الأسئلة المتداولة (FAQ)

وحدة أمان الجهاز (HSM) هي جهاز حوسبة مادي يستخدم لحماية مفاتيح التشفير وحمايتها. يمكن استخدام المفاتيح المخزنة في وحدات HSM لعمليات التشفير. تبقى مواد المفاتيح بأمان في وحدات أجهزة مقاومة للعبث والكشف. لا تسمح وحدة HSM باستخدام المفاتيح إلا للتطبيقات المصدق عليها والمخولة فقط. لا تتجاوز مواد المفتاح حدود حماية HSM أبداً.

Azure Dedicated HSM هي خدمة سحابية توفر وحدات HSM المستضافة في مراكز بيانات Azure المتصلة مباشرة بالشبكة الافتراضية للعميل. وحدات HSM هذه مخصصة لأجهزة الشبكة Thales Luna 7 HSM. تُنشَر مباشرة إلى مساحة عنوان IP الخاص بالعميل ولا تمتلك Microsoft أي إمكانية للوصول إلى وظائف تشفير HSM. يتوفر للعميل فقط إمكانية إدارة العمليات والتشفير الكامل على هذه الأجهزة. يتحمل العملاء مسؤولية إدارة الجهاز ويمكنهم الحصول على سجلات النشاط الكاملة مباشرة من أجهزتهم. تساعد وحدات Dedicated HSM العملاء على تلبية متطلبات الامتثال/المتطلبات التنظيمية على سبيل المثال FIPS 140-2 من المستوى 3 وHIPAA وPCI-DSS وeIDAS وغيرها الكثير.

يجب أن يكون لدى العملاء مدير حساب Microsoft معين وتلبية المتطلبات النقدية البالغة خمسة ملايين دولار أمريكي (5 مليون دولار أمريكي) أو أكثر في إجمالي إيرادات Azure الملتزم بها سنويا للتأهل للإلحاق واستخدام Azure Dedicated HSM.

دخلت Microsoft في شراكة مع Thales لتقديم خدمة Azure Dedicated HSM. الجهاز المحدد المستخدم هو Thales Luna 7 HSM طراز A790 . لا يوفر هذا الجهاز البرنامج الثابت المعتمد FIPS 140-2 من المستوى 3فحسب، بل يوفر أيضاً زمن انتقال منخفضاً وأداءً عالياً وسعة تخزينية عالية تتمثل في 10 أقسام.

تُستخدم وحدات HSM لتخزين مفاتيح التشفير المستخدمة لوظائف التشفير مثل TLS (أمان طبقة النقل) وتشفير البيانات وPKI (البنية التحتية للمفتاح العام) وDRM (إدارة الحقوق الرقمية) وتوقيع المستندات.

يمكن أن يوفر العملاء وحدات HSM في مناطق معينة باستخدام PowerShell أو واجهة سطر الأوامر. يحدد العميل الشبكة الافتراضية التي سيتم توصيل وحدات HSM بها وبمجرد توفيرها، ستتوفر وحدات HSM في الشبكة الفرعية المعينة بعناوين IP المخصصة في مساحة عنوان IP الخاص بالعميل. ثم يتمكن العملاء من الاتصال بـ HSM باستخدام SSH لإدارة الأجهزة والتحكم فيها، وإعداد اتصالات عميل HSM وتهيئة وحدات HSM وإنشاء أقسام وتحديد الأدوار وتعيينها مثل مسؤول القسم وموظف التشفير ومستخدم التشفير. بعد ذلك، سيستخدم العميل أدوات/SDK/برنامج عميل HSM المقدم من Thales لأداء عمليات التشفير من تطبيقاتها.

توفر Thales جميع برامج جهاز HSM بمجرد أن توفرها Microsoft. يتوفر البرنامج في بوابة دعم عملاء Thales. يتعيّن على العملاء الذين يستخدمون خدمة Dedicated HSM أن يكونوا مسجلين في دعم Thales وأن يكون لديهم مُعرِّف عميل يسمح لهم بالوصول إلى البرامج ذات الصلة وتنزيلها. برنامج العميل المدعوم هو الإصدار 7.2 المتوافق مع الإصدار 7.0.3 من البرامج الثابتة المعتمدة من FIPS 140-2 المستوى 3.

ستفرض العناصر التالية تكلفة إضافية عند استخدام خدمة Dedicated HSM.

• يمكن استخدام جهاز نسخ احتياطي مخصص محلي مع خدمة Dedicated HSM، لكن ذلك سيؤدي إلى فرض تكلفة إضافية، ويجب الحصول عليه مباشرةً من Thales.
• تصل خدمة Dedicated HSM على ترخيص لـ 10 أقسام. إذا كان العميل يحتاج إلى مزيد من الأقسام، يؤدي ذلك إلى فرض تكلفة إضافية للحصول على تراخيص إضافية من Thales مباشرة.
• تتطلب خدمة Dedicated HSM بنية تحتية للشبكات (VNET وVPN Gateway وما إلى ذلك) وموارد مثل الأجهزة الظاهرية لتكوين الجهاز. ستفرض هذه الموارد الإضافية تكاليف إضافية ولا تدخل ضمن أسعار خدمةDedicated HSM.

كلا. يوفر Azure Dedicated HSM فقط HSMs مع المصادقة المستندة إلى كلمة المرور.

كلا. لا تدعم خدمة Azure Dedicated HSM الوحدات النمطية للوظائف.

لا تقدم Microsoft سوى الجهاز Thales Luna 7 HSM طراز A790 عبر خدمة Dedicated HSM ولا يمكنها استضافة أي أجهزة يوفرها العميل.

تستخدم خدمة Azure Dedicated HSM وحدات Thales Luna 7 HSM. لا تدعم هذه الأجهزة وظائف الدفع المحددة مقابل خدمة HSM (مثل PIN أو EFT) أو الشهادات. إذا كنت ترغب في أن تدعم خدمة Azure Dedicated HSM الدفع مقابل خدمات HSM في المستقبل، يمكنك إرسال الملاحظات إلى مندوبك في حساب Microsoft.

اعتبارا من أكتوبر 2022، يتوفر Dedicated HSM في 22 منطقة مدرجة أدناه. يتم التخطيط لإضافة مناطق أخرى ويمكن مناقشتها مع مندوبك في حساب Microsoft.

• شرق الولايات المتحدة
• East US 2
• غرب الولايات المتحدة
• منطقة غرب الولايات المتحدة الأمريكية 2
• شرق كندا
• كندا الوسطى
• جنوب وسط الولايات المتحدة
• جنوب شرق آسيا
• وسط الهند
• جنوب الهند
• شرق اليابان
• غرب اليابان
• شمال أوروبا
• غرب أوروبا
• جنوب المملكة المتحدة
• غرب المملكة المتحدة
• شرق أستراليا
• جنوب شرق أستراليا
• شمال سويسرا
• غرب سويسرا
• ولاية فرجينيا الأمريكية
• ولاية تكساس الأمريكية

ستستخدم أدوات/SDK/برنامج عميل HSM المقدم من Thales لأداء عمليات التشفير من تطبيقاتك. يتوفر البرنامج في بوابة دعم عملاء Thales. يتعيّن على العملاء الذين يستخدمون خدمة Dedicated HSM أن يكونوا مسجلين في دعم Thales وأن يكون لديهم مُعرِّف عميل يسمح لهم بالوصول إلى البرامج ذات الصلة وتنزيلها.

نعم، يلزم استخدام نظير VNET داخل منطقة ما لإنشاء اتصال عبر الشبكات الظاهرية. للاتصال عبر المناطق، يجب استخدام بوابة VPN.

نعم، يمكنك مزامنة خدمات HSMمع خدمة Dedicated HSM. يمكن استخدام اتصال VPN من نقطة إلى نقطة أو من نقطة إلى موقع للاتصال بشبكتك المحلية.

كلا. لا يمكن الوصول إلى وحدات Azure Dedicated HSM إلا من داخل شبكتك الظاهرية فقط.

نعم، إذا كنت تستخدم Thales Luna 7 HSM محلية. ثمة عدة طرق. راجع وثائقThales HSM.

• Windows وLinux وSolaris وAIX وHP-UX وFreeBSD
• Virtual: VMware وHyper-V وXen وKVM

للحصول على قابلية وصول عالية، تحتاج إلى إعداد تكوين تطبيق عميل HSM لاستخدام أقسام من كل HSM. راجع وثائق برنامج عميل Thales HSM.

يستخدم Azure Dedicated HSM أجهزة Thales Luna 7 HSM طراز A790 وتدعم المصادقة المستندة إلى كلمة المرور.

PKCS#11 وJava (JCA/JCE) وMicrosoft CAPI وCNG وOpenSSL

نعم. اتصل بمندوب Thales للحصول على دليل الترحيل المناسب من Thales.

كلا. لا تدعم خدمة Azure Dedicated HSM الوحدات النمطية للوظائف.

Azure Dedicated HSM هي الخيار المناسب للمؤسسات التي تُرحِّل إلى تطبيقات Azure المحلية التي تستخدم HSM. توفر Dedicated HSM خياراً لترحيل تطبيق بأقل قدر من التغييرات. في حالة تنفيذ عمليات التشفير في تعليمة برمجية للتطبيق تعمل في Azure VM أو تطبيق الويب، يمكنها استخدام Dedicated HSM. بشكل عام، يمكن للبرامج المضمنة المتقلصة التي تعمل في نماذج IaaS (البنية الأساسية كخدمة) التي تدعم HSMs كمخزن رئيسي استخدام وحدة HSM المخصصة، مثل إدارة نسبة استخدام الشبكة ل TLS بدون مفتاح أو ADCS (خدمات شهادات Active Directory) أو أدوات PKI أو أدوات/تطبيقات مماثلة تستخدم لتوقيع المستندات أو توقيع التعليمات البرمجية أو SQL Server (IaaS) تم تكوينه باستخدام TDE (تشفير قاعدة البيانات الشفاف) مع المفتاح الرئيسي في HSM باستخدام موفر EKM (إدارة المفاتيح القابلة للتوسيع). إن Azure Key Vault مناسب للتطبيقات "المُكونة في السحابة" أو للتشفير في السيناريوهات المتبقية حيث تتم معالجة بيانات العميل باستخدام سيناريوهات PaaS (النظام الأساسي كخدمة) أوSaaS (البرنامج كخدمة) مثل Office 365 Customer Key وAzure Information Protection وAzure Disk Encryption وتشفير Azure Data Lake Store باستخدام مفتاح يتحكم فيه العميل وتشفير Azure Storage باستخدام مفتاح يتحكم فيه العميل وAzure SQL باستخدام مفتاح يتحكم فيه العميل.

إن Azure Dedicated HSM هو الحل الأمثل لسيناريوهات الترحيل. يعني هذا أنك في حالة ترحيل التطبيقات المحلية إلى Azure التي تستخدم HSM بالفعل. يوفر هذا خياراً خالياً من أي مشكلات للترحيل إلى Azure بأقل قدر من التغييرات على التطبيق. في حالة تنفيذ عمليات التشفير في تعليمية برمجية للتطبيق تعمل في Azure VM أو تطبيق الويب، يمكن استخدام Dedicated HSM. بشكل عام، يمكن للبرامج المضمومة التي تعمل في نماذج IaaS (البنية الأساسية كخدمة) التي تدعم HSMs كمخزن رئيسي استخدام تخصيص HSM، مثل:

• مدير نسبة استخدام الشبكة لـ TLS بدون مفتاح
• ADCS (خدمات شهادة الدليل النشط)
• أدوات PKI المماثلة
• الأدوات/التطبيقات المستخدمة لتوقيع المستندات
• توقيع التعليمات البرمجية
• خادم SQL‏ (IaaS) الذي كُوِن باستخدام TDE (تشفير قاعدة البيانات الشفاف) مع مفتاح رئيسي في HSM باستخدام مزود EKM (إدارة المفاتيح القابلة للتوسيع)

كلا. تُوفَر Dedicated HSM مباشرة في مساحة عنوان IP الخاصة بالعميل بحيث لا يمكن لخدمات Azure أو Microsoft الأخرى الوصول إليها.

نعم. كل جهاز HSM مخصص بشكل كامل لعميل واحد ولا يتمكن أي شخص آخر من التحكم في إدارته بمجرد توفيره وتغيير كلمة مرور المسؤول.

لا تمتلك Microsoft أي صلاحيات لإدارة أو تشفير البيانات على HSM. تمتلك Microsoft حق الوصول للمراقبة عبر اتصال المنفذ التسلسلي لاسترداد القياسات الأساسية عن بُعد مثل درجة الحرارة وصحة المكونات. يسمح هذا لشركة Microsoft بتوفير إعلامات استباقية بالمشكلات الصحية. يمكن أن يعطِّل العميل هذا الحساب عند الضرورة.

يأتي جهاز HSM مع مستخدم افتراضي للمسؤول بكلمة المرور الافتراضية المعتادة. لم ترغب Microsoft في استخدام كلمات مرور افتراضية أثناء وجود أي جهاز قيد انتظار توفيره للعملاء. لن يفي هذا بمتطلباتنا الأمنية الصارمة. لهذا السبب، عيِّنا كلمة مرور قوية يتم تجاهلها عند التوفير. ننشئ مستخدماً جديداً في دور المسؤول يسمى "المسؤول المستأجر" في وقت التوفير أيضاً. يمتلك هذا المستخدم كلمة مرور افتراضية ويغيِّرها العملاء كإجراء أولي عند تسجيل الدخول إلى الجهاز المقدم حديثاً للمرة الأولى. تضمن هذه العملية درجات عالية من الأمان وتحافظ على نهجنا المتمثل في التحكم الحصري لعملائنا في إدارة البيانات. تجدر الإشارة إلى أنه يمكن استخدام مستخدم "المشرف المستأجر" لإعادة تعيين كلمة مرور مستخدم المسؤول إذا كان العميل يفضل استخدام هذا الحساب.

كلا. لا تمتلك شركة Microsoft أي حق للوصول إلى المفاتيح المخزنة في Dedicated HSM المخصصة للعميل.

كلا. Azure Dedicated HSM هو HSM بالكاد لخدمة التأجير. لا تخزن خدمتنا بيانات العملاء. يتم تخزين جميع المواد والبيانات الرئيسية داخل جهاز HSM للعملاء. كل جهاز HSM مخصص بالكامل لعميل واحد لديه تحكم إداري كامل.

يمتلك العميل الحرية الكاملة في إدارتها بما في ذلك ترقية البرامج/البرامج الثابتة إذا كانت هناك ميزات محددة مطلوبة من إصدارات البرامج الثابتة المختلفة. قبل إجراء التغييرات، يُرجى استشارة Microsoft حول الترقية عن طريق الاتصال HSMRequest@microsoft.com

يمكنك إدارة Dedicated HSM من خلال الوصول إليها باستخدام SSH.

يُستخدم برنامج عميل Thales HSM لإدارة HSM والأقسام.

يمتلك العميل حق الوصول الكامل إلى سجلات نشاط HSM عبر syslog وSNMP. سيحتاج العميل إلى إعداد خادم syslog أو SNMP لاستلام السجلات أو الأحداث من HSM.

نعم. يمكنك إرسال سجلات من جهاز HSM إلى خادم syslog

نعم. يُنفَذ تكوين قابلية الوصول العالية وإعدادها في برنامج عميل HSM التي تقدمها Thales. يمكن إضافة HSM من نفس VNET أو VNET أخرى في المنطقة نفسها أو عبر المناطق أو في أجهزة HSM المحلية المتصلة بـ VNET باستخدام VPN من موقع إلى موقع أو من نقطة إلى نقطة إلى تكوين قابلية الوصول العالية نفسه. تجدر الإشارة إلى أن ذلك يؤدي إلى مزامنة مواد المفتاح فقط وليس عناصر التكوين المحددة مثل الأدوار.

نعم. يجب أن تلبي متطلبات قابلية الوصول العالية لأجهزة Thales Luna 7 HSM

كلا.

خضع 16 عضواً من مجموعة قابلية الوصول العالية لاختبار صعب جداً وحققوا نتائج ممتازة.

لا يوجد أي ضمان محدد وقت التشغيل مخصص لخدمة Dedicated HSM. تضمن Microsoft إمكانية الوصول على مستوى الشبكة إلى الجهاز، وبالتالي تطبق اتفاقيات مستوى الخدمة القياسية لشبكات Azure.

تحتوي مراكز البيانات Azure على عناصر تحكم فعلية وإجرائية شاملة في الأمان. بالإضافة إلى ذلك تُستضاف Dedicated HSM في منطقة وصول مقيدة أخرى في مركز البيانات. تلتزم هذه المناطق بعناصر تحكم إضافية للوصول الفعلي والمراقبة بكاميرات الفيديو لمزيد من الأمان.

تستخدم خدمة Dedicated HSM أجهزة Thales Luna 7 HSM. تدعم هذه الأجهزة الكشف عن التلاعب الفعلي والمنطقي. في حالة حدوث تلاعب يتم تصفير أجهزة HSM تلقائياً.

يوصى باستخدام جهاز النسخ الاحتياطي HSM المحلي لإجراء النسخ الاحتياطي لـ HSM بصفة منتظمة لاسترداد البيانات بعد حدوث عطل فادح. ستحتاج إلى استخدام اتصال VPN نظير إلى نظير أو من موقع إلى موقع بمحطة عمل محلية متصلة بجهاز نسخ احتياطي لـ HSM.

تقدم كلٌّ من Microsoft وThales الدعم اللازم. إذا كانت لديك مشكلة في الوصول إلى الأجهزة أو شبكة الاتصال، فأرسل طلب دعم إلى Microsoft أما إذا كانت لديك مشكلة في تكوين HSM والبرامج وتطوير التطبيقات فأرسل طلب دعم إلى Thales. إذا كانت لديك مشكلة يصعب تحديدها، فأرسل طلب دعم إلى Microsoft ويمكن أن تشارك Thales عند الضرورة.

بعد التسجيل في الخدمة، سيُوفَر مُعرِّف عميل Thales الذي يسمح بالتسجيل في مدخل دعم عملاء Thales. سيوفر هذا إمكانية الوصول إلى جميع البرامج والوثائق، فضلاً عن تمكين طلبات الدعم من Thales مباشرة.

لا تتمكن Microsoft من الاتصال بأجهزة HSM المخصصة للعملاء. ينبغي على العملاء ترقية أجهزة HSM وتصحيحها.

يحتوي HSM على خيار إعادة تشغيل في سطر الأوامر، ومع ذلك، فإننا نواجه مشكلات حيث تتوقف إعادة التشغيل عن الاستجابة بشكل متقطع ولهذا السبب يوصى بإعادة التشغيل الأكثر أماناً التي تتقدم بطلب دعم لها إلى Microsoft لإعادة تشغيل الجهاز فعلياً.

نعم، توفر Dedicated HSM جهازThales Luna 7 HSM المعتمد حسب FIPS 140-2 المستوى -3 .

توفر خدمة Dedicated HSM أجهزة Thales Luna 7 HSM. تدعم مجموعة كبيرة من أنواع مفاتيح التشفير والخوارزميات بما فيها: دعم Full Suite B

• غير متماثلة:
  • RSA
  • DSA
  • Diffie-Hellman
  • Elliptic Curve
  • التشفير (ECDSA وECDH وEd25519 وECIES) مع منحنيات Brainpool المسماة والتي حددها المستخدم وKCDSA
• متماثلة:
  • AES-GCM
  • Triple DES
  • DES
  • ARIA, SEED
  • RC2
  • RC4
  • RC5
  • CAST
  • Hash/Message Digest/HMAC: SHA-1, SHA-2, SM3
  • اشتقاق المفتاح: وضع عداد SP 800-108
  • التفاف المفتاح: SP 800-38F
  • توليد الأرقام العشوائية: DRBG المعتمد من FIPS 140-2 (وضع SP 800-90 CTR) متوافق مع BSI DRG.4

نعم. نعم، توفر خدمة Dedicated HSM جهازThales Luna 7 HSM طراز A790 المعتمد حسب FIPS 140-2 المستوى-3.

توفر خدمة Dedicated HSM أجهزة Thales Luna 7 HSM. هذه الأجهزة هي أجهزة HSM معتمدة وفقاً لـ FIPS 140-2 المستوى 3. يتم أيضاً التحقق من صحة التكوين الافتراضي المنشور ونظام التشغيل والبرامج الثابتة وفقاً لـ FIPS. لا يلزم اتخاذ أي إجراء للتوافق مع FIPS 140-2 المستوى 3.

قبل طلب إلغاء التوفير، يجب أن يجري العميل مسح جميع البيانات على HSM باستخدام أدوات عميل HSM التي توفرها Thales.

توفر Dedicated HSM أجهزةThales Luna 7 HSM. فيما يلي ملخص بأقصى مستويات الأداء لبعض العمليات:

• RSA-2048: ‏10000 معاملة في الثانية
• ECC P256: ‏20000 معاملة في الثانية
• AES-GCM: ‏17000 معاملة في الثانية

يمتلك جهاز Thales Luna 7 HSM طراز A790 المُستخدَم ترخيصاً لـ 10 أقسام ضمن تكلفة الخدمة. يحتوي الجهاز على حد أقصى يبلغ 100 قسم، وستؤدي إضافة أقسام أكثر من هذا الحد إلى فرض تكاليف ترخيص إضافية وتتطلب تثبيت ملف ترخيص جديد على الجهاز.

الحد الأقصى لعدد المفاتيح هو إحدى وظائف الذاكرة المتاحة. يحتوي جهاز Thales Luna 7 طراز A790 المستخدم على ذاكرة تبلغ 32 ميجابايت. تنطبق الأرقام التالية أيضاً على أزواج المفاتيح في حالة استخدام مفاتيح غير متماثلة.

• RSA-2048 - 19,000
• ECC-P256 - 91,000

ستختلف السعة حسب السمات الأساسية المحددة المعينة في قالب إنشاء المفاتيح وعدد الأقسام.