Microsoft, Azure Integrated HSM (Hardware Security Module) hizmetini AMD v7 Virtual Machine’ler için general availability (genel kullanım) olarak duyurdu. Bu duyuru, cloud ortamında cryptographic işlemlerin hem daha güvenli hem de daha performanslı yapılabilmesi adına önemli bir adım.
Azure Integrated HSM Nedir?
Azure Integrated HSM, virtual machine’lerde çalışan workload’lar için tasarlanmış bir hardware security module cache ve crypto offload çözümü. Kriptografiye yoğun şekilde bağımlı olan ve yüksek performans gerektiren iş yüklerinde, cryptographic key’lerin donanım destekli güvenli bir ortamda saklanmasını sağlıyor.
Bu özellik şu anda AMD D serisi ve E serisi v7 boyutlarından seçili olanlar için, Trusted Launch VM‘lerde kullanılabiliyor. Özellikle 8 vCore ve üzeri konfigürasyonlarda aktif.
FIPS 140-3 Level 3 Uyumluluğu
Azure Integrated HSM, FIPS 140-3 Level 3 güvenlik gereksinimlerini karşılayacak şekilde tasarlandı. Bu seviye, cryptographic module’ler için oldukça yüksek bir güvenlik standardı anlamına geliyor. Key’ler hiçbir zaman clear text olarak açığa çıkmıyor ve tüm işlemler validated hardware boundary içinde kalıyor.
Secure Key Release (SKR) Desteği
Bu release ile birlikte Secure Key Release (SKR) desteği de geliyor. Müşteriler, Azure Key Vault veya Managed HSM‘de sakladıkları key’leri, platform güvenilir olarak doğrulandıktan sonra Azure Integrated HSM’e güvenli şekilde release edebiliyorlar. Key material, FIPS 140-3 validated hardware boundary içinde korunuyor ve guest VM memory’ye hiçbir şekilde expose olmuyor.
Bu modelle birlikte her cryptographic operation için Azure Key Vault veya Managed HSM’e remote call yapmaya gerek kalmıyor. Key’ler güvenli şekilde release edildikten sonra doğrudan Azure Integrated HSM device üzerinde cache’leniyor.
Kimler İçin Uygun?
Düşük Latency Gerektiren Crypto-Yoğun Workload’lar
Financial services alanında signing ve encryption işlemleri, payment processing, trading sistemleri ve secure messaging platformları gibi sık cryptographic işlem yapan ve katı latency gereksinimleri olan sistemler bu hizmetten doğrudan faydalanabiliyor. Ayrıca yüksek frekanslı TLS termination ve certificate operation’ları için private key’leri doğrudan hardware üzerinde tutarak per-request network call’ları ortadan kaldırmak mümkün.
Bring-Your-Own-Key (BYOK) Senaryoları
Katı key-ownership gereksinimleri olan müşteriler, key’lerini Azure dışında oluşturup Azure Integrated HSM üzerinden attested public wrapping key alarak güvenli şekilde import edebiliyorlar. Key, device’ın FIPS 140-3 Level 3 validated hardware boundary’si içinde unwrap ediliyor ve sadece bu sınır içinde kullanılıyor.
Temel Avantajlar
- Azure Key Vault veya Managed HSM’e yapılan network round-trip’leri azaltarak düşük latency
- Key’ler clear text olarak açığa çıkmıyor, FIPS 140-3 Level 3 HSM boundary içinde kalıyor
- Memory dump ve crash-dump attack‘lerine karşı koruma
- Azure altyapısına entegre, desteklenen her node’a bir Azure Integrated HSM bağlı
- Ek maliyet yok
Desteklenen VM Serileri ve Bölgeler
Azure Integrated HSM, AMD v7 platformunun generally available olduğu tüm desteklenen region’larda kullanılabiliyor. Desteklenen VM serileri: Dasv7, Dalsv7, Dadsv7, Easv7 ve Eadsv7 (8 vCore ve üzeri, Trusted Launch VM’ler için). Şu an için yalnızca Windows desteği mevcut, Linux desteği yakında gelecek.
Daha fazla bilgi ve başlangıç rehberi için Azure Integrated HSM Overview sayfasını ve GitHub repository‘yi inceleyebilirsiniz.
