Forum aux questions (FAQ)

Un module de sécurité matériel (HSM) est un appareil informatique physique qui sert à protéger et à gérer les clés de chiffrement. Les clés stockées dans les modules HSM peuvent être utilisées pour les opérations de chiffrement. Elles sont conservées en toute sécurité dans des modules matériels inviolables. Le module HSM autorise uniquement les applications authentifiées et autorisées à utiliser les clés. Les clés ne quittent jamais la limite de protection du module HSM.

Le service HSM dédié Azure est un service cloud qui fournit des modules HSM hébergés dans des centres de données Azure qui sont directement connectés au réseau virtuel d’un client. Ces modules HSM sont des appliances réseau Thales Luna 7 HSM. Ils sont déployés directement dans l’espace d’adressage IP privé du client et Microsoft n’a pas accès à la fonctionnalité de chiffrement des modules HSM. Seul le client dispose d’un contrôle administratif et cryptographique complet sur ces appareils. Les clients sont responsables de la gestion des appareils et peuvent obtenir des journaux d’activité complets directement à partir de leurs appareils. Les modules HSM dédiés permettent aux clients de respecter les exigences de conformité/réglementaires comme FIPS 140-2 de niveau 3, HIPAA, PCI-DSS, eIDAS et bien d’autres.

Les clients doivent avoir un responsable de compte Microsoft assigné et répondre à l’exigence monétaire de 5 millions de dollars (5M $) ou plus en revenu annuel global Azure engagé pour être éligibles pour l’intégration et l’utilisation d’Azure Dedicated HSM.

Microsoft a conclu un partenariat avec Thales pour fournir le service Azure Dedicated HSM. L’appareil spécifique utilisé est le modèle Thales Luna 7 HSM A790. En plus d’intégrer un microprogramme certifié FIPS 140-2 de niveau 3, cet appareil offre aussi une faible latence, de hautes performances et une capacité élevée via 10 partitions.

Un module HSM sert à stocker les clés de chiffrement utilisées pour les fonctionnalités de chiffrement comme TLS (Transport Layer Security), le chiffrement de données, l’infrastructure à clé publique (PKI), la gestion des droits numériques (DRM) et la signature de documents.

Les clients peuvent provisionner des modules HSM dans des régions spécifiques à l’aide de PowerShell ou d’une interface de ligne de commande. Le client spécifie le réseau virtuel auquel les modules HSM sont connectés et une fois approvisionnés, ceux-ci sont disponibles dans le sous-réseau désigné à des adresses IP attribuées dans l’espace d’adressage IP privé du client. Les clients peuvent ensuite se connecter aux modules HSM en utilisant SSH pour la gestion et l’administration des appliances, configurer les connexions clientes HSM, initialiser des modules HSM, créer des partitions, définir et attribuer des rôles tels que responsable de partition, responsable de chiffrement et utilisateur de chiffrement. Ensuite, les clients utilisent les outils/Kit de développement logiciel (SDK)/logiciels du client HSM fournis par Thales pour effectuer des opérations de chiffrement à partir de leurs applications.

Thales fournit tous les logiciels pour l’appareil HSM une fois qu’il est provisionné par Microsoft. Les logiciels sont disponibles sur le portail du service clientèle Thales. Les clients qui utilisent le service HSM dédié doivent s’inscrire pour bénéficier du service de support Thales et disposer d’un ID client pour pouvoir accéder aux logiciels en question et les télécharger. Le logiciel client pris en charge est la version 7.2, qui est compatible avec la version 7.0.3 du microprogramme certifié FIPS 140-2 de niveau 3.

Les éléments suivants entraînent des frais supplémentaires lors de l’utilisation du service Dedicated HSM.

• Un support de sauvegarde local dédié peut être utilisée avec un service Dedicated HSM, mais cela entraîne un coût supplémentaire et il doit être directement fourni par Thales.
• Le service HSM dédié est fourni avec une licence pour 10 partitions. Un client peut demander plus de partitions et payer davantage de licences provenant directement de Thales.
• Le service Dedicated HSM nécessite une infrastructure réseau (réseau virtuel, passerelle VPN, etc.) et des ressources telles que des machines virtuelles pour la configuration des appareils. Ces ressources entraînent des frais supplémentaires et ne sont pas incluses dans la tarification du service Dedicated HSM.

Non. Azure Dedicated HSM fournit uniquement des HSM avec une authentification par mot de passe.

Non. Azure Dedicated HSM ne prend pas en charge les modules de fonctionnalité.

Microsoft propose uniquement l’appareil Thales Luna 7 HSM modèle A790 par le biais du service HSM dédié, et ne peut pas héberger les appareils fournis par les clients.

Le service HSM dédié Azure utilise Thales Luna 7 HSM. Ces appareils ne prennent pas en charge les fonctionnalités de paiement propres à HSM (par exemple, code PIN ou EFT) ni les certifications. Si vous voulez que le service HSM dédié Azure prenne en charge les HSM de paiement à l’avenir, indiquez-le en commentaire à votre chargé de compte Microsoft.

En date d’octobre 2022, le service Dedicated HSM est disponible dans 22 régions. D’autres régions sont prévues et peuvent être abordées par le biais de votre chargé de compte Microsoft.

• USA Est
• USA Est 2
• USA Ouest
• USA Ouest 2
• Est du Canada
• Centre du Canada
• États-Unis - partie centrale méridionale
• Asie Sud-Est
• Inde Centre
• Sud de l’Inde
• Japon Est
• OuJapon Est
• Europe Nord
• Europe Ouest
• Sud du Royaume-Uni
• Ouest du Royaume-Uni
• Australie Est
• Australie Sud-Est
• Suisse Nord
• Suisse Ouest
• US Gov Virginie
• Gouvernement des États-Unis – Texas

Vous devez utiliser les outils/SDK/logiciels du client HSM fournis par Thales pour effectuer des opérations de chiffrement à partir de vos applications. Les logiciels sont disponibles sur le portail du service clientèle Thales. Les clients qui utilisent le service HSM dédié doivent s’inscrire pour bénéficier du service de support Thales et disposer d’un ID client pour pouvoir accéder aux logiciels en question et les télécharger.

Oui, vous devez utiliser l’appairage de réseaux virtuels au sein d’une région pour établir une connectivité entre les réseaux virtuels. Pour une connectivité inter-région, vous devrez utiliser une passerelle VPN.

Oui, vous pouvez synchroniser des modules HSM locaux avec le service HSM dédié. Il est possible d’utiliser un VPN point à point ou une connectivité point à site pour établir une connectivité avec votre réseau local.

Non. Les modules HSM dédiés Azure sont accessibles uniquement à l’intérieur de votre réseau virtuel.

Oui, si vous disposez de modules Thales Luna 7 HSM. Il existe plusieurs méthodes. Consultez la documentation sur les modules HSM Thales.

• Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
• Virtuel : VMware, Hyper-V, Xen, KVM

Pour bénéficier d’une haute disponibilité, vous devez configurer votre application cliente HSM de sorte qu’elle utilise les partitions de chaque module HSM. Consultez la documentation des logiciels clients HSM Thales.

Le HSM dédié Azure utilise des appareils Thales Luna 7 HSM A790 et prend en charge l’authentification par mot de passe.

PKCS #11, Java (JCA/JCE), Microsoft CAPI, CNG, OpenSSL

Oui. Contactez votre représentant Thales pour obtenir le Guide de migration Thales correspondant.

Non. Azure Dedicated HSM ne prend pas en charge les modules de fonctionnalité.

Le service HSM dédié Azure est tout indiqué pour les entreprises qui migrent vers des applications locales Azure qui utilisent des modules HSM. Les modules HSM dédiés proposent une option qui permet de migrer une application moyennant des modifications minimes. Si des opérations de chiffrement sont effectuées dans le code de l’application s’exécutant dans une machine virtuelle ou une application web Azure, elles peuvent utiliser HSM dédié. En règle générale, les logiciels prêts à l’emploi s’exécutant selon des modèles IaaS (infrastructure as a service) et qui prennent en charge les modules HSM comme magasin de clés, peuvent utiliser le service Dedicated HSM, notamment Traffic Manager pour le protocole TLS sans clé, les services de certificats Active Directory (ADCS) ou des outils PKI similaires, des outils/applications utilisés pour la signature de documents, la signature de code, ou un serveur SQL Server (IaaS) configuré avec le chiffrement TDE (Transparent Database Encryption) en ayant une clé primaire dans un module HSM qui utilise un fournisseur de gestion de clés extensible (EKM). Azure Key Vault convient pour des applications « natives du cloud » ou pour des scénarios de chiffrement au repos où les données des clients sont traitées par des scénarios PaaS (Platform as a Service) ou SaaS (Software as a Service), comme le chiffrement Clé client dans Office 365, Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store avec la clé gérée par le client, le chiffrement Stockage Azure avec la clé gérée par le client et Azure SQL avec la clé gérée par le client.

Azure Dedicated HSM est particulièrement adapté aux scénarios de migration dans lesquels vous migrez des applications locales vers Azure qui utilisent déjà des modules HSM, offrant ainsi une méthode de faible friction pour la migration vers Azure avec un minimum de modifications apportées à l’application. Si des opérations de chiffrement sont effectuées dans le code de l’application s’exécutant dans une machine virtuelle ou une application web Azure, le service HSM dédié peut être utilisé. En règle générale, les logiciels prêts à l’emploi s’exécutant selon des modèles IaaS (infrastructure as a service) et qui prennent en charge les modules HSM comme magasin de clés peuvent utiliser le service HSM dédié, notamment :

• Traffic Manager pour le protocole TLS sans clé
• Services de certificats Active Directory (AD CS)
• Outils d’infrastructure à clé publique (PKI) similaires
• Outils/applications utilisés pour la signature de document
• Signature de code
• SQL Server (IaaS) configuré avec le chiffrement TDE (Transparent Data Encryption) en ayant une clé primaire dans un module HSM utilisant un fournisseur de gestion de clés extensible (EKM)

Non. Le service Dedicated HSM étant approvisionné directement dans l’espace d’adressage IP privé d’un client, il n’est pas accessible aux autres services Azure ou Microsoft.

Oui. Chaque appliance HSM est entièrement dédiée à un client unique et personne d’autre ne dispose d’un contrôle administratif une fois qu’elle est provisionnée et que le mot de passe administrateur a été changé.

Microsoft ne dispose d’aucun contrôle administratif ou cryptographique sur le module HSM. Microsoft dispose d’un accès au niveau du moniteur via la connexion de port série pour récupérer des données de télémétrie de base comme la température et l’intégrité des composants, afin de permettre à Microsoft de fournir une notification proactive des problèmes d’intégrité. Si nécessaire, les client peut désactiver ce compte.

L’appareil HSM est livré avec un utilisateur administrateur par défaut et son mot de passe par défaut habituel. Microsoft ne voulait pas utiliser des mots de passe par défaut lorsqu’un appareil est dans un pool en attente d’approvisionnement par les clients. Cela ne respecterait pas nos exigences de sécurité strictes. Pour cette raison, nous définissons un mot de passe fort, qui est abandonné au moment du provisionnement. En outre, lors de l’approvisionnement, nous créons un autre utilisateur avec le rôle d’administrateur, appelé « tenant admin ». L’utilisateur « administrateur client » a le mot de passe par défaut, que les clients modifient dès la première connexion à l’appareil qui vient d’être approvisionné. Ce processus permet de garantir une sécurité optimale et de tenir notre promesse d’un contrôle administratif exclusif pour nos clients. Il convient de noter que l’utilisateur « tenant admin » peut être utilisé pour réinitialiser le mot de passe administrateur si un client souhaite utiliser ce compte.

Non. Microsoft n’a pas accès aux clés stockées dans le module HSM dédié alloué par le client.

Non. Azure Dedicated HSM est un HSM nu pour le service de bail. Notre service ne stocke pas les données client. L’ensemble des matériaux et données clés sont stockés dans l’appliance HSM des clients. Chaque appliance HSM est entièrement dédiée à un seul client, pour laquelle ils disposent d’un contrôle administratif total.

Le client dispose d’un contrôle administratif total, ce qui lui permet de mettre à niveau les logiciels/microprogrammes s’il a besoin de fonctionnalités spécifiques de versions différentes du microprogramme. Avant d’apporter des modifications, consultez le support Thales au sujet de votre scénario de mise à niveau de logiciel/microprogramme.

Vous pouvez gérer les modules HSM dédiés en y accédant avec SSH.

Le logiciel client HSM Thales sert à gérer les modules HSM et les partitions.

Un client dispose d’un accès complet aux journaux d’activité HSM via syslog et SNMP. Pour recevoir les journaux d’activité ou les événements des modules HSM, le client doit configurer un serveur Syslog ou un serveur SNMP.

Oui. Vous pouvez envoyer des journaux d’activité de l’appliance HSM vers un serveur syslog.

Oui. La haute disponibilité s’installe et se configure dans le logiciel client HSM fourni par Thales. Les modules HSM situés sur un même réseau virtuel ou sur différents réseaux virtuels d’une même région ou de régions différentes, ou les modules HSM locaux connectés à un réseau virtuel utilisant un VPN de site à site ou point à point peuvent être ajoutés à une même configuration de haute disponibilité. Il convient de noter que cette opération synchronise uniquement le matériel principal et les éléments de configuration non spécifiques, tels que les rôles.

Oui. Ils doivent répondre aux exigences de haute disponibilité pour Thales Luna 7 HSM

Non.

Seize membres d’un groupe à haute disponibilité ont été soumis à un test de limitation et ont obtenu d’excellents résultats.

Il n’existe aucune garantie de temps d’activité spécifique pour le service HSM dédié. Cependant, comme Microsoft garantit un accès de niveau réseau à l’appareil, ce sont les contrats SLA de mise en réseau Azure standard qui s’appliquent.

Les centres de données Azure disposent de contrôles de sécurité physique et procédurale étendus. Par ailleurs, les modules HSM dédiés sont hébergés dans une zone du centre de données plus restrictive en termes d’accès. Pour renforcer la sécurité, ces zones offrent plus de contrôles d’accès physique et des caméras de surveillance vidéo.

Le service HSM dédié Azure utilise des appliances Thales Luna 7 HSM. Ces appareils prennent en charge la détection des altérations physiques et logiques. En cas de falsification, les modules HSM sont automatiquement mis à zéro.

Il est vivement recommandé d’utiliser une unité de sauvegarde HSM locale pour sauvegarder de façon périodique et régulière les modules HSM à des fins de récupération d’urgence. Vous devrez utiliser une connexion VPN pair à pair ou de site à site pour accéder à une station de travail locale connectée à un support de sauvegarde HSM.

La prise en charge est fournie par Microsoft et Thales. Si vous rencontrez un problème avec le matériel ou l’accès réseau, ouvrez une demande de support auprès de Microsoft, et si vous rencontrez un problème avec la configuration HSM, les logiciels et le développement d’applications, ouvrez une demande de support auprès de Thales. Si vous rencontrez un problème indéterminé, ouvrez une demande de support auprès de Microsoft, puis impliquez Thales si nécessaire.

Une fois que vous vous êtes inscrit au service, vous recevrez un ID client Thales qui permet l’inscription dans le portail du support client Thales, ce qui permet d’accéder à tous les logiciels et documentation, ainsi qu’aux demandes de support directement auprès de Thales.

Microsoft n’a pas la possibilité de se connecter aux modules HSM alloués aux clients. Les clients doivent eux-mêmes mettre à niveau et corriger leurs modules HSM.

Le module HSM dispose d’une option de redémarrage en ligne de commande. Toutefois, nous rencontrons des problèmes où le redémarrage cesse de répondre par intermittence. C’est pourquoi, pour un redémarrage plus sûr, nous vous recommandons d’ouvrir une demande de support auprès de Microsoft pour que l’appareil soit physiquement redémarré.

Oui, le HSM dédié fournit des HSM Thales Luna 7 certifiés FIPS 140-2 de niveau 3.

Le service HSM dédié provisionne des appliances Thales Network Luna 7 HSM. Elles prennent en charge un large éventail d’algorithmes et de types de clé de chiffrement, dont l’ensemble de la suite B.

• Asymétrique :
  • RSA
  • DSA
  • Diffie-Hellman
  • Courbe elliptique
  • Chiffrement (ECDSA, ECDH, Ed25519, ECIES) avec courbes nommées, définies par l’utilisateur et Brainpool, KCDSA
• Symétrique :
  • AES-GCM
  • Triple DES
  • DES
  • ARIA, SEED
  • RC2
  • RC4
  • RC5
  • CAST
  • Hachage/Synthèse du message/HMAC : SHA-1, SHA-2, SM3
  • Dérivation de clé : Mode compteur SP 800-108
  • Encapsulage de clés : SP 800-38F
  • Génération de nombres aléatoires : DRGB agréé par FIPS 140-2 (mode CTR SP 800-90), conforme à BSI DRG.4

Oui. Le service HSM dédié prévoit des appliances Thales Luna 7 HSM A790 validées FIPS 140-2 niveau 3.

Le service HSM dédié provisionne des appliances Thales Luna 7 HSM. Ces HSM sont conformes à la norme FIPS 140-2 de niveau 3 La configuration, le système d’exploitation et le microprogramme déployés par défaut sont aussi certifiés FIPS. Vous n’avez rien à faire pour bénéficier de la conformité à FIPS 140-2 de niveau 3.

Avant de demander le déprovisionnement, le client doit mettre le module HSM à zéro à l’aide des outils clients HSM Thales.

Le HSM dédié approvisionne des HSM Thales Luna 7. Voici un résumé des performances maximales pour certaines opérations :

• RSA-2048 : 10 000 transactions par seconde
• ECC P256 : 20 000 transactions par seconde
• AES-GCM : 17 000 transactions par seconde

Le Thales Luna 7 HSM modèle A790 utilisé inclut une licence pour 10 partitions dans le coût du service. L’appareil a une limite de 100 partitions. L’ajout de partitions jusqu’à cette limite entraîne des coûts de licences supplémentaires et nécessite l’installation d’un nouveau fichier de licence sur l’appareil.

Le nombre maximal de clés dépend de la mémoire disponible. Le modèle A790 de Thales Luna 7 en cours d’utilisation a 32 Mo de mémoire. Les chiffres suivants valent aussi pour les paires de clés si vous utilisez des clés asymétriques.

• RSA-2048 - 19 000
• ECC-P256 - 91 000

La capacité varie en fonction des attributs de clé spécifiques définis dans le modèle de génération de clés et du nombre de partitions.