Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Azure Cloud HSM es un servicio de un solo inquilino validado por FIPS 140-3 de alta disponibilidad que cumple con los estándares del sector. Azure Cloud HSM concede a los clientes una autoridad administrativa completa sobre sus módulos de seguridad de hardware (HSM). Proporciona un clúster HSM seguro y propiedad del cliente para almacenar claves criptográficas y realizar operaciones criptográficas.
Azure Cloud HSM admite varias aplicaciones, como PKCS#11, descarga de procesamiento de capa de sockets seguros (SSL) o procesamiento de seguridad de la capa de transporte (TLS), protección de claves privadas de entidad de certificación (CA) y cifrado de datos transparente (TDE). También admite la firma de documentos y de código.
¿Por qué usar Azure Cloud HSM?
Solución totalmente administrada
Muchos clientes requieren control administrativo de su HSM, pero no quieren la sobrecarga y los costos auxiliares que incluyen la administración de clústeres para lograr alta disponibilidad, aplicación de revisiones y mantenimiento. Los clientes de Azure Cloud HSM tienen acceso seguro, directo y cifrado de extremo a extremo a los nodos de HSM en su clúster de HSM por medio de un enlace privado y dedicado desde su red virtual.
Después de que un cliente aprovisione un clúster de HSM en la nube de Azure, el cliente mantiene el acceso administrativo a sus HSM. El servicio Azure Cloud HSM se encarga de la alta disponibilidad, la aplicación de revisiones y el mantenimiento.
HSM de un solo inquilino, propiedad del cliente, de alta disponibilidad y de un solo inquilino como servicio
Azure Cloud HSM proporciona alta disponibilidad y redundancia mediante la agrupación de varios HSM en un clúster de HSM. El servicio sincroniza automáticamente las claves y directivas en cada nodo HSM.
Cada clúster de HSM consta de tres nodos HSM. Si un recurso de HSM deja de estar disponible, los nodos miembros de su clúster de HSM se migran automáticamente y de forma segura a nodos operativos.
El clúster de HSM en la nube de Azure admite el equilibrio de carga de las operaciones criptográficas. Las copias de seguridad periódicas de HSM ayudan a garantizar una recuperación de datos segura y sencilla.
Residencia de datos: Cloud HSM no almacena ni procesa datos de clientes fuera de la región en la que el cliente implementa la instancia de HSM.
Clústeres de HSM de un solo inquilino
Cada instancia Azure Cloud HSM está dedicada a un solo cliente. Cada clúster de HSM usa un dominio de seguridad específico del cliente independiente que lo aísla criptográficamente.
Cumplimiento y certificación
Azure Cloud HSM cumple varios estándares y certificaciones de cumplimiento del sector para ayudar a los clientes a satisfacer los requisitos normativos.
FIPS 140-3 nivel 3
Muchas organizaciones tienen estrictas regulaciones del sector que dictan que las claves criptográficas deben almacenarse en HSM validados por FIPS 140-3 nivel 3 . Azure Cloud HSM ofrece HSM validados para cumplir los estándares FIPS 140-3 Nivel 3. Para conocer los procedimientos para comprobar la autenticidad de su HSM, incluida la comprobación de la certificación FIPS 140-3 nivel 3 de NIST, consulte la guía de incorporación. Azure Cloud HSM ayuda a los clientes de varios segmentos del sector (sector de servicios financieros, agencias gubernamentales y otros) a cumplir estos requisitos de FIPS.
eIDAS
Azure Cloud HSM admite el cumplimiento de eIDAS en el esquema austriaco al proporcionar administración segura de claves, operaciones criptográficas y hardware validado por FIPS 140-3 nivel 3 para cumplir los estrictos requisitos de firmas electrónicas y sellos calificados para ayudar a garantizar el cumplimiento normativo. Obtenga más información en el certificado de QSCD.
PCI y PCI 3DS
Azure Cloud HSM proporciona HSM que se validan para cumplir los estándares PCI y PCI 3DS. Para más información sobre la certificación de cumplimiento de PCI para Azure Cloud HSM, consulte atestación de cumplimiento de PCI 3DS (AOC) en el Centro de confianza de servicios de Microsoft.
idoneidad de servicio HSM en la nube de Azure
Azure Cloud HSM admite:
- PKCS#11, OpenSSL, Java Cryptography Architecture (JCA), Java Cryptography Extension (JCE), Cryptography API: Next Generation (CNG) y key storage provider (KSP).
- Active Directory Certificate Services (Servicios de Certificados de Active Directory, AD CS).
- Descarga de SSL/TLS (Apache o NGINX).
- TDE (Microsoft SQL Server o Oracle).
- Almacenamiento de certificados
- Firma de documentos, archivos y código.
Azure Cloud HSM no es :
- Un dispositivo HSM en metal puro.
- Una tienda secreta.
- Una oferta para la administración del ciclo de vida del certificado.
Casos en los que está indicado
Azure Cloud HSM es más adecuado para los siguientes tipos de escenarios:
- Migración de aplicaciones de un entorno local a Azure Virtual Machines
- Migración de aplicaciones desde Azure Dedicated HSM o AWS Cloud HSM
- Compatibilidad con aplicaciones que requieren PKCS#11
- Ejecución de software preempaquetado, como la descarga de SSL de Apache o NGINX, SQL Server u Oracle TDE y AD CS en Azure Virtual Machines.
Casos en los que no está indicado
Azure Cloud HSM no se integra con otros servicios de Azure plataforma como servicio (PaaS) ni de software como servicio (SaaS). Azure Cloud HSM es solo infraestructura como servicio (IaaS).
Azure HSM en la nube no es una buena opción para los servicios en la nube de Microsoft que requieren compatibilidad con el cifrado con claves administradas por el cliente. Estos servicios incluyen Azure Information Protection, Azure Disk Encryption, Azure Data Lake Storage, Azure Storage y clave de cliente de Microsoft Purview. En esos escenarios, los clientes deben usar Azure Key Vault HSM administrado.
Seguridad física
Azure centros de datos tienen amplios controles de seguridad físicos y de procedimientos. Los HSM de Azure Cloud HSM se hospedan en un área de acceso restringido del centro de datos, con controles de acceso físico y video vigilancia para mayor seguridad.
Azure Cloud HSM incorpora tanto mecanismos físicos como lógicos de detección de alteraciones y respuestas que inician la eliminación de claves (ceroización) del hardware. Estas medidas están diseñadas para detectar alteraciones si la barrera física está comprometida.
Los HSM están protegidos contra ataques de inicio de sesión por fuerza bruta. El sistema bloquea a los oficiales de criptografía (OC) después de un número establecido de intentos de acceso incorrectos. Del mismo modo, los intentos incorrectos repetidos de acceder a un HSM con credenciales de usuario de criptografía (CU) provocan el bloqueo del usuario. A continuación, un CO debe desbloquear la CU. Desbloquear un CO requiere el getChallenge comando , firmando el desafío con la clave de propietario de la partición (PO.key) a través de OpenSSL, seguido de los unlockCO comandos y changePswd .
Operaciones de servicio
Azure Cloud HSM no tiene ventanas de mantenimiento programadas. Sin embargo, Es posible que Microsoft tenga que realizar el mantenimiento de las actualizaciones necesarias o el reemplazo de hardware defectuoso. Los clientes reciben una notificación anticipada si se prevé algún impacto.
Pasos siguientes
Estos recursos están disponibles para ayudarle a facilitar el aprovisionamiento y la configuración de HSM en el entorno de red virtual existente: