Azure 統合 HSM の概要

Azure 統合 HSM は、仮想マシンでの暗号化操作のセキュリティとパフォーマンスを強化するために設計されたハードウェア セキュリティ モジュール (HSM) キャッシュおよび暗号化オフロードです。 暗号化に大きく依存し、パフォーマンスを集中的に要するワークロードをお持ちのお客様向けに、Azure統合 HSM は、高速で安全な使用のために暗号化キーを格納するための安全なハードウェアベースの方法を提供します。

新しい Azure サーバー ハードウェア AMD D シリーズ v7 および AMD E シリーズ v7 以降、Microsoft設計された HSM チップは、連邦情報処理標準 (FIPS) 140-3 レベル 3 標準を満たすサーバーに直接埋め込まれています。 これらの改ざんに強いチップは、暗号化キーをセキュリティで保護されたハードウェア境界内に保持し、待機時間や露出のリスクを排除します。 統合 HSM は、Azure Key VaultやAzure Storage暗号化などのサポートされているサービスに対して既定で透過的に動作し、ハードウェアによって強制される信頼を提供します。構成を追加する必要はありません。 この統合により、暗号化操作は、クラウド サービスのパフォーマンスとスケーラビリティを維持しながら、ハードウェア レベルのセキュリティ分離の恩恵を受けることができます。

Azure統合 HSM の利点

• 待機時間の短縮
  • 仮想マシン (VM) と同じノードで暗号化操作をローカルで実行することで、Azure Key Vaultまたは Managed HSM へのネットワーク ラウンドトリップを削減する
• キーは引き続き保護されます
  • Azure統合 HSM に格納されているキーはクリア テキストで公開されず、FIPS 140-3 レベル 3 HSM 境界内に残ります
• メモリ保護
  • メモリ攻撃やクラッシュダンプ攻撃から守る
• 組み込みのインフラストラクチャ
  • Azure統合 HSM は、Azure インフラストラクチャの一部として、サポートされている各ノードにアタッチされます
• 追加料金なし
  • 追加料金なしで利用可能

サポートされている操作

Azure統合 HSM では、次の暗号化操作がサポートされています。

• AES - 暗号化と復号化 (BCRYPT_AES_ALGORITHM)
  • AES-CBC (BCRYPT_CHAIN_MODE_CBC)
    • 128 ビット
    • 192 ビット
    • 256 ビット
  • AES-GCM (BCRYPT_CHAIN_MODE_GCM)
    • 256 ビット
  • AES-XTS (BCRYPT_XTS_AES_ALGORITHM)
    • 512 ビット
• RSA (BCRYPT_RSA_ALGORITHM)
  • 復号化 + 署名
    • RSA 2048 (2k)
    • RSA 3072 (3k)
    • RSA 4096 (4k)
  • ラップ解除
    • RSA 2048 (2k)
• ECC
  • ECDSA - 署名 (BCRYPT_ECDSA_ALGORITHM)
    • ECC P256 (BCRYPT_ECDSA_P256_ALGORITHM)
    • ECC P384 (BCRYPT_ECDSA_P384_ALGORITHM)
    • ECC P521 (BCRYPT_ECDSA_P521_ALGORITHM)
  • ECDH - 秘密交換 (BCRYPT_ECDH_ALGORITHM)
    • ECC P256 (BCRYPT_ECDH_P256_ALGORITHM)
    • ECC P384 (BCRYPT_ECDH_P384_ALGORITHM)
    • ECC P521 (BCRYPT_ECDH_P521_ALGORITHM)
• キーの派生
  • HKDF ("HMAC ベースのキー派生関数") (BCRYPT_HKDF_ALGORITHM)
    • IETF RFC 5869 で定義され、BCRYPT_HKDF_ALGORITHM文字列によって NCrypt で参照される

可用性と料金

Azure統合 HSM は、AMD v7 でサポートされているすべてのリージョンで、AMD v7 の一般提供プラットフォームで使用できるようになりました。 これは、8 仮想コア以上の信頼できる起動 VM では、汎用 Dasv7 シリーズ、 Dadsv7 シリーズ、 Easv7 シリーズ、 および Eadsv7 シリーズ でサポートされています。 Azure統合 HSM の一般提供は、Windows サポートのみ向けであり、Linux のサポートは近日公開予定です。 この機能は追加料金なしで提供されます。

GitHub リポジトリには、Azure 統合 HSM の使用方法の詳細に関するサンプルと手順が記載されています。

制限事項

• Windowsゲストのみをサポートします
  • WS2025 または WS2022 Windowsゲスト イメージでは、AziHSM をサポートできます。 デバイスとの接続に必要なゲスト ドライバーとキー サービス プロバイダーのインストールの詳細については、GitHub ページを参照してください。
• 顧客のオプトインが必要です。すべての SKU に対して既定では有効になっていません。
  • オプトインの方法の詳細については、ドキュメントを デプロイする方法を参照してください。
• 選択した VM SKU でのみサポートされます
  • Dasv7 シリーズ、 Dadsv7 シリーズ、 Easv7 シリーズ、 および Eadsv7 シリーズ
• VM の最小サイズ要件
  • Azure Integrated HSM は、サイズが 8vCores 以上のみサポートされています。
• 信頼された起動のセキュリティタイプのみがサポートされています
  • この機能は、信頼できる起動セキュリティの種類でのみ使用できます。 Standard と Confidential はサポートされていません。
• VM の割り当て解除と再起動のシナリオ全体でローカルにキャッシュされたキーの永続化なし
  • Azure統合 HSM は、エフェメラル暗号化操作をサポートするように設計されたローカル キー キャッシュです。 キーは、仮想マシンの再起動後も保持されません。

次は何ですか

• 統合 HSM Azure有効にしてデプロイする方法