このエントリは2020/03/03現在の情報に基づくものであり、将来の機能追加などにより、記載内容との乖離が発生する可能性があります。
Azure Dedicated HSMとは
Azure Dedicated HSM は、Azure 内に暗号化キーの保管場所を提供する Azure サービスです。 Dedicated HSM は、最も厳格なセキュリティ要件に適合しています。 これは、FIPS 140-2 レベル 3 検証済みデバイスを必要としていて、HSM アプライアンスを完全かつ独占的に制御する必要のあるお客様にとって、理想的なソリューションです。
https://docs.microsoft.com/azure/dedicated-hsm/overview
Azure Dedicated HSM is an Azure service that provides cryptographic key storage in Azure. Dedicated HSM meets the most stringent security requirements. It’s the ideal solution for customers who require FIPS 140-2 Level 3-validated devices and complete and exclusive control of the HSM appliance.
Gemalto の SafeNet Luna Network HSM 7 (Model A790) アプライアンスを使用した Dedicated HSM サービスで、プロビジョニングしたHSMデバイスは、VNetに直接接続するため、P2SもしくはS2S VPNで、オンプレミスのアプリケーションや管理ツールからもアクセスできる。
Azure Key Vaultとの違い
Azure Dedicated HSMと似たものに、Azure Key Vaultがある。Dedicated HSMが文字通り専有できるクラウドHSMなのに対し、Key Vaultがマルチテナント(共有型)という違いがある。Key Vaultを使うべきか、Dedicated HSMを使うべきかの判断の一つのガイドが以下のURLにある。
Q: Azure Key Vault または Azure 専用 HSM のどちらを使用するかをどのように判断したらよいですか。 / How do I decide whether to use Azure Key Vault or Azure Dedicated HSM?
https://docs.microsoft.com/azure/dedicated-hsm/faq#q-how-do-i-decide-whether-to-use-azure-key-vault-or-azure-dedicated-hsm
利用可能なリージョン
利用可能リージョンは以下のURLから確認できるが、2020/03/03現在、以下のリージョンで利用できる(Government Cloudリージョンを除く)。
- East US
- East US 2
- South Central US
- West US
- West US 2
- Canada Central
- Canada East
- North Europe
- West Europe
- UK South
- UK West
- Japan East
- Japan West
- Southeast Asia
- East Asia
- Central India
- South India
- Australia East
- Australia Southeast
https://azure.microsoft.com/global-infrastructure/services/?products=azure-dedicated-hsm®ions=all
実際に使うには、利用リソースの登録が済んでいる必要がある。以下はAzure CLIでのリソース登録状況の確認コマンドの例で、ドキュメントにも記載がある。
専用 HSM のプロビジョニング / Provisioning a Dedicated HSM
https://docs.microsoft.com/azure/dedicated-hsm/tutorial-deploy-hsm-cli#provisioning-a-dedicated-hsm
# リソース登録状況の確認
az feature show \
--namespace Microsoft.Network \
--name AllowBaremetalServers
az feature show \
--namespace Microsoft.HardwareSecurityModules \
--name AzureDedicatedHSM
なお、Dedicated HSMは現時点ではAzure Portalからはインスタンスを作成できず、Azure CLIもしくはPowerShellでのみ可能。