Zuverlässigkeit in von Azure Key Vault verwaltetes HSM

Azure Key Vault Verwaltetes HSM ist ein vollständig verwalteter, hochverwalteter, hochverwendiger, standardkonformer Clouddienst, mit dem Sie kryptografische Schlüssel für Ihre Cloudanwendungen mithilfe von Hardwaresicherheitsmodulen (HSMs) schützen können, die auf FIPS 140-3 Level 3 überprüft werden. Verwaltetes HSM bietet eine Reihe integrierter Zuverlässigkeitsfeatures, um sicherzustellen, dass Ihre Schlüssel verfügbar bleiben.

Wenn Sie Azure verwenden, ist Zuverlässigkeit eine gemeinsame Verantwortung. Microsoft bietet eine Reihe von Funktionen zur Unterstützung von Resilienz und Wiederherstellung. Sie sind dafür verantwortlich, zu verstehen, wie diese Funktionen in allen von Ihnen verwendeten Diensten funktionieren, und die Funktionen auswählen, die Sie benötigen, um Ihre Geschäftsziele und Uptime-Ziele zu erfüllen.

In diesem Artikel wird beschrieben, wie verwaltetes HSM widerstandsfähig für verschiedene potenzielle Ausfälle und Probleme ist, einschließlich vorübergehender Fehler, Partitionsfehler und Regionsausfälle. Darüber hinaus wird beschrieben, wie Sicherungen und die Sicherheitsdomäne für die Notfallwiederherstellung verwendet werden, wie Wiederherstellungsfeatures vor versehentlicher Löschung schützen und wichtige Informationen zur Vereinbarung über verwaltete HSM-Servicelevels (SLA).

Bereitstellungsempfehlungen für die Produktion

Für Produktionsarbeitslasten empfehlen wir Folgendes:

  • Laden Sie die Sicherheitsdomäne unmittelbar nach der Bereitstellung Ihres verwalteten HSM herunter und speichern Sie sie sicher. Sie benötigen die Sicherheitsdomäne für die Notfallwiederherstellung.
  • Richten Sie ein Multiperson-Quorum für die Sicherheitsdomäne mit mindestens drei Schlüsselinhabern ein.
  • Aktivieren Sie den Löschschutz , um versehentliche oder böswillige Löschungen zu verhindern.
  • Implementieren Sie regelmäßige Sicherungen in einem Azure Storage-Konto, und verwenden Sie georedundanten Speicher in unterstützten Regionen.
  • Aktivieren Sie die Replikation mit mehreren Regionen für unternehmenskritische Workloads, die eine höhere SLA erfordern.

Übersicht über die Zuverlässigkeitsarchitektur

Wenn Sie verwaltetes HSM verwenden, stellen Sie eine Instanz bereit, die manchmal als Pool bezeichnet wird.

Die Architektur von Managed HSM ist für hohe Verfügbarkeit und Langlebigkeit ausgelegt.

  • Einzelmandantenisolation: Jede verwaltete HSM-Instanz ist einem einzelnen Kunden zugeordnet und besteht aus einem Cluster mehrerer HSM-Partitionen, die kryptografisch isoliert sind.

  • Dreifach-redundante Partitionen: Ein verwalteter HSM-Pool besteht aus drei lastenausgeglichenen HSM-Partitionen, die auf separate Racks innerhalb eines Rechenzentrums verteilt sind. Diese Verteilung bietet Redundanz gegenüber Hardwarefehlern und stellt sicher, dass sich der Verlust einer einzelnen Komponente, z. B. die Stromversorgung eines Racks oder ein Netzwerkschalter, nicht auf alle Partitionen auswirkt.

  • Vertrauliches Computing: Jede Dienstinstanz wird in einer vertrauenswürdigen Ausführungsumgebung (TEE) ausgeführt, die Intel SGX-Enklaven verwendet. Microsoft Personal, einschließlich Personen mit physischem Zugriff auf die Server, kann nicht auf Ihr kryptografisches Schlüsselmaterial zugreifen.

  • Automatische Heilung: Wenn sich ein Hardwarefehler oder ein anderes Problem auf eine der drei Partitionen auswirkt, erstellt der Dienst automatisch die betroffene Partition auf fehlerfreier Hardware ohne Kundeneingriff und ohne Offenlegen von Geheimschlüsseln neu.

Informationen dazu, wie Managed HSM diese Funktionen implementiert, finden Sie unter Schlüsselhoheit, Verfügbarkeit, Leistung und Skalierbarkeit in managed HSM.

Sicherheitsdomäne

Die Sicherheitsdomäne ist eine wichtige Komponente von Managed HSM für Notfallwiederherstellungszwecke. Es handelt sich um ein verschlüsseltes Blob, das alle Anmeldeinformationen enthält, die zum Neustellen einer verwalteten HSM-Instanz erforderlich sind, einschließlich des Partitionsbesitzerschlüssels, der Partitionsanmeldeinformationen, des Datenumbruchschlüssels und einer ersten Sicherung des HSM.

Important

Ohne die Sicherheitsdomäne ist die Notfallwiederherstellung nicht möglich. Microsoft hat keine Möglichkeit, die Sicherheitsdomäne wiederherzustellen und auf Ihre Schlüssel ohne sie zuzugreifen.

Sicherheitsdomänen sind ein wichtiger Bestandteil der Sicherheit und Zuverlässigkeit Ihres verwalteten HSM. Es wird empfohlen, die folgenden bewährten Methoden zu befolgen:

  • Sicheres Generieren von Schlüsseln: Generieren Sie für Produktionsumgebungen die RSA-Schlüsselpaare, die die Sicherheitsdomäne in einer luftspaltigen Umgebung schützen, z. B. ein lokales HSM oder eine isolierte Arbeitsstation.

  • Offlinespeichern: Speichern Sie Sicherheitsdomänenschlüssel auf verschlüsselten USB-Laufwerken oder einem anderen Offlinespeicher, wobei jede Schlüsselfreigabe auf einem separaten Gerät an separaten geografischen Standorten verwendet wird.

  • Einrichten eines mehrpersonigen Quorums: Verwenden Sie mindestens drei Schlüsselhalter, um zu verhindern, dass eine einzelne Person Zugriff auf alle Quorumschlüssel hat, und um eine Abhängigkeit von jeder einzelnen Person zu vermeiden.

Weitere Informationen finden Sie unter "Sicherheitsdomäne" in der Übersicht über verwaltetes HSM.

Resilienz für vorübergehende Fehler

Vorübergehende Fehler sind kurze, zeitweilige Fehler in Komponenten. Sie treten häufig in einer verteilten Umgebung wie der Cloud auf und sind ein normaler Bestandteil von Vorgängen. Vorübergehende Fehler korrigieren sich nach kurzer Zeit. Es ist wichtig, dass Ihre Anwendungen vorübergehende Fehler behandeln können, in der Regel durch Wiederholen betroffener Anforderungen.

Alle in der Cloud gehosteten Anwendungen sollten die Anleitung zur vorübergehenden Fehlerbehandlung von Azure befolgen, wenn sie mit cloudgehosteten APIs, Datenbanken und anderen Komponenten kommunizieren. Weitere Informationen finden Sie unter Empfehlungen zur Behandlung vorübergehender Fehler.

Wenn Sie Azure-Dienste verwenden, die in verwaltetes HSM integriert sind, behandeln diese Dienste vorübergehende Fehler automatisch.

Wenn Sie benutzerdefinierte Anwendungen erstellen, die in verwaltetes HSM integriert sind, sollten Sie die folgenden bewährten Methoden für die Behandlung vorübergehender Fehler berücksichtigen, die auftreten können:

  • Verwenden Sie die von Microsoft bereitgestellten SDKs für Azure Key Vault, die integrierte Wiederholungsmechanismen enthalten. SDKs sind für .NET, Python und JavaScript verfügbar.

  • Implementieren Sie Wiederholungslogik, einschließlich exponentieller Backoff, für jeden Code, der direkt mit verwaltetem HSM interagiert.

  • Verringern Sie die Anzahl der direkten Abhängigkeiten von verwaltetem HSM. Ergebnisse des kryptografischen Vorgangs zwischenspeichern, um direkte Anforderungen an verwaltetes HSM zu reduzieren. Führen Sie Public Key-Vorgänge wie Verschlüsselung, Umbruch und Überprüfung lokal durch Zwischenspeichern des öffentlichen Schlüsselmaterials durch. Durch die lokale Ausführung der Vorgänge wird die Abhängigkeit von Ihrem verwalteten HSM reduziert und die Wahrscheinlichkeit vorübergehender Fehler reduziert, die diese Vorgänge unterbrechen.

Wenn Sie verwaltetes HSM in Szenarien mit hohem Durchsatz verwenden, drosselt managed HSM keine kryptografischen Vorgänge. Es verwendet seine HSM-Hardware für die volle Kapazität. Jede verwaltete HSM-Instanz verfügt über drei Partitionen. Bei Wartungs- oder Heilungsvorgängen ist eine Partition möglicherweise nicht verfügbar. Gehen Sie bei der Kapazitätsplanung davon aus, dass zwei Partitionen verfügbar sind. Wenn Sie einen garantierten Durchsatz benötigen, planen Sie basierend auf einer verfügbaren Partition. Überwachen Sie die Metrik "Verwaltete HSM-Verfügbarkeit ", um den Status des Diensts zu verstehen.

Verwenden Sie eine Schlüsselhierarchie, um die Verschlüsselung für große Datenvolumes zu skalieren. Speichern Sie nur den Schlüsselverschlüsselungsschlüssel (KEK) in managed HSM, und verwenden Sie ihn, um Datenverschlüsselungsschlüssel auf niedrigerer Ebene einzuschließen, die an anderer Stelle im sicheren Schlüsselspeicher gespeichert sind.

Weitere Informationen zu Leistungs-Benchmarks und kapazitätsplanung finden Sie unter Azure Managed HSM-Skalierungsleitfaden.

Ausfallsicherheit bei Partitionsfehlern

Verwaltetes HSM erreicht hohe Verfügbarkeit durch seine dreifach redundante Architektur, wobei jeder HSM-Pool aus drei HSM-Partitionen besteht, die über separate Servergestelle innerhalb eines Rechenzentrums verteilt sind. Diese Verteilung auf Rackebene bietet Redundanz gegenüber lokalisierten Hardwarefehlern.

Diagramm, das die drei Partitionen eines verwalteten HSM-Pools zeigt, jeweils auf einem separaten physischen Server und in einem anderen Servergestell.

Wenn Hardwarefehler oder lokalisierte Ausfälle auftreten, leitet Managed HSM Ihre Anforderungen automatisch an fehlerfreie Partitionen um und erstellt betroffene Partitionen über einen Prozess, der als "Vertrauliche Dienstheilung" bezeichnet wird, neu. Ausgefallene Partitionen werden automatisch auf intakter Hardware neu aufgebaut, wobei attestiertes TLS und Intel-SGX-Enklaven verwendet werden, um Geheimnisse während der Wiederherstellung zu schützen.

Cost

Die integrierte hohe Verfügbarkeit in Managed HSM fügt keine zusätzlichen Kosten hinzu. Die Preise basieren auf der Anzahl der HSM-Pools und der Anzahl der ausgeführten Vorgänge. Weitere Informationen finden Sie unter Azure Managed HSM pricing.

Verhalten, wenn alle Partitionen fehlerfrei sind

In diesem Abschnitt wird beschrieben, was Sie erwarten müssen, wenn verwaltete HSM-Pools betriebsbereit sind und keine Partitionen nicht verfügbar sind.

  • Datenverkehrsweiterleitung: Verwaltetes HSM verwaltet automatisch das Datenverkehrsrouting über die drei Partitionen. Bei normalen Vorgängen verteilt sie Anforderungen transparent über Partitionen.

  • Datenreplikation: Verwaltetes HSM repliziert synchron alle Daten, einschließlich Schlüsseln, Rollenzuweisungen und Zugriffssteuerungsrichtlinien für alle drei Partitionen. Durch diesen Ansatz wird Konsistenz und Verfügbarkeit sichergestellt, auch wenn eine Partition nicht mehr verfügbar ist.

Verhalten während eines Partitionsfehlers

In diesem Abschnitt wird beschrieben, was Sie erwarten müssen, wenn eine oder mehrere Partitionen nicht verfügbar sind.

  • Erkennung und Reaktion: Der verwaltete HSM-Dienst erkennt Partitionsfehler und reagiert automatisch darauf. Sie müssen während eines Partitionsfehlers keine Maßnahmen ergreifen.

  • Aktive Anfragen: Während eines Partitionsfehlers können laufende Anfragen an die betroffene Partition fehlschlagen, sodass Clientanwendungen sie erneut senden müssen. Um die Auswirkungen von Partitionsausfällen zu minimieren, sollten Clientanwendungen vorübergehende Fehlerbehandlungsmethoden befolgen.

  • Erwarteter Datenverlust: Es wird kein Datenverlust während eines Partitionsfehlers aufgrund der synchronen Replikation über Partitionen erwartet.

  • Erwartete Ausfallzeiten: Bei Lesevorgängen und den meisten kryptografischen Vorgängen sollte es während eines Partitionsfehlers minimale oder gar keine Ausfallzeiten geben. Die verbleibenden fehlerfreien Partitionen dienen weiterhin Anforderungen.

  • Datenverkehrsumleitung: Verwaltetes HSM leitet datenverkehr automatisch von der betroffenen Partition zu fehlerfreien Partitionen um, ohne dass ein Kundeneingriff erforderlich ist.

Partitionswiederherstellung

Wenn die betroffene Partition wiederhergestellt wird, stellt verwaltetes HSM Vorgänge automatisch durch vertrauliche Dienstheilung wieder her. Dieser Vorgang:

  1. Erstellt eine neue Dienstinstanz auf fehlerfreier Hardware.
  2. Stellt eine attestierte TLS-Verbindung mit der primären Partition her.
  3. Sicheres Austauschen von Anmeldeinformationen und kryptografischem Material.
  4. Versiegelt die Dienstdaten an die neue CPU.

Die Azure-Plattform verwaltet diesen Prozess vollständig und erfordert keine Kundeneingriffe.

Ausfallsicherheit bei Ausfällen von Verfügbarkeitszonen

Die Hochverfügbarkeit in Managed HSM basiert auf einer Verteilung auf Rack-Ebene innerhalb eines Rechenzentrums, nicht auf einer expliziten Bereitstellung in Verfügbarkeitszonen. Jede Partition wird auf einem separaten Server in einem anderen Rack ausgeführt, der vor Fehlern auf Rackebene wie Stromversorgung oder Netzwerkswitchproblemen schützt.

Verwenden Sie zum Schutz vor rechenzentrumsweiten oder verfügbarkeitsweiten Ausfällen einen der in Resilienz beschriebenen Ansätze für regionsweite Fehler.

Widerstandsfähigkeit bei regionalen Ausfällen

Verwaltete HSM-Ressourcen werden in einer einzelnen Azure-Region bereitgestellt. Wenn die Region nicht verfügbar ist, ist Ihr verwaltetes HSM ebenfalls nicht verfügbar. Es gibt jedoch Ansätze, die Sie verwenden können, um Ausfallsicherheit für Regionenausfälle zu gewährleisten.

Replikation mit mehreren Regionen

Verwaltetes HSM unterstützt optionale Multi-Region-Replikation, die Sie verwenden können, um einen verwalteten HSM-Pool von einer Azure Region (der primären Region) auf eine zweite Azure Region (die erweiterte Region) zu erweitern. Wenn Sie dieses Feature konfigurieren:

  • Beide Regionen sind aktiv und können Anfragen verarbeiten.
  • Schlüsselmaterial, Rollen und Berechtigungen werden automatisch zwischen Regionen repliziert.
  • Azure Traffic Manager leitet Anforderungen an die nächstgelegene verfügbare Region weiter.
  • Die kombinierte SLA erhöht sich.

Anforderungen

  • Regionsunterstützung: Alle Regionen, die verwaltetes HSM unterstützen, können als primäre Regionen verwendet werden. Es gibt keine Abhängigkeit von Azure-Regionspaaren.

    Verwaltetes HSM unterstützt nicht alle Regionen als erweiterte Regionen. Weitere Informationen finden Sie unter Azure-Regionsunterstützung.

  • Maximale Anzahl von Regionen: Sie können eine erweiterte Region für maximal zwei Regionen insgesamt hinzufügen.

Cost

Die Replikation mit mehreren Regionen verursacht zusätzliche Abrechnungen, da die erweiterte Region einen zweiten HSM-Pool nutzt. Weitere Informationen finden Sie unter Azure Managed HSM pricing.

Konfigurieren Sie die Multi-Region-Replikation

Verhalten, wenn alle Regionen funktionsfähig sind

In diesem Abschnitt wird beschrieben, was Sie erwarten müssen, wenn Sie die Replikation mit mehreren Regionen konfigurieren, und beide Regionen sind betriebsbereit.

  • Datenverkehrssteuerung: Alle Regionen können Anfragen verarbeiten. Azure Traffic Manager leitet Anforderungen an die Region mit der nächstgelegenen geografischen Nähe oder der niedrigsten Latenz weiter.

    Wenn Sie Azure Private Link für den Zugriff auf verwaltetes HSM verwenden, konfigurieren Sie private Endpunkte in beiden Regionen für ein optimales Routing während des Failovers. Weitere Informationen finden Sie unter Private Link Behavior with multi-region replication.

  • Datenreplikation: Alle Änderungen an Schlüsseln, Rollendefinitionen und Rollenzuweisungen werden innerhalb von sechs Minuten asynchron in den erweiterten Bereich repliziert. Warten Sie sechs Minuten nach dem Erstellen oder Aktualisieren eines Schlüssels, bevor Sie ihn im erweiterten Bereich verwenden.

Verhalten während eines Regionenausfalls

In diesem Abschnitt wird beschrieben, was Sie erwarten müssen, wenn Sie die Replikation mit mehreren Regionen konfigurieren, und es gibt einen Ausfall in einem der Replikatbereiche.

  • Erkennung und Reaktion: Azure Traffic Manager erkennt die fehlerhafte Region und leitet zukünftige Anforderungen an die fehlerfreie Region weiter. DNS-Einträge haben eine Time-to-Live (TTL) von fünf Sekunden, obwohl Clients, die DNS-Abfragen zwischenspeichern, etwas längere Failover-Zeiten aufweisen könnten.
  • Notification: Microsoft benachrichtigt Sie nicht automatisch, wenn eine Region abfällt. Sie können jedoch Azure Service Health verwenden, um die allgemeine Integrität des Diensts zu verstehen, einschließlich aller Regionsfehler, und Sie können Dienststatuswarnungen einrichten, um Sie über Probleme zu informieren.
  • Aktive Anfragen: Laufende Anfragen an die betroffene Region könnten fehlschlagen und einen erneuten Versuch erfordern.

  • Erwarteter Datenverlust: Änderungen, die innerhalb von sechs Minuten vor dem Ausfall der Region vorgenommen wurden, werden möglicherweise nicht in den erweiterten Bereich repliziert. Diese Änderungen können verloren gehen, wenn die primäre Region nicht wiederhergestellt werden kann.

  • Erwartete Ausfallzeiten: Sowohl Lese- als auch Schreibvorgänge bleiben während des Failovers im fehlerfreien Bereich verfügbar.

    Clientanwendungen, die sich in der Nähe des fehlerhaften Bereichs befinden, werden möglicherweise weiterhin an diese Region weitergeleitet, bis die DNS-Einträge aktualisiert werden, diese Aktualisierung erfolgt jedoch innerhalb von ungefähr fünf Sekunden. Um die Failoverzeit zu minimieren, sollten Clients vermeiden, DNS-Nachschlagevorgänge länger als die TTL des DNS-Eintrags zwischenzuspeichern.

  • Umleitung: Azure Traffic Manager umgeleitet Anforderungen automatisch an die gesunde Region.

Region-Wiederherstellung

Wenn die betroffene Region wiederhergestellt wird, setzt Managed HSM automatisch Vorgänge fort. Azure Traffic Manager leitet Anfragen wieder auf Grundlage der geografischen Nähe an beide Regionen weiter.

Test auf Regionsfehler

Verwaltetes HSM verwaltet Datenverkehrsrouting, Failover und Failback für Regionsfehler vollständig, sodass Sie keine Regionsfehlerprozesse überprüfen oder weitere Eingaben bereitstellen müssen.

Benutzerdefinierte Lösungen mit mehreren Regionen für Resilienz

Wenn die Replikation mit mehreren Regionen nicht für Ihre Anforderungen geeignet ist, können Sie manuelle Notfallwiederherstellung implementieren. Dieser Ansatz erfordert Folgendes:

  • Die Sicherheitsdomäne des Quell-HSM.
  • Die privaten Schlüssel (mindestens die Quorumnummer), die die Sicherheitsdomäne verschlüsseln.
  • Eine aktuelle vollständige HSM-Sicherung aus der HsM-Quelle.

So führen Sie die Notfallwiederherstellung aus:

  1. Erstellen Sie eine neue verwaltete HSM-Instanz in einer anderen Region.
  2. Aktivieren Sie den Wiederherstellungsmodus der Sicherheitsdomäne, und laden Sie die Sicherheitsdomäne hoch.
  3. Erstellen Sie eine Sicherung des neuen HSM (erforderlich vor der Wiederherstellung).
  4. Stellen Sie die Sicherung aus der HsM-Quelle wieder her.

Important

Der neue HSM verfügt über einen anderen Namen und einen anderen URI für den Dienstendpunkt. Sie müssen Die Anwendungskonfiguration aktualisieren, um den neuen Speicherort zu verwenden.

Ausführliche Verfahren zur Notfallwiederherstellung finden Sie unter Verwaltete HSM-Notfallwiederherstellung.

Sichern und Wiederherstellen

Verwaltetes HSM unterstützt die vollständige Sicherung und Wiederherstellung aller Schlüssel, Versionen, Attribute, Tags und Rollenzuweisungen. Sicherungen werden in einem Azure Storage-Konto gespeichert. Sofern dies in Ihrer Region unterstützt wird, empfehlen wir, Ihr Managed HSM in einem Azure Storage-Konto zu sichern, bei dem die georedundante Speicherung (GRS) aktiviert ist.

Das HSM verschlüsselt Sicherungen mithilfe kryptografischer Schlüssel, die der Sicherheitsdomäne des HSM zugeordnet sind. Sie können Backups nur auf einem HSM mit derselben Sicherheitsdomäne wiederherstellen.

Verwaltetes HSM unterstützt keine Terminplanungssicherungen, Aber Sie können Ihren eigenen Zeitplan mithilfe eines Diensts wie Azure Functions oder Azure Automation erstellen.

Während eine Sicherung ausgeführt wird, funktioniert das HSM möglicherweise nicht mit dem vollständigen Durchsatz, da einige Partitionen ausgelastet sind, um den Sicherungsvorgang auszuführen.

Ausführliche Sicherungs- und Wiederherstellungsprozeduren finden Sie unter "Vollständige Sicherung und Wiederherstellung".

Widerstandsfähigkeit bei versehentlichem Löschen

Verwaltetes HSM bietet zwei wichtige Wiederherstellungsfeatures, um versehentliche oder böswillige Löschungen zu verhindern.

  • Vorläufiges Löschen: Gelöschte HSMs und Schlüssel werden nicht sofort endgültig entfernt. Sie bleiben für einen konfigurierbaren Aufbewahrungszeitraum von 7 bis 90 Tagen wiederherstellbar (Standard: 90 Tage). "Vorläufig löschen" ist immer aktiviert und kann nicht deaktiviert werden.

    Note

    Vorläufig gelöschte verwaltete HSM-Ressourcen führen weiterhin zur Abrechnung, bis sie gelöscht werden.

  • Schutz vor endgültiger Löschung: Wenn diese Funktion aktiviert ist, verhindert dies die endgültige Löschung Ihres verwalteten HSM und seiner Schlüssel, bevor der Aufbewahrungszeitraum abgelaufen ist. Der Löschschutz kann von niemandem deaktiviert oder außer Kraft gesetzt werden, einschließlich Microsoft.

Es wird dringend empfohlen, den Löschschutz für Produktionsumgebungen zu aktivieren. Weitere Informationen finden Sie unter Managed HSM, deaktivierte Löschung und Schutz vor vollständigem Löschen.

Resilienz gegenüber Wartungsarbeiten an Diensten

Verwaltetes HSM behandelt die Dienstwartung, einschließlich Firmwareupdates, Patching und Hardwareheilung, ohne Dass der Kunde eingreifen muss. Während der Wartung:

  • Der Dienst macht Partitionen möglicherweise vorübergehend nicht verfügbar, während updates angewendet werden.
  • Mindestens zwei von drei Partitionen bleiben während der Routinewartung verfügbar.
  • Ihre Clientanwendungen sollten Wiederholungslogik implementieren, um kurze Unterbrechungen zu verarbeiten.

Der vertrauliche Selbstheilungsprozess des Dienstes stellt sicher, dass der Dienst während Wartungsvorgängen niemals Geheimnisse offenlegt.

Service-Level-Vereinbarung

Der Service level agreement (SLA) für Azure-Dienste beschreibt die erwartete Verfügbarkeit jedes Diensts und die Bedingungen, die Ihre Lösung erfüllen muss, um diese Verfügbarkeitserwartungen zu erreichen. Weitere Informationen finden Sie unter Dienstleistungsvereinbarungen für Onlinedienste.

Verwaltetes HSM bietet eine Standardverfügbarkeits-SLA für Bereitstellungen in einer Region. Das Aktivieren der Multi-Region-Replikation erhöht die insgesamt erwartete Verfügbarkeit, da Anfragen aus jeder der beiden Regionen bedient werden können, wenn eine davon nicht verfügbar ist.