Foire aux questions (FAQ)

Un module de sécurité matériel (HSM) est un appareil informatique physique qui sert à protéger et à gérer les clés de chiffrement. Les clés stockées dans les modules HSM peuvent être utilisées pour les opérations de chiffrement. Elles sont conservées en toute sécurité dans des modules matériels inviolables. Le module HSM autorise uniquement les applications authentifiées et autorisées à utiliser les clés. Les clés ne quittent jamais la limite de protection du module HSM.

Le service HSM dédié Azure est un service cloud qui fournit des modules HSM hébergés dans des centres de données Azure qui sont directement connectés au réseau virtuel d’un client. Ces modules HSM sont des appliances réseau Thales Luna 7 HSM. Ils sont déployés directement dans l’espace d’adressage IP privé du client et Microsoft n’a pas accès à la fonctionnalité de chiffrement des modules HSM. Seul le client dispose d’un contrôle administratif et cryptographique complet sur ces appareils. Les clients sont responsables de la gestion des appareils et peuvent obtenir des journaux d’activité complets directement à partir de leurs appareils. Les modules HSM dédiés permettent aux clients de respecter les exigences de conformité/réglementaires comme FIPS 140-2 de niveau 3, HIPAA, PCI-DSS, eIDAS et bien d’autres.

Les clients doivent avoir un gestionnaire de compte Microsoft assigné et répondre à l’exigence monétaire de cinq millions de dollars (5M $) ou plus en revenu annuel global Azure engagé pour être éligibles pour l’intégration et l’utilisation d’Azure Dedicated HSM.

Microsoft a conclu un partenariat avec Thales pour fournir le service HSM dédié Azure. L’appareil spécifique utilisé est le modèle Thales Luna 7 HSM A790. En plus d’intégrer un microprogramme certifié FIPS 140-2 de niveau 3, cet appareil offre aussi une faible latence, de hautes performances et une capacité élevée via 10 partitions.

Un module HSM sert à stocker les clés de chiffrement utilisées pour les fonctionnalités de chiffrement comme TLS (Transport Layer Security), le chiffrement de données, l’infrastructure à clé publique (PKI), la gestion des droits numériques (DRM) et la signature de documents.

Les clients peuvent provisionner des modules HSM dans des régions spécifiques à l’aide de PowerShell ou d’une interface de ligne de commande. Le client spécifie le réseau virtuel auquel les modules HSM seront connectés et une fois provisionnés, ceux-ci seront disponibles dans le sous-réseau désigné à des adresses IP attribuées dans l’espace d’adressage IP privé du client. Les clients peuvent ensuite se connecter aux modules HSM en utilisant SSH pour la gestion et l’administration des appliances, configurer les connexions clientes HSM, initialiser des modules HSM, créer des partitions, définir et attribuer des rôles tels que responsable de partition, responsable de chiffrement et utilisateur de chiffrement. Ensuite, les clients utilisent les outils/SDK/logiciels du client HSM fournis par Thales pour effectuer des opérations de chiffrement à partir de leurs applications.

Thales fournit tous les logiciels pour l’appareil HSM une fois qu’il est provisionné par Microsoft. Les logiciels sont disponibles sur le portail du service clientèle Thales. Les clients qui utilisent le service HSM dédié doivent s’inscrire pour bénéficier du service de support Thales et disposer d’un ID client pour pouvoir accéder aux logiciels en question et les télécharger. Le logiciel client pris en charge est la version 7.2, qui est compatible avec la version 7.0.3 du microprogramme certifié FIPS 140-2 de niveau 3.

Les éléments suivants entraînent des frais supplémentaires lors de l’utilisation du service HSM dédié.

• Une unité de sauvegarde locale dédiée peut être utilisée avec un service HSM dédié. Toutefois, cela entraîne un coût supplémentaire et l’unité doit être directement fournie par Thales.
• Le service HSM dédié est fourni avec une licence pour 10 partitions. Si un client requiert davantage de partitions, cela entraînera un coût supplémentaire pour les licences supplémentaires fournies directement par Thales.
• Le service HSM dédié requiert une infrastructure réseau (VNET, passerelle VPN, etc.) et des ressources telles que des machines virtuelles pour la configuration des appareils. Ces ressources supplémentaires entraînent des frais supplémentaires et ne sont pas incluses dans la tarification du service HSM dédié.

Faux. Azure Dedicated HSM fournit uniquement des HSM avec une authentification par mot de passe.

Faux. Azure Dedicated HSM ne prend pas en charge les modules de fonctionnalité.

Microsoft propose uniquement l’appareil Thales Luna 7 HSM modèle A790 par le biais du service HSM dédié, et ne peut pas héberger les appareils fournis par les clients.

Le service HSM dédié Azure utilise Thales Luna 7 HSM. Ces appareils ne prennent pas en charge les fonctionnalités de paiement propres à HSM (par exemple, code PIN ou EFT) ni les certifications. Si vous voulez que le service HSM dédié Azure prenne en charge les HSM de paiement à l’avenir, indiquez-le en commentaire à votre chargé de compte Microsoft.

En date d’octobre 2022, le service HSM dédié est disponible dans les 22 régions répertoriées ci-dessous. D’autres régions sont prévues et peuvent être abordées par le biais de votre chargé de compte Microsoft.

• USA Est
• USA Est 2
• USA Ouest
• USA Ouest 2
• Est du Canada
• Centre du Canada
• États-Unis - partie centrale méridionale
• Asie Sud-Est
• Inde Centre
• Sud de l’Inde
• Japon Est
• OuJapon Est
• Europe Nord
• Europe Ouest
• Sud du Royaume-Uni
• Ouest du Royaume-Uni
• Australie Est
• Sud-Australie Est
• Suisse Nord
• Suisse Ouest
• Gouvernement américain - Virginie
• Gouvernement des États-Unis – Texas

Vous devez utiliser les outils/SDK/logiciels du client HSM fournis par Thales pour effectuer des opérations de chiffrement à partir de vos applications. Les logiciels sont disponibles sur le portail du service clientèle Thales. Les clients qui utilisent le service HSM dédié doivent s’inscrire pour bénéficier du service de support Thales et disposer d’un ID client pour pouvoir accéder aux logiciels en question et les télécharger.

Oui, vous devrez utiliser VNET Peering au sein d’une même région pour établir une connectivité entre les différents réseaux virtuels. Pour une connectivité inter-région, vous devrez utiliser une passerelle VPN.

Oui, vous pouvez synchroniser des modules HSM locaux avec le service HSM dédié. Il est possible d’utiliser un VPN point à point ou une connectivité point à site pour établir une connectivité avec votre réseau local.

Non. Les modules HSM dédiés Azure sont accessibles uniquement à l’intérieur de votre réseau virtuel.

Oui, si vous disposez de modules Thales Luna 7 HSM. Il existe plusieurs méthodes. Consultez la documentation sur les modules HSM Thales.

• Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
• Virtuel : VMware, Hyper-V, Xen, KVM

Pour bénéficier d’une haute disponibilité, vous devez configurer votre application cliente HSM de sorte qu’elle utilise les partitions de chaque module HSM. Consultez la documentation des logiciels clients HSM Thales.

Le HSM dédié Azure utilise des appareils Thales Luna 7 HSM A790 et prend en charge l’authentification par mot de passe.

PKCS #11, Java (JCA/JCE), Microsoft CAPI, CNG, OpenSSL

Oui. Contactez votre représentant Thales pour obtenir le Guide de migration Thales correspondant.

Faux. Azure Dedicated HSM ne prend pas en charge les modules de fonctionnalité.

Le service HSM dédié Azure est tout indiqué pour les entreprises qui migrent vers des applications locales Azure qui utilisent des modules HSM. Les modules HSM dédiés proposent une option qui permet de migrer une application moyennant des modifications minimes. Si des opérations de chiffrement sont effectuées dans le code de l’application s’exécutant dans une machine virtuelle ou une application web Azure, elles peuvent utiliser HSM dédié. En règle générale, les logiciels prêts à l’emploi s’exécutant selon des modèles IaaS (infrastructure as a service) et qui prennent en charge les modules HSM comme magasin de clés, peuvent utiliser le service HSM dédié, notamment Traffic Manager pour le protocole TLS sans clé, les services de certificats Active Directory ou des outils d’infrastructure à clé publique (PKI) similaires, des outils/applications utilisés pour la signature de documents, la signature de code ou un serveur SQL Server (IaaS) configuré avec le chiffrement TDE (Transparent Database Encryption) en ayant la clé principale dans un module HSM qui utilise un fournisseur de gestion de clés extensible (EKM). Azure Key Vault convient pour des applications « natives du cloud » ou pour des scénarios de chiffrement au repos où les données des clients sont traitées par des scénarios PaaS (Platform as a Service) ou SaaS (Software as a Service), comme le chiffrement Clé client dans Office 365, Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store avec la clé gérée par le client, le chiffrement Stockage Azure avec la clé gérée par le client et Azure SQL avec la clé gérée par le client.

Le service HSM dédié Azure est tout particulièrement indiqué pour les scénarios de migration. Cela vaut pour la migration d’applications locales vers Azure qui utilisent déjà des modules HSM. Il propose une option de migration sans accroc vers Azure qui ne demande qu’un minimum de modifications au niveau de l’application. Si des opérations de chiffrement sont effectuées dans le code de l’application s’exécutant dans une machine virtuelle ou une application web Azure, le service HSM dédié peut être utilisé. En règle générale, les logiciels prêts à l’emploi s’exécutant selon des modèles IaaS (infrastructure as a service) et qui prennent en charge les modules HSM comme magasin de clés peuvent utiliser le service HSM dédié, notamment :

• Traffic Manager pour le protocole TLS sans clé
• Services de certificats Active Directory (AD CS)
• Outils d’infrastructure à clé publique (PKI) similaires
• Outils/applications utilisés pour la signature de document
• Signature de code
• SQL Server (IaaS) configuré avec le chiffrement transparent des données (TDE) en ayant la clé principale dans un module HSM utilisant un fournisseur de gestion de clés extensible (EKM)

Non. Le service Dedicated HSM étant approvisionné directement dans l’espace d’adressage IP privé d’un client, il n’est pas accessible aux autres services Azure ou Microsoft.

Oui. Chaque appliance HSM est entièrement dédiée à un client unique et personne d’autre ne dispose d’un contrôle administratif une fois qu’elle est provisionnée et que le mot de passe administrateur a été changé.

Microsoft ne dispose d’aucun contrôle administratif ou cryptographique sur le module HSM. Microsoft dispose d’un accès de niveau superviseur via la connexion de port série pour récupérer des données de télémétrie de base comme la température et l’intégrité de composant. Microsoft peut ainsi adresser des notifications proactives en cas de problèmes d’intégrité. Si nécessaire, les client peut désactiver ce compte.

L’appareil HSM est livré avec un utilisateur administrateur par défaut et son mot de passe par défaut habituel. Microsoft ne voulait pas utiliser des mots de passe par défaut lorsqu’un appareil est dans un pool en attente d’approvisionnement par les clients. Cela ne respecterait pas nos exigences de sécurité strictes. Pour cette raison, nous définissons un mot de passe fort, qui est abandonné au moment du provisionnement. En outre, lors de l’approvisionnement, nous créons un autre utilisateur avec le rôle d’administrateur, appelé « tenant admin ». Cet utilisateur a le mot de passe par défaut, et les clients remplacent cette valeur dès la première connexion à l’appareil qui vient d’être approvisionné. Ce processus permet de garantir une sécurité optimale et de tenir notre promesse d’un contrôle administratif exclusif pour nos clients. Il convient de noter que l’utilisateur « tenant admin » peut être utilisé pour réinitialiser le mot de passe administrateur si un client souhaite utiliser ce compte.

Non. Microsoft n’a pas accès aux clés stockées dans le module HSM dédié alloué par le client.

Non. Azure Dedicated HSM est un HSM nu pour le service de bail. Notre service ne stocke pas les données client. L’ensemble des matériaux et données clés sont stockés dans l’appliance HSM des clientes. Chaque appliance HSM est entièrement dédiée à un seul client qui dispose d’un contrôle administratif complet.

Le client dispose d’un contrôle administratif total, ce qui lui permet de mettre à niveau les logiciels/microprogrammes s’il a besoin de fonctionnalités spécifiques de versions différentes du microprogramme. Avant d’apporter des modifications, demandez à Microsoft des précisions sur votre mise à niveau en contactant HSMRequest@microsoft.com

Vous pouvez gérer les modules HSM dédiés en y accédant avec SSH.

Le logiciel client HSM Thales sert à gérer les modules HSM et les partitions.

Un client dispose d’un accès complet aux journaux d’activité HSM via syslog et SNMP. Pour recevoir les journaux d’activité ou les événements des modules HSM, le client doit configurer un serveur syslog ou un serveur SNMP.

Oui. Vous pouvez envoyer des journaux d’activité de l’appliance HSM vers un serveur syslog.

Oui. La haute disponibilité s’installe et se configure dans le logiciel client HSM fourni par Thales. Les modules HSM situés sur un même réseau virtuel ou sur différents réseaux virtuels d’une même région ou de régions différentes, ou les modules HSM locaux connectés à un réseau virtuel utilisant un VPN site à site ou point à point peuvent être ajoutés à une même configuration de haute disponibilité. Il convient de noter que cette opération synchronise uniquement le matériel principal et les éléments de configuration non spécifiques, tels que les rôles.

Oui. Ils doivent répondre aux exigences de haute disponibilité pour Thales Luna 7 HSM

Non.

16 membres d’un groupe à haute disponibilité ont été soumis à un test de limitation et ont obtenu d’excellents résultats.

Il n’existe aucune garantie de temps d’activité spécifique pour le service HSM dédié. Cependant, comme Microsoft garantit un accès de niveau réseau à l’appareil, ce sont les contrats SLA de gestion réseau Azure standard qui s’appliquent.

Les centres de données Azure disposent de contrôles de sécurité physique et procédurale étendus. Par ailleurs, les modules HSM dédiés sont hébergés dans une zone du centre de données plus restrictive en termes d’accès. Pour renforcer la sécurité, ces zones offrent des contrôles d’accès physique supplémentaires et des caméras de surveillance vidéo.

Le service HSM dédié Azure utilise des appliances Thales Luna 7 HSM. Ces appareils prennent en charge la détection des altérations physiques et logiques. En cas d’altération, les modules HSM sont automatiquement mis à zéro.

Il est vivement recommandé d’utiliser une unité de sauvegarde HSM locale pour sauvegarder de façon périodique et régulière les modules HSM à des fins de récupération d’urgence. Vous devrez utiliser une connexion VPN pair à pair ou site à site pour accéder à une station de travail locale connectée à une unité de sauvegarde HSM.

La prise en charge est fournie par Microsoft et Thales. Si vous rencontrez un problème avec le matériel ou l’accès réseau, ouvrez une demande de support auprès de Microsoft, et si vous rencontrez un problème avec la configuration HSM, les logiciels et le développement d’applications, ouvrez une demande de support auprès de Thales. Si vous rencontrez un problème indéterminé, ouvrez une demande de support auprès de Microsoft, puis impliquez Thales si nécessaire.

Après vous être inscrit pour le service, un ID de client Thales vous est fourni pour l’inscription sur le portail de support client Thales. Cela active l’accès à tous les logiciels et à la documentation, ainsi que l’activation des demandes de support directement auprès de Thales.

Microsoft n’a pas la possibilité de se connecter aux modules HSM alloués aux clients. Les clients doivent eux-mêmes mettre à niveau et corriger leurs modules HSM.

Le module HSM dispose d’une option de redémarrage en ligne de commande. Toutefois, nous rencontrons des problèmes où le redémarrage cesse de répondre par intermittence. C’est pourquoi, pour un redémarrage plus sûr, nous vous recommandons d’ouvrir une demande de support auprès de Microsoft pour que l’appareil soit physiquement redémarré.

Oui, le HSM dédié fournit des HSM Thales Luna 7 certifiés FIPS 140-2 de niveau 3.

Le service HSM dédié provisionne des appliances Thales Network Luna 7 HSM. Elles prennent en charge un large éventail d’algorithmes et de types de clé de chiffrement, notamment : Prise en charge complète de la suite B

• Asymétrique :
  • RSA
  • DSA
  • Diffie-Hellman
  • Courbe elliptique
  • Chiffrement (ECDSA, ECDH, Ed25519, ECIES) avec courbes nommées, définies par l’utilisateur et Brainpool, KCDSA
• Symétrique :
  • AES-GCM
  • Triple DES
  • DES
  • ARIA, SEED
  • RC2
  • RC4
  • RC5
  • CAST
  • Code de hachage/Synthèse du message/HMAC : SHA-1, SHA-2, SM3
  • Dérivation de clé : Mode de compteur SP 800-108
  • Wrapping de clé : SP 800-38F
  • Génération de nombres aléatoires : DRGB agréé par FIPS 140-2 (mode CTR SP 800-90), conforme à BSI DRG.4

Oui. Le service HSM dédié prévoit des appliances Thales Luna 7 HSM A790 validées FIPS 140-2 niveau 3.

Le service HSM dédié provisionne des appliances Thales Luna 7 HSM. Ces HSM sont conformes à la norme FIPS 140-2 de niveau 3 La configuration, le système d’exploitation et le microprogramme déployés par défaut sont aussi certifiés FIPS. Vous n’avez rien à faire pour bénéficier de la conformité à FIPS 140-2 de niveau 3.

Avant de demander le déprovisionnement, le client doit mettre le module HSM à zéro à l’aide des outils clients HSM Thales.

Le HSM dédié approvisionne des HSM Thales Luna 7. Voici un résumé des performances maximales pour certaines opérations :

• RSA-2048 : 10 000 transactions par seconde
• ECC P256 : 20 000 transactions par seconde
• AES-GCM : 17 000 transactions par seconde

Le Thales Luna 7 HSM modèle A790 utilisé inclut une licence pour 10 partitions dans le coût du service. L’appareil a une limite de 100 partitions. L’ajout de partitions jusqu’à cette limite entraîne des coûts de licences supplémentaires et nécessite l’installation d’un nouveau fichier de licence sur l’appareil.

Le nombre maximal de clés dépend de la mémoire disponible. Le Thales Luna 7 modèle A790 en cours d’utilisation a 32 Mo de mémoire. Les chiffres suivants valent aussi pour les paires de clés si vous utilisez des clés asymétriques.

• RSA-2048 - 19 000
• ECC-P256 - 91 000

La capacité varie en fonction des attributs de clé spécifiques définis dans le modèle de génération de clés et du nombre de partitions.