスターのメンバー パーティションは自動的に正常なノードに移行されます。 詳細については、「Managed HSM サービス レベル アグリーメント」を参照してください。
- シングルテナント: 各 Managed HSM インスタンスは、1 人の顧客専用であり、複数の HSM パーティションのクラスターで構成されます。 各 HSM クラスターは、各顧客の HSM クラスターを暗号化して分離する、個別の顧客固有のセキュリティ ドメインを使用します。
アクセス制御、強化されたデータ保護とコンプライアンス
- 一元化されたキー管理: 組織全体の重要で価値の高いキーを 1 か所で管理します。 キーごとのアクセス許可を細かく設定し、"最小限の特権アクセス" 原則で各キーへのアクセスを制御します。
- 分離アクセス制御: Managed HSM の "ローカル RBAC" アクセス制御モデルを使用すると、指定された HSM クラスター管理者は、管理グループ、サブスクリプション、またはリソース グループ管理者でもオーバーライドできない HSM を完全に制御できます。
- プライベート エンドポイント: プライベート エンドポイントを使用して、仮想ネットワークで実行されているアプリケーションから Managed HSM に安全かつプライベートに接続します。
- FIPS 140-3 レベル 3 の検証済み HSM: FIPS (Federal Information Protection Standard) 140-3 Level 3 検証済み HSM を使用してデータを保護し、コンプライアンス要件を満たします。 マネージド HSM では、Marvell LiquidSecurity HSM アダプターが使用されます。
- 監視と監査: Azure Monitor と完全に統合されています。 Azure Monitor を使用して、すべてのアクティビティの完全なログを取得します。 分析とアラートには Azure Log Analytics を使用します。
- データ所在地: Managed HSM では、お客様が HSM インスタンスをデプロイするリージョンの外部に顧客データが格納または処理されることはありません。
Azure および Microsoft PaaS/SaaS サービスとの統合
- BYOK キーを生成 (または BYOK を使用してインポート) し、それらを使用して、Azure Storage、Azure SQL、AzureInformation Protection、Microsoft 365 用カスタマー キーなどの Azure サービスで保存データを暗号化します。 Managed HSM で動作する Azure サービスの詳細な一覧については、「 データ暗号化モデル」を参照してください。
Key Vault と同じ API インターフェイスと管理インターフェイスを使用する
- コンテナー (マルチテナント) を使用する既存のアプリケーションを、マネージド HSM を使用するように簡単に移行できます。
- 使用中のキー管理ソリューション (マルチテナント コンテナーまたはシングルテナントマネージド HSM) に関係なく、すべてのアプリケーションで同じアプリケーション開発とデプロイ パターンを使用します。
オンプレミスの HSM からキーをインポートする
- オンプレミスの HSM で HSM で保護されたキーを生成し、マネージド HSM に安全にインポートします。
次のステップ
- Azure でのキー管理
- 技術的な詳細については、「Managed HSM で主権、可用性、パフォーマンス、スケーラビリティをトレードオフなしで実装する方法」を参照してください。
- 「クイック スタート: Azure CLI を使用してマネージド HSM をプロビジョニングしてアクティブ化し、マネージド HSM を作成してアクティブ化する」を参照してください
- Azure Managed HSM のセキュリティ ベースライン
- Azure Key Vault Managed HSM を使用したベスト プラクティスを参照する
- マネージド HSM の状態
- マネージド HSM サービス レベル契約
- マネージド HSM リージョンの可用性
- ゼロ トラストとは