Azure 專用 HSM 部署體系結(jié)構(gòu)

Azure專用HSM提供Azure中的加密密鑰存儲(chǔ)。它符合嚴(yán)格的安全要求。如果客戶具備以下條件，將受益于Azure專用HSM：

·必須符合FIPS 140-2級(jí)別3認(rèn)證

·要求其具有對(duì)HSM的獨(dú)占訪問(wèn)權(quán)限

·應(yīng)具有對(duì)其設(shè)備的完全控制權(quán)

HSM分布于Microsoft數(shù)據(jù)中心，并可以作為高度可用解決方案的基礎(chǔ)輕松地預(yù)配為設(shè)備對(duì)。它們還可以跨區(qū)域部署，用于災(zāi)難恢復(fù)解決方案。目前可以使用"按區(qū)域的產(chǎn)品"頁(yè)來(lái)檢查具有專用HSM的區(qū)域。

每個(gè)區(qū)域都有一個(gè)在兩個(gè)獨(dú)立的數(shù)據(jù)中心部署的HSM機(jī)架，或者至少有兩個(gè)獨(dú)立的可用性區(qū)域。例如，南東亞有三個(gè)可用性區(qū)域，美國(guó)東部2有兩個(gè)。歐洲、亞洲和美國(guó)共有8個(gè)區(qū)域，提供專用HSM服務(wù)，在新區(qū)域中添加新的HSM機(jī)架時(shí)，這會(huì)發(fā)生變化。有關(guān)Azure區(qū)域的詳細(xì)信息，請(qǐng)參閱官方Azure區(qū)域信息。任意基于專用HSM的解決方案共享的一些設(shè)計(jì)因素包括位置/延遲、高可用性，以及對(duì)其他分布式應(yīng)用程序的支持。

設(shè)備位置

HSM設(shè)備最佳位置是最接近執(zhí)行加密操作的應(yīng)用程序的位置。區(qū)域內(nèi)延遲預(yù)計(jì)為個(gè)位毫秒數(shù)?？鐓^(qū)域延遲可能是這的5到10倍。

高可用性

若要實(shí)現(xiàn)高可用性，客戶必須在使用Thanles software作為高可用性對(duì)配置的區(qū)域中使用兩個(gè)HSM設(shè)備。這種部署可確保在單個(gè)設(shè)備遇到阻礙其處理密鑰操作的問(wèn)題時(shí)密鑰的可用性。執(zhí)行中斷/修復(fù)維護(hù)（如電源更換）時(shí)，它還可以極大地降低風(fēng)險(xiǎn)。對(duì)設(shè)計(jì)來(lái)說(shuō)，說(shuō)明各種區(qū)域級(jí)故障的原因非常重要。遭遇自然災(zāi)害（如颶風(fēng)、洪水或地震）時(shí)，可能會(huì)發(fā)生區(qū)域級(jí)故障。應(yīng)在另一個(gè)區(qū)域預(yù)配HSM設(shè)備以減輕此類事件的影響。部署在另一個(gè)區(qū)域中的設(shè)備可以通過(guò)Thales軟件配置成對(duì)配對(duì)。這意味著，跨兩個(gè)區(qū)域的高可用性和災(zāi)難復(fù)原解決方案的最小部署為四個(gè)HSM設(shè)備。本地冗余和跨區(qū)域冗余可作為基線以添加其他更多的HSM設(shè)備部署來(lái)支持延遲和容量，或者滿足其他特定于應(yīng)用程序的要求。

分布式應(yīng)用程序支持

通常部署專用HSM設(shè)備來(lái)支持需要執(zhí)行密鑰存儲(chǔ)和密鑰檢索操作的應(yīng)用程序。專用HSM設(shè)備具有10個(gè)分區(qū)用于獨(dú)立的應(yīng)用程序支持。設(shè)備位置應(yīng)取決于所有需要使用該服務(wù)的應(yīng)用程序的整體情況。