Bring Your Own Key in Microsoft Azure

Un Entrust Warrant (certificato digitale) identifica ogni nShield HSM

Utilizza questo valore hash e l'utilità fornita da Microsoft per convalidare la catena di warrant e il certificato di generazione della chiave e attestare che tutte le informazioni di firma sono state create all'interno di un HSM nShield certificato.

nCore Key Hash di nShield Warrant Signing Key (v0):

59178a47 de508c3f 291277ee 184f46c4 f1d9c639

• Guida

Controlla le chiavi critiche che proteggono i tuoi dati sensibili nel cloud

Come servizio cloud, puoi eseguire Azure Key Vault su richiesta senza un'infrastruttura IT incrementale e assicurarti che i tuoi dati siano protetti per l’intero confine dell'organizzazione. Azure Key Vault utilizza la crittografia per fornire accesso controllato e protezione continua ai tuoi dati. La sicurezza dipende dal livello di protezione fornito alla chiave crittografica critica. L'esposizione della chiave crittografica può compromettere i tuoi dati sensibili. Per garantire la sicurezza, puoi scegliere di proteggere la tua chiave all'interno di un solido confine utilizzando gli HSM nShield Entrust. Gli HSM nShield generano, proteggono e gestiscono la chiave indipendentemente dall'ambiente software.

Sicurezza avanzata: nShield BYOK per Azure Key Vault

Entrust nShield vanta una storia senza precedenti di 20 anni nella fornitura di soluzioni per la protezione dei dati per aziende, governi e fornitori di tecnologia che prestano attenzione alla sicurezza, comprese soluzioni per la gestione delle chiavi critiche per alcune delle organizzazioni di sicurezza più esigenti al mondo. In qualità di esperti del settore, i prodotti e i servizi Entrust forniscono un'alta garanzia in modo che i clienti possano fare un uso efficace della protezione crittografica.

Entrust facilita il modo in cui mantieni il controllo delle tue chiavi. Sebbene le chiavi possano essere generate nel cloud, per una maggiore sicurezza quando si usa Azure Key Vault, le chiavi vengono generate nel tuo HSM nShield (fisicamente in locale o come servizio). Le chiavi generate in questo modo vengono condivise in modo sicuro con altri HSM nShield nel cloud di Azure, ma non lasciano mai il confine di sicurezza dell'HSM nShield. Microsoft ha utilizzato gli HSM nShield convalidati FIPS 140-2 Livello 2 di Entrust per proteggere le chiavi sin dall'introduzione di Azure Key Vault.

Cosa sono gli HSM?

Gli HSM sono dispositivi crittografici ad alte prestazioni progettati per generare, salvaguardare e gestire il materiale di chiave sensibile. Gli HSM nShield Entrust mantengono le tue chiavi sicure e utilizzabili solo all'interno del confine protetto. Ciò consente di mantenere la custodia delle chiavi e la visibilità sul loro utilizzo.

Perché usare gli HSM nShield Entrust con Azure Key Vault?

Gli HSM nShield Entrust assicurano che le tue chiavi siano sempre sotto il tuo controllo e che Microsoft non possa mai visualizzarle. Questa funzionalità mitiga la percezione che i dati sensibili mantenuti nel cloud siano vulnerabili. 

Azure Key Vault offre più livelli di controllo. Le chiavi di Azure Key Vault diventano le tue chiavi tenant e puoi gestire il livello di controllo desiderato rispetto a costi e impegno.

• Di normale, Azure Key Vault genera e gestisce il ciclo di vita delle chiavi del tenant
• BYOK ti consente di generare chiavi tenant sul tuo HSM nShield Entrust fisico o come servizio
• I registri di utilizzo quasi in tempo reale migliorano la sicurezza, consentendoti di vedere esattamente come e quando vengono utilizzate le tue chiavi

Come funziona

Gli HSM nShield Entrust creano una gabbia chiusa a chiave che protegge le tue chiavi tenant. Puoi memorizzare nella cache le chiavi del tenant in modo sicuro dall’HSM nShield Entrust locale a un HSM nShield Entrust nel data center di Microsoft Azure, senza uscire dal confine di sicurezza conforme a FIPS creato dagli HSM. Le chiavi del tenant sono protette mentre si trovano nei data center di Microsoft, tenute al sicuro all'interno di un confine crittografico accuratamente progettato che impiega solidi meccanismi di controllo degli accessi per consentire di imporre la separazione dei compiti e garantire che le chiavi vengano utilizzate solo per lo scopo autorizzato.

Whitepaper sul mondo della sicurezza

BYOK

BYOK per Azure Key Vault consente di ottenere le proprietà di sicurezza di un ambiente locale. Ti permette di generare le chiavi del tenant sul tuo HSM nShield locale o basato su cloud in base alle tue politiche IT e di trasferire le chiavi del tenant in modo sicuro sull’HSM nShield Entrust sul cloud di Azure ospitato da Microsoft.

Convalida dell’HSM ospitato

Per garantire che l'HSM ospitato sia un HSM nShield Entrust autorizzato, Azure Key Vault con BYOK fornisce un meccanismo per convalidarne il certificato. La funzionalità, disponibile SOLO con Entrust BYOK, consente di verificare che la chiave di crittografia della chiave utilizzata per proteggere il caricamento della chiave del tenant sia stata effettivamente generata in un HSM nShield Entrust.

Per saperne di più

Proteggi e gestisci le tue chiavi di Azure Information Protection (AIP) con hardware ad alta garanzia

Sebbene la maggior parte dei contenuti possa essere fornita da chiavi archiviate in modo sicuro in Azure Key Vault, alcuni contenuti sensibili non possono mai essere condivisi o trasmessi al di fuori del proprio perimetro di sicurezza. È necessario che la protezione di questi contenuti sensibili sia esclusivamente e fisicamente in sede, con accesso e condivisione molto limitati. Per gestire i tuoi dati più sensibili all'interno del tuo perimetro di sicurezza, AIP offre la possibilità di tenere la tua chiave (Hold your own key, HYOK) che viene abilitata da un componente fisico locale, con la gestione delle chiavi fornita tramite gli HSM nShield.

Cosa sono gli HSM?

Gli HSM sono dispositivi crittografici ad alte prestazioni progettati per generare, salvaguardare e gestire il materiale di chiave sensibile.Gli HSM nShield mantengono le chiavi protette in modo sicuro e ne permettono l’utilizzo solo all'interno del confine protetto. Ciò consente di mantenere la custodia delle chiavi e la visibilità sul loro utilizzo.

Perché utilizzare gli HSM nShield con AIP?

Gli HSM nShield forniscono una protezione avanzata per le chiavi utilizzate da AIP per proteggere i dati critici. nShield genera, protegge e gestisce le chiavi in modo completamente indipendente dall'ambiente software.

Come funziona

Gli HSM nShield creano una protezione serrata che protegge le tue chiavi. Le chiavi sono protette all'interno di un confine crittografico accuratamente progettato che impiega solidi meccanismi di controllo degli accessi, i quali consentono di imporre la separazione dei compiti così da garantire che le chiavi vengano utilizzate solo per lo scopo autorizzato. nShield utilizza funzionalità di gestione delle chiavi, archiviazione e ridondanza per garantire che le tue chiavi siano sempre accessibili quando necessario.

Whitepaper sul mondo della sicurezza

HYOK

Gli HSM nShield forniscono una soluzione hardware per proteggere le chiavi critiche. nShield protegge e gestisce le chiavi in modo completamente indipendente dall'ambiente software, consentendoti di conservare la tua chiave quando l'accesso ai tuoi contenuti più sensibili deve avvenire solo fisicamente in sede.

Sintesi della soluzione HYOK per la gestione delle chiavi ad alta garanzia

Entrust è l'unico fornitore di HSM che supporta entrambe le versioni di BYOK offerte da Microsoft:

• nShield BYOK
• Microsoft BYOK

nShield BYOK offre una forte attestazione per l'importazione delle chiavi e la convalida di degli HSM nShield. Microsoft BYOK è supportato dallo nshield Cloud Integration Option Pack.

Cosa acquistare per generare e proteggere le chiavi di Microsoft Azure Key Vault utilizzando nShield BYOK

nShield Edge

Se hai bisogno di generare chiavi fisiche in locale a basso volume, nShield Edge offre una comoda sicurezza hardware collegabile tramite USB. L'integrazione consigliata utilizza due HSM nShield Edge per una ridondanza completa.

Per saperne di più | Scheda tecnica di nShield Edge

nShield Solo+ e Solo XC

Per la generazione di chiavi fisiche in locale, le schede PCIe integrata nShield Solo+ e Solo XC permettono di generare e gestire chiavi basate su hardware ad alto volume.

Per saperne di più | Scheda tecnica di nShield Solo

nShield Connect+ e Connect XC

Se hai bisogno di prestazioni maggiori per generare chiavi fisiche in locale, i dispositivi nShield connect+ e Connect XC collegati in rete permettono di generare e gestire chiavi basate su hardware ad alto volume.

Per saperne di più | Scheda tecnica di nShield Connect

Entrust nShield as a Service

Se hai bisogno di prestazioni maggiori per generare chiavi in locale, puoi anche sottoscrivere un abbonamento al tuo nShield Connect HSM utilizzando nShield as a Service. Entrust nShield as a Service permette la generazione e la gestione di chiavi basate su hardware ad alto volume.

Per saperne di più | Scheda tecnica di nShield as a Service

Cosa acquistare per generare e proteggere le chiavi di Microsoft Azure Key Vault utilizzando Microsoft BYOK

Per generare e proteggere le tue chiavi utilizzando Microsoft BYOK, avrai bisogno di uno dei modelli HSM nShield sopra elencati e dello nShield Cloud Integration Option Pack.

Pacchetto di opzioni di integrazione Cloud Entrust

Questo pacchetto di opzioni consente agli utenti dei principali servizi cloud di generare chiavi nel proprio ambiente ed esportarle per l'utilizzo nel cloud, avendo la certezza che la loro chiave sia stata generata in modo sicuro utilizzando una forte fonte di entropia e che l'archiviazione a lungo termine della loro chiave è protetta da un HSM nShield certificato FIPS.

Assieme a questi prodotti, Entrust offre formazione, manutenzione e programmi di assistenza forniti da esperti per garantire il successo della tua integrazione, ora e in futuro, man mano che le tue esigenze cambiano.

Pacchetto di servizi di distribuzione BYOK

Se hai bisogno di generare chiavi in locale a basso volume per Azure e sei un neofita della tecnologia HSM, questo servizio inserito in un pacchetto personalizzato include un HSM nShield Edge, le istruzioni e l’installazione. Un consulente Entrust ti insegnerà come creare e trasferire le tue chiavi e ti fornirà la documentazione dettagliata, oltre a una lista di controllo. L'integrazione consigliata con Azure usa due HSM nShield Edge per una ridondanza completa.

Scheda tecnica del pacchetto di servizi di distribuzione BYOK

Il personale esperto sarà lieto di assisterti nell'acquisto e darti consigli sulle opzioni di formazione e manutenzione che soddisfino le tue esigenze specifiche.

Contatta il rappresentante di vendita della tua zona

Risorse aggiuntive

• Microsoft e Entrust forniscono sicurezza e fiducia avanzate nel cloud
• Gestione delle chiavi hardware nel cloud di Azure
• Come generare e trasferire chiavi protette da HSM per Azure Key Vault