Logico_jp

Azure Dedicated HSM

このエントリは2020/03/03現在の情報に基づくものであり、将来の機能追加などにより、記載内容との乖離が発生する可能性があります。

Azure Dedicated HSMとは

Azure Dedicated HSM は、Azure 内に暗号化キーの保管場所を提供する Azure サービスです。 Dedicated HSM は、最も厳格なセキュリティ要件に適合しています。 これは、FIPS 140-2 レベル 3 検証済みデバイスを必要としていて、HSM アプライアンスを完全かつ独占的に制御する必要のあるお客様にとって、理想的なソリューションです。

Azure Dedicated HSM is an Azure service that provides cryptographic key storage in Azure. Dedicated HSM meets the most stringent security requirements. It’s the ideal solution for customers who require FIPS 140-2 Level 3-validated devices and complete and exclusive control of the HSM appliance.

https://docs.microsoft.com/azure/dedicated-hsm/overview

Gemalto の SafeNet Luna Network HSM 7 (Model A790) アプライアンスを使用した Dedicated HSM サービスで、プロビジョニングしたHSMデバイスは、VNetに直接接続するため、P2SもしくはS2S VPNで、オンプレミスのアプリケーションや管理ツールからもアクセスできる。

Azure Key Vaultとの違い

Azure Dedicated HSMと似たものに、Azure Key Vaultがある。Dedicated HSMが文字通り専有できるクラウドHSMなのに対し、Key Vaultがマルチテナント(共有型)という違いがある。Key Vaultを使うべきか、Dedicated HSMを使うべきかの判断の一つのガイドが以下のURLにある。

Q: Azure Key Vault または Azure 専用 HSM のどちらを使用するかをどのように判断したらよいですか。 / How do I decide whether to use Azure Key Vault or Azure Dedicated HSM?
https://docs.microsoft.com/azure/dedicated-hsm/faq#q-how-do-i-decide-whether-to-use-azure-key-vault-or-azure-dedicated-hsm

利用可能なリージョン

利用可能リージョンは以下のURLから確認できるが、2020/03/03現在、以下のリージョンで利用できる(Government Cloudリージョンを除く)。

  • East US
  • East US 2
  • South Central US
  • West US
  • West US 2
  • Canada Central
  • Canada East
  • North Europe
  • West Europe
  • UK South
  • UK West
  • Japan East
  • Japan West
  • Southeast Asia
  • East Asia
  • Central India
  • South India
  • Australia East
  • Australia Southeast

https://azure.microsoft.com/global-infrastructure/services/?products=azure-dedicated-hsm&regions=all

実際に使うには、利用リソースの登録が済んでいる必要がある。以下はAzure CLIでのリソース登録状況の確認コマンドの例で、ドキュメントにも記載がある。

専用 HSM のプロビジョニング / Provisioning a Dedicated HSM
https://docs.microsoft.com/azure/dedicated-hsm/tutorial-deploy-hsm-cli#provisioning-a-dedicated-hsm

# リソース登録状況の確認
az feature show \
   --namespace Microsoft.Network \
   --name AllowBaremetalServers

az feature show \
   --namespace Microsoft.HardwareSecurityModules \
   --name AzureDedicatedHSM

なお、Dedicated HSMは現時点ではAzure Portalからはインスタンスを作成できず、Azure CLIもしくはPowerShellでのみ可能。

カテゴリー: AzureSecurityTechnologyタグ: コメントする

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

Gravatar
WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

キャンセル

%s と連携中