Domande frequenti sul modulo di protezione hardware cloud di Azure

Trovare le risposte alle domande comuni sul modulo di protezione hardware cloud di Microsoft Azure.

Domande generali

Che cos'è HSM cloud di Azure?

Il modulo di protezione hardware cloud di Microsoft Azure è un servizio che fornisce archiviazione sicura per le chiavi crittografiche usando moduli di sicurezza hardware (HSM) che soddisfano lo standard di sicurezza FIPS 140-3 di livello 3. Si tratta di un servizio a disponibilità elevata gestita dal cliente e a tenant singolo conforme agli standard di settore.

HSM cloud di Azure supporta varie applicazioni, tra cui PKCS#11, l'offload di SECURE Sockets Layer (SSL) o l'elaborazione TLS (Transport Layer Security), la protezione della chiave privata dell'autorità di certificazione (CA) e transparent data encryption (TDE). Supporta anche la firma del documento e del codice.

HSM cloud di Azure offre disponibilità elevata e ridondanza raggruppando più moduli di protezione hardware in un cluster e sincronizzando automaticamente tra tre istanze del modulo di protezione hardware. Il cluster HSM supporta il bilanciamento del carico delle operazioni di crittografia. I backup periodici del modulo di protezione hardware consentono di garantire un ripristino dei dati sicuro e semplice. Per altre informazioni, vedere Che cos'è il modulo di protezione hardware cloud di Azure?.

Che cos'è un modulo di protezione hardware?

Un modulo di protezione hardware (HSM) è un dispositivo di calcolo fisico progettato per proteggere e amministrare le chiavi crittografiche. All'interno dei moduli di protezione hardware, le chiavi vengono archiviate e usate in modo sicuro per le operazioni di crittografia. I moduli hardware antimanomissione e antimanomissione contribuiscono a garantire la riservatezza e l'integrità di tali chiavi. L'accesso alle chiavi è limitato alle applicazioni autenticate e autorizzate, pertanto il materiale della chiave rimane sempre entro il limite protetto del modulo di protezione hardware. Per altre informazioni, vedere Proteggere la distribuzione del modulo di protezione hardware cloud di Azure.

Quale hardware viene usato per il modulo di protezione hardware cloud di Azure?

HSM cloud di Azure usa i moduli di sicurezza hardware Marvell LiquidSecurity. Per altre informazioni sulle specifiche del servizio, vedere Limiti del servizio HSM cloud di Azure.

Quale software viene fornito con il modulo di protezione hardware cloud di Azure?

Microsoft fornisce tutti i software e gli strumenti per il modulo di protezione hardware cloud di Azure tramite l'SDK. È possibile scaricare Azure Cloud HSM SDK da GitHub. Per altre informazioni sulle opzioni di integrazione, vedere Guide all'integrazione di HSM cloud di Azure.

È necessario gestire il firmware nel modulo di protezione hardware?

No, Microsoft supervisiona il firmware sull'hardware. Una terza parte (il produttore del modulo di protezione hardware) gestisce l'hardware. NIST valuta il firmware e deve firmarlo per garantire la conformità agli standard FIPS 140-3 Di livello 3. Per altre informazioni sulla gestione hardware, vedere Informazioni su HSM cloud di Azure.

Come si decide se usare il modulo di protezione hardware cloud di Azure o il modulo di protezione hardware gestito di Azure?

Azure offre più soluzioni per l'archiviazione e la gestione delle chiavi crittografiche nel cloud: Azure Key Vault (offerte standard e premium), modulo di protezione hardware gestito di Azure, modulo di protezione hardware cloud di Azure e modulo di protezione hardware di pagamento di Azure. Può essere travolgente per i clienti decidere quale soluzione è migliore per loro. Un diagramma di flusso, basato su requisiti generali comuni e scenari di gestione delle chiavi, è disponibile per aiutare i clienti a prendere questa decisione. Vedere Come scegliere la soluzione di gestione delle chiavi appropriata.

Quali scenari di utilizzo si adattano meglio al modulo di protezione hardware cloud di Azure?

Il modulo di protezione hardware cloud di Azure è più adatto per gli scenari di migrazione, quando si esegue la migrazione di applicazioni locali che usano già moduli di protezione hardware in Azure. Il modulo di protezione hardware cloud di Azure offre un'opzione a basso attrito per eseguire la migrazione ad Azure con modifiche minime all'applicazione.

Se le operazioni di crittografia vengono eseguite nel codice di un'applicazione in esecuzione in una macchina virtuale di Azure o in un'app Web, un'organizzazione può usare il modulo di protezione hardware cloud. In generale, il software con wrapping ridotto in esecuzione nei modelli IaaS (Infrastructure as a Service) che supportano moduli di protezione hardware come archivio chiavi può usare il modulo di protezione hardware cloud. Questo software include:

• Active Directory Certificate Services (AD CS).
• Offload SSL/TLS per NGINX e Apache.
• Strumenti e applicazioni usati per la firma dei documenti.
• Firma del codice.
• Applicazioni Java che richiedono un provider JCE (Java Cryptography Extension).
• Microsoft SQL Server TDE (IaaS) tramite Extensible Key Management (EKM).
• Oracle TDE.

Per altre informazioni sull'implementazione di questi scenari, vedere Guide all'integrazione del modulo di protezione hardware cloud di Azure.

Il modulo di protezione hardware cloud di Azure può ospitare i moduli di protezione hardware?

No Microsoft non supporta "Bring Your Own HSM". Il modulo di protezione hardware cloud di Azure non può ospitare dispositivi forniti dai clienti. Per altre informazioni sull'architettura del servizio, vedere Informazioni su HSM cloud di Azure.

È possibile eseguire la migrazione delle chiavi nel modulo di protezione hardware dedicato di Azure al modulo di protezione hardware cloud di Azure?

Sì, ma dipende dall'architettura e dalla configurazione. Se la distribuzione del modulo di protezione hardware dedicato è configurata in un raggruppamento a disponibilità elevata, non è possibile eseguire la migrazione delle chiavi. Il motivo è che l'esportazione delle chiavi è disabilitata per consentire la clonazione delle chiavi (raggruppamento a disponibilità elevata) e la modifica di tali attributi è un processo distruttivo. Se la distribuzione del modulo di protezione hardware dedicato è configurata in un raggruppamento a disponibilità elevata, è necessario creare nuove chiavi durante la migrazione al modulo di protezione hardware cloud di Azure. Per altre informazioni sulla gestione delle chiavi, vedere Gestione delle chiavi nel modulo di protezione hardware cloud di Azure.

Onboarding del cliente

Il modulo di protezione hardware cloud di Azure dispone di criteri monetari per l'onboarding?

No, il modulo di protezione hardware cloud di Azure non dispone di criteri monetari. L'onboarding del modulo di protezione hardware cloud di Azure è aperto a tutti i clienti. Per altre informazioni su come iniziare, vedere Guida all'onboarding di HSM cloud di Azure.

Fatturazione

Come viene addebitato e fatturato l'uso del modulo di protezione hardware cloud di Azure?

Viene addebitata una tariffa oraria per ogni cluster del modulo di protezione hardware cloud di Azure, costituito da tre nodi. Dopo aver effettuato il provisioning di una risorsa del modulo di protezione hardware cloud, rimane sempre attiva (sempre attiva). La fatturazione inizia quando si effettua il provisioning di una risorsa, anziché al termine dell'inizializzazione della risorsa modulo di protezione hardware. Per altre informazioni sulle opzioni di distribuzione, vedere Deploy Azure Cloud HSM by using PowerShell or Deploy Azure Cloud HSM by using the Azure Cloud HSM by using the Azure portal (Distribuire HSM cloud di Azure usando PowerShell o Distribuire HSM cloud di Azure tramite il portale di Azure).

Quali costi aggiuntivi potrebbero comportare con il servizio HSM cloud di Azure?

Il modulo di protezione hardware cloud di Azure richiede un'infrastruttura di rete, ad esempio una rete virtuale e un endpoint privato. Richiede anche risorse come le macchine virtuali per la configurazione del dispositivo. Queste risorse comportano costi aggiuntivi e non sono inclusi nei prezzi del servizio HSM cloud di Azure. Per altre informazioni sui requisiti di rete, vedere Sicurezza di rete per il modulo di protezione hardware cloud di Azure.

Il servizio HSM cloud di Azure ha un livello gratuito?

No, un livello gratuito non è disponibile per il modulo di protezione hardware cloud di Azure. Per altre informazioni sulle offerte di servizi, vedere Che cos'è il modulo di protezione hardware cloud di Azure?.

Interoperabilità

Quali sistemi operativi supporta Azure Cloud HSM SDK?

• Windows Server 2016, 2019 e 2022
• Linux (Ubuntu 20.04, Ubuntu 22.04, Ubuntu 24.04, RHEL 7, RHEL 8 e RHEL 9)
• CBL Mariner 2

Per altre informazioni sulla compatibilità e la risoluzione dei problemi, vedere Risolvere i problemi relativi al modulo di protezione hardware cloud di Azure.

Come si gestisce il modulo di protezione hardware cloud di Azure?

Per gestire la distribuzione del servizio, accedere al cluster HSM cloud di Azure tramite Secure Shell (SSH) e Azure Cloud HSM SDK da GitHub. Per altre informazioni sulle operazioni di gestione, vedere Gestione degli utenti in HSM cloud di Azure.

In che modo l'applicazione si connette al modulo di protezione hardware cloud di Azure?

Azure Cloud HSM SDK contiene software e strumenti per eseguire operazioni di crittografia all'interno delle applicazioni. HSM cloud di Azure supporta varie interfacce, tra cui PKCS#11, OpenSSL, JCE, provider di archiviazione chiavi (KSP) e API di crittografia: Next Generation (CNG). La gamma di strumenti nell'SDK consente un'interazione senza problemi con il modulo di protezione hardware.

È possibile scaricare Azure Cloud HSM SDK da GitHub. Per altre informazioni sui metodi di connettività, vedere Autenticazione nel modulo di protezione hardware cloud di Azure.

HSM cloud di Azure supporta l'autenticazione basata su password e basata su PED?

HSM cloud di Azure supporta solo l'autenticazione basata su password. Non supporta l'autenticazione tramite un dispositivo di immissione PIN (PED). Per altre informazioni sui metodi di autenticazione, vedere Autenticazione nel modulo di protezione hardware cloud di Azure.

Un'applicazione può connettersi al modulo di protezione hardware cloud di Azure da una rete virtuale diversa all'interno di un'area o in più aree?

Sì. Usare il peering di rete virtuale all'interno di un'area per stabilire la connettività tra reti virtuali. Per la connettività tra aree, usare il peering di rete virtuale globale o un gateway VPN. Per altre informazioni sulle configurazioni di rete, vedere Sicurezza di rete per il modulo di protezione hardware cloud di Azure.

Il modulo di protezione hardware cloud di Azure funziona con moduli di protezione hardware locali?

No Anche se il modulo di protezione hardware cloud di Azure non interagisce direttamente con moduli di protezione hardware locali, è possibile trasferire in modo sicuro chiavi esportabili tra il modulo di protezione hardware cloud di Azure e la maggior parte dei moduli di protezione hardware commerciali usando uno dei diversi metodi di wrapping delle chiavi supportati. Per altre informazioni sulla gestione delle chiavi, vedere Gestione delle chiavi nel modulo di protezione hardware cloud di Azure.

È possibile usare le chiavi archiviate nel modulo di protezione hardware cloud di Azure per crittografare i dati usati da altri servizi di Azure?

No I cluster HSM cloud di Azure sono accessibili solo dall'interno della rete virtuale. Per altre informazioni sulle limitazioni del servizio, vedere Che cos'è il modulo di protezione hardware cloud di Azure?.

È possibile usare HSM cloud di Azure con Microsoft Purview Customer Key, Azure Information Protection, Azure Data Lake Storage, Crittografia dischi di Azure o Crittografia archiviazione di Azure?

No Il provisioning del modulo di protezione hardware cloud di Azure viene effettuato direttamente nello spazio indirizzi IP privato, in modo che altri servizi di Azure o Microsoft non possano accedervi. Per altre informazioni sulle funzionalità e sulle limitazioni del servizio, vedere Informazioni su HSM cloud di Azure.

È possibile importare chiavi da moduli di protezione hardware locali esistenti in HSM cloud di Azure?

Sì. Sono disponibili più metodi per bring your own key (BYOK) e avere moduli di protezione hardware locali che consentono l'esportazione delle chiavi (wrapping della chiave). Per altre informazioni sulle operazioni di importazione delle chiavi, vedere Gestione delle chiavi in HSM cloud di Azure.

È possibile installare moduli di funzionalità nel modulo di protezione hardware cloud di Azure?

No Il servizio HSM cloud di Azure non supporta i moduli di funzionalità. Per altre informazioni sulle funzionalità del servizio, vedere Limiti del servizio HSM cloud di Azure.

È possibile aggiornare il certificato del proprietario della partizione dopo averlo caricato?

No Non è possibile modificare il certificato del proprietario della partizione dopo il caricamento. Se si carica PO.crt in errore, è necessario eliminare la risorsa del modulo di protezione hardware cloud di Azure e distribuirla di nuovo.

Continuità aziendale

È possibile ripristinare un backup nella risorsa del modulo di protezione hardware cloud di Azure di origine?

No Non è possibile ripristinare un backup nella risorsa HSM cloud di Azure di origine perché si trova in uno stato attivato. Per altre informazioni sulle operazioni di backup e ripristino, vedere Backup e ripristino in HSM cloud di Azure.

È possibile ripristinare un backup in un'altra risorsa del modulo di protezione hardware cloud di Azure di destinazione in stato attivato?

No HSM cloud di Azure non supporta il ripristino di un backup nel modulo di protezione hardware di origine o in qualsiasi risorsa del modulo di protezione hardware cloud già attivata. In caso contrario, l'operazione di ripristino avrà esito negativo e inserisce la risorsa HSM cloud di destinazione in uno stato non funzionale. Per altre informazioni sul processo di ripristino, vedere Linee guida per il ripristino per HSM cloud di Azure.

È possibile ripristinare un backup in un'altra risorsa del modulo di protezione hardware cloud di Azure in un'area diversa?

Sì. È possibile ripristinare un backup in un'altra risorsa del modulo di protezione hardware cloud di Azure in qualsiasi area, se la risorsa del modulo di protezione hardware cloud di destinazione non è in uno stato attivato. Per altre informazioni sul ripristino tra aree, vedere Ripristino tra aree per il modulo di protezione hardware cloud di Azure.

È possibile creare più di un'identità gestita per ogni cluster del modulo di protezione hardware cloud di Azure?

No Per ogni cluster HSM cloud di Azure è consentita una sola identità gestita. Per altre informazioni sulla gestione delle identità e degli accessi, vedere Applicare un'identità gestita e creare un account di archiviazione.

È possibile applicare autorizzazioni di lettura/scrittura più restrittive per l'origine e la destinazione per i backup?

Sì. Il ruolo di controllo degli accessi in base al ruolo minimo necessario è Collaboratore ai dati dei BLOB di archiviazione. È possibile limitare l'origine come di sola lettura, ma sono necessarie autorizzazioni di lettura/scrittura per la destinazione. Per altre informazioni sul controllo di accesso, vedere Applicare un'identità gestita e creare un account di archiviazione.

Sicurezza e conformità

Si condivide la risorsa del modulo di protezione hardware cloud di Azure con altri clienti di Azure?

No Con HSM cloud di Azure si ha accesso amministrativo esclusivo al modulo di protezione hardware come tenant singolo. Per altre informazioni sull'architettura del servizio, vedere Informazioni su HSM cloud di Azure.

Microsoft o chiunque si trova nelle chiavi di accesso Microsoft nella risorsa del modulo di protezione hardware cloud di Azure?

No Microsoft non ha accesso alle chiavi archiviate nei moduli di protezione hardware allocati dal cliente. Per altre informazioni sui controlli di sicurezza, vedere Proteggere la distribuzione del modulo di protezione hardware cloud di Azure.

In che modo Microsoft gestisce il modulo di protezione hardware senza avere accesso alle chiavi di crittografia?

Nell'architettura del modulo di protezione hardware cloud di Azure la separazione dei compiti e il controllo degli accessi in base al ruolo sono principi fondamentali. Microsoft non ha alcun controllo crittografico sui moduli di protezione hardware allocati dal cliente o controlla gli utenti del modulo di protezione hardware, oltre al proprio ruolo limitato come utente dell'appliance.

Microsoft dispone di autorizzazioni limitate per il modulo di protezione hardware. Queste autorizzazioni consentono il monitoraggio, la manutenzione dell'integrità e la disponibilità, i backup crittografati e l'estrazione e la pubblicazione di log di controllo non modificabili nella risorsa di archiviazione specificata dal cliente. Queste autorizzazioni non consentono a Microsoft di usare le chiavi di proprietà degli utenti di crittografia per eseguire operazioni di crittografia. Per altre informazioni sulla registrazione operativa, vedere Configurare ed eseguire query sulla registrazione degli eventi delle operazioni per il modulo di protezione hardware cloud di Azure.

Il modulo di protezione hardware cloud di Azure archivia i dati dei clienti?

No, il modulo di protezione hardware cloud di Azure non conserva i dati dei clienti. Tutti i materiali e i dati chiave sono ospitati nel modulo di protezione hardware del cliente. Ogni cluster HSM cloud di Azure è designato esclusivamente per un singolo cliente che ha il controllo amministrativo. Per altre informazioni sulla protezione dei dati, vedere Proteggere la distribuzione del modulo di protezione hardware cloud di Azure.

HSM cloud di Azure supporta FIPS 140-3 Livello 3?

Sì, il modulo di protezione hardware cloud di Azure offre moduli di protezione hardware convalidati per soddisfare gli standard FIPS 140-3 di livello 3. Per le procedure per verificare l'autenticità del modulo di protezione hardware, inclusa la verifica della certificazione FIPS 140-3 di livello 3 da NIST, vedere la guida all'onboarding. Per altre informazioni sulla conformità, vedere Che cos'è il modulo di protezione hardware cloud di Azure?.

HSM cloud di Azure supporta eIDAS?

Sì. Il modulo di protezione hardware cloud di Azure supporta la conformità eIDAS nello schema austriaco fornendo la gestione sicura delle chiavi, le operazioni di crittografia e l'hardware convalidato FIPS 140-3 livello 3 per soddisfare requisiti rigorosi per firme e sigilli elettronici qualificati, per garantire la conformità alle normative. Altre informazioni sono disponibili nel certificato QSCD. Per altre informazioni sugli standard di sicurezza, vedere Proteggere la distribuzione del modulo di protezione hardware cloud di Azure.

Cosa succede se qualcuno manomette l'hardware del modulo di protezione hardware?

HSM cloud di Azure incorpora meccanismi di rilevamento manomissione fisici e logici che avviano l'eliminazione della chiave (zeroizzazione) dell'hardware. Queste misure sono progettate per rilevare manomissioni se la barriera fisica è compromessa.

Inoltre, i moduli di protezione hardware sono protetti da attacchi di accesso di forza bruta. Il sistema blocca gli agenti di crittografia (CO) dopo un set di tentativi di accesso non riusciti. Analogamente, ripetuti tentativi non riusciti di accedere a un modulo di protezione hardware con credenziali dell'utente di crittografia (CU) comportano il blocco dell'utente. Un CO deve quindi sbloccare il CU. Lo sblocco di una CO richiede getChallenge e firma la sfida con PO.key tramite OpenSSL, seguito da unlockCO e changePswd comandi. Per altre informazioni sulle funzionalità di sicurezza, vedere Proteggere la distribuzione del modulo di protezione hardware cloud di Azure.

Assistenza

Come si ottiene il supporto per il modulo di protezione hardware cloud di Azure?

Microsoft facilita tutto il supporto per il modulo di protezione hardware cloud di Azure. Se si verificano problemi relativi a hardware, software, configurazione del modulo di protezione hardware o accesso alla rete, inviare una richiesta di supporto a Microsoft. Per altre informazioni sui problemi e le soluzioni comuni, vedere Risolvere i problemi relativi al modulo di protezione hardware cloud di Azure.

Come vengono usati i moduli di protezione hardware nel modulo di protezione hardware cloud di Azure?

I data center di Azure hanno controlli di sicurezza fisici e procedurali estesi. Inoltre, i moduli di protezione hardware nel modulo di protezione hardware cloud di Azure sono ospitati in un'area di accesso limitato del data center, con controlli di accesso fisico e video sorveglianza per una maggiore sicurezza. Per altre informazioni sulla sicurezza fisica, vedere Proteggere la distribuzione del modulo di protezione hardware cloud di Azure.

Microsoft può recuperare le chiavi se si perdono le credenziali per il modulo di protezione hardware?

No Microsoft non ha accesso alle chiavi o alle credenziali e non può recuperare le chiavi se si perdono le credenziali. Per altre informazioni sulla gestione delle credenziali, vedere Gestione degli utenti in HSM cloud di Azure.

Il modulo di protezione hardware cloud di Azure ha finestre di manutenzione pianificate?

No, anche se Microsoft potrebbe dover eseguire la manutenzione per gli aggiornamenti necessari o hardware difettoso. Inviamo una notifica ai clienti in anticipo se prevediamo un impatto. Per altre informazioni sulle considerazioni operative, vedere Proteggere la distribuzione del modulo di protezione hardware cloud di Azure.

Qual è il contratto di servizio per il modulo di protezione hardware cloud di Azure?

Per i contratti di servizio, vedere Contratti di servizio per i servizi online. Per altre informazioni sull'affidabilità del servizio, vedere Che cos'è il modulo di protezione hardware cloud di Azure?.

Trovare le risposte alle domande comuni sul modulo di protezione hardware cloud di Microsoft Azure.

Il modulo di protezione hardware cloud di Microsoft Azure è un servizio che fornisce archiviazione sicura per le chiavi crittografiche usando moduli di sicurezza hardware (HSM) che soddisfano lo standard di sicurezza FIPS 140-3 di livello 3. Si tratta di un servizio a disponibilità elevata gestita dal cliente e a tenant singolo conforme agli standard di settore.

HSM cloud di Azure supporta varie applicazioni, tra cui PKCS#11, l'offload di SECURE Sockets Layer (SSL) o l'elaborazione TLS (Transport Layer Security), la protezione della chiave privata dell'autorità di certificazione (CA) e transparent data encryption (TDE). Supporta anche la firma del documento e del codice.

HSM cloud di Azure offre disponibilità elevata e ridondanza raggruppando più moduli di protezione hardware in un cluster e sincronizzando automaticamente tra tre istanze del modulo di protezione hardware. Il cluster HSM supporta il bilanciamento del carico delle operazioni di crittografia. I backup periodici del modulo di protezione hardware consentono di garantire un ripristino dei dati sicuro e semplice. Per altre informazioni, vedere Che cos'è il modulo di protezione hardware cloud di Azure?.

Un modulo di protezione hardware (HSM) è un dispositivo di calcolo fisico progettato per proteggere e amministrare le chiavi crittografiche. All'interno dei moduli di protezione hardware, le chiavi vengono archiviate e usate in modo sicuro per le operazioni di crittografia. I moduli hardware antimanomissione e antimanomissione contribuiscono a garantire la riservatezza e l'integrità di tali chiavi. L'accesso alle chiavi è limitato alle applicazioni autenticate e autorizzate, pertanto il materiale della chiave rimane sempre entro il limite protetto del modulo di protezione hardware. Per altre informazioni, vedere Proteggere la distribuzione del modulo di protezione hardware cloud di Azure.

HSM cloud di Azure usa i moduli di sicurezza hardware Marvell LiquidSecurity. Per altre informazioni sulle specifiche del servizio, vedere Limiti del servizio HSM cloud di Azure.

Microsoft fornisce tutti i software e gli strumenti per il modulo di protezione hardware cloud di Azure tramite l'SDK. È possibile scaricare Azure Cloud HSM SDK da GitHub. Per altre informazioni sulle opzioni di integrazione, vedere Guide all'integrazione di HSM cloud di Azure.

No, Microsoft supervisiona il firmware sull'hardware. Una terza parte (il produttore del modulo di protezione hardware) gestisce l'hardware. NIST valuta il firmware e deve firmarlo per garantire la conformità agli standard FIPS 140-3 Di livello 3. Per altre informazioni sulla gestione hardware, vedere Informazioni su HSM cloud di Azure.

Azure offre più soluzioni per l'archiviazione e la gestione delle chiavi crittografiche nel cloud: Azure Key Vault (offerte standard e premium), modulo di protezione hardware gestito di Azure, modulo di protezione hardware cloud di Azure e modulo di protezione hardware di pagamento di Azure. Può essere travolgente per i clienti decidere quale soluzione è migliore per loro. Un diagramma di flusso, basato su requisiti generali comuni e scenari di gestione delle chiavi, è disponibile per aiutare i clienti a prendere questa decisione. Vedere Come scegliere la soluzione di gestione delle chiavi appropriata.

Il modulo di protezione hardware cloud di Azure è più adatto per gli scenari di migrazione, quando si esegue la migrazione di applicazioni locali che usano già moduli di protezione hardware in Azure. Il modulo di protezione hardware cloud di Azure offre un'opzione a basso attrito per eseguire la migrazione ad Azure con modifiche minime all'applicazione.

Se le operazioni di crittografia vengono eseguite nel codice di un'applicazione in esecuzione in una macchina virtuale di Azure o in un'app Web, un'organizzazione può usare il modulo di protezione hardware cloud. In generale, il software con wrapping ridotto in esecuzione nei modelli IaaS (Infrastructure as a Service) che supportano moduli di protezione hardware come archivio chiavi può usare il modulo di protezione hardware cloud. Questo software include:

• Active Directory Certificate Services (AD CS).
• Offload SSL/TLS per NGINX e Apache.
• Strumenti e applicazioni usati per la firma dei documenti.
• Firma del codice.
• Applicazioni Java che richiedono un provider JCE (Java Cryptography Extension).
• Microsoft SQL Server TDE (IaaS) tramite Extensible Key Management (EKM).
• Oracle TDE.

Per altre informazioni sull'implementazione di questi scenari, vedere Guide all'integrazione del modulo di protezione hardware cloud di Azure.

No Microsoft non supporta "Bring Your Own HSM". Il modulo di protezione hardware cloud di Azure non può ospitare dispositivi forniti dai clienti. Per altre informazioni sull'architettura del servizio, vedere Informazioni su HSM cloud di Azure.

Sì, ma dipende dall'architettura e dalla configurazione. Se la distribuzione del modulo di protezione hardware dedicato è configurata in un raggruppamento a disponibilità elevata, non è possibile eseguire la migrazione delle chiavi. Il motivo è che l'esportazione delle chiavi è disabilitata per consentire la clonazione delle chiavi (raggruppamento a disponibilità elevata) e la modifica di tali attributi è un processo distruttivo. Se la distribuzione del modulo di protezione hardware dedicato è configurata in un raggruppamento a disponibilità elevata, è necessario creare nuove chiavi durante la migrazione al modulo di protezione hardware cloud di Azure. Per altre informazioni sulla gestione delle chiavi, vedere Gestione delle chiavi nel modulo di protezione hardware cloud di Azure.

No, il modulo di protezione hardware cloud di Azure non dispone di criteri monetari. L'onboarding del modulo di protezione hardware cloud di Azure è aperto a tutti i clienti. Per altre informazioni su come iniziare, vedere Guida all'onboarding di HSM cloud di Azure.

Viene addebitata una tariffa oraria per ogni cluster del modulo di protezione hardware cloud di Azure, costituito da tre nodi. Dopo aver effettuato il provisioning di una risorsa del modulo di protezione hardware cloud, rimane sempre attiva (sempre attiva). La fatturazione inizia quando si effettua il provisioning di una risorsa, anziché al termine dell'inizializzazione della risorsa modulo di protezione hardware. Per altre informazioni sulle opzioni di distribuzione, vedere Deploy Azure Cloud HSM by using PowerShell or Deploy Azure Cloud HSM by using the Azure Cloud HSM by using the Azure portal (Distribuire HSM cloud di Azure usando PowerShell o Distribuire HSM cloud di Azure tramite il portale di Azure).

Il modulo di protezione hardware cloud di Azure richiede un'infrastruttura di rete, ad esempio una rete virtuale e un endpoint privato. Richiede anche risorse come le macchine virtuali per la configurazione del dispositivo. Queste risorse comportano costi aggiuntivi e non sono inclusi nei prezzi del servizio HSM cloud di Azure. Per altre informazioni sui requisiti di rete, vedere Sicurezza di rete per il modulo di protezione hardware cloud di Azure.

No, un livello gratuito non è disponibile per il modulo di protezione hardware cloud di Azure. Per altre informazioni sulle offerte di servizi, vedere Che cos'è il modulo di protezione hardware cloud di Azure?.

• Windows Server 2016, 2019 e 2022
• Linux (Ubuntu 20.04, Ubuntu 22.04, Ubuntu 24.04, RHEL 7, RHEL 8 e RHEL 9)
• CBL Mariner 2

Per altre informazioni sulla compatibilità e la risoluzione dei problemi, vedere Risolvere i problemi relativi al modulo di protezione hardware cloud di Azure.

Per gestire la distribuzione del servizio, accedere al cluster HSM cloud di Azure tramite Secure Shell (SSH) e Azure Cloud HSM SDK da GitHub. Per altre informazioni sulle operazioni di gestione, vedere Gestione degli utenti in HSM cloud di Azure.

Azure Cloud HSM SDK contiene software e strumenti per eseguire operazioni di crittografia all'interno delle applicazioni. HSM cloud di Azure supporta varie interfacce, tra cui PKCS#11, OpenSSL, JCE, provider di archiviazione chiavi (KSP) e API di crittografia: Next Generation (CNG). La gamma di strumenti nell'SDK consente un'interazione senza problemi con il modulo di protezione hardware.

È possibile scaricare Azure Cloud HSM SDK da GitHub. Per altre informazioni sui metodi di connettività, vedere Autenticazione nel modulo di protezione hardware cloud di Azure.

HSM cloud di Azure supporta solo l'autenticazione basata su password. Non supporta l'autenticazione tramite un dispositivo di immissione PIN (PED). Per altre informazioni sui metodi di autenticazione, vedere Autenticazione nel modulo di protezione hardware cloud di Azure.

Sì. Usare il peering di rete virtuale all'interno di un'area per stabilire la connettività tra reti virtuali. Per la connettività tra aree, usare il peering di rete virtuale globale o un gateway VPN. Per altre informazioni sulle configurazioni di rete, vedere Sicurezza di rete per il modulo di protezione hardware cloud di Azure.

No Anche se il modulo di protezione hardware cloud di Azure non interagisce direttamente con moduli di protezione hardware locali, è possibile trasferire in modo sicuro chiavi esportabili tra il modulo di protezione hardware cloud di Azure e la maggior parte dei moduli di protezione hardware commerciali usando uno dei diversi metodi di wrapping delle chiavi supportati. Per altre informazioni sulla gestione delle chiavi, vedere Gestione delle chiavi nel modulo di protezione hardware cloud di Azure.

No I cluster HSM cloud di Azure sono accessibili solo dall'interno della rete virtuale. Per altre informazioni sulle limitazioni del servizio, vedere Che cos'è il modulo di protezione hardware cloud di Azure?.

No Il provisioning del modulo di protezione hardware cloud di Azure viene effettuato direttamente nello spazio indirizzi IP privato, in modo che altri servizi di Azure o Microsoft non possano accedervi. Per altre informazioni sulle funzionalità e sulle limitazioni del servizio, vedere Informazioni su HSM cloud di Azure.

Sì. Sono disponibili più metodi per bring your own key (BYOK) e avere moduli di protezione hardware locali che consentono l'esportazione delle chiavi (wrapping della chiave). Per altre informazioni sulle operazioni di importazione delle chiavi, vedere Gestione delle chiavi in HSM cloud di Azure.

No Il servizio HSM cloud di Azure non supporta i moduli di funzionalità. Per altre informazioni sulle funzionalità del servizio, vedere Limiti del servizio HSM cloud di Azure.

No Non è possibile modificare il certificato del proprietario della partizione dopo il caricamento. Se si carica PO.crt in errore, è necessario eliminare la risorsa del modulo di protezione hardware cloud di Azure e distribuirla di nuovo.

No Non è possibile ripristinare un backup nella risorsa HSM cloud di Azure di origine perché si trova in uno stato attivato. Per altre informazioni sulle operazioni di backup e ripristino, vedere Backup e ripristino in HSM cloud di Azure.

No HSM cloud di Azure non supporta il ripristino di un backup nel modulo di protezione hardware di origine o in qualsiasi risorsa del modulo di protezione hardware cloud già attivata. In caso contrario, l'operazione di ripristino avrà esito negativo e inserisce la risorsa HSM cloud di destinazione in uno stato non funzionale. Per altre informazioni sul processo di ripristino, vedere Linee guida per il ripristino per HSM cloud di Azure.

Sì. È possibile ripristinare un backup in un'altra risorsa del modulo di protezione hardware cloud di Azure in qualsiasi area, se la risorsa del modulo di protezione hardware cloud di destinazione non è in uno stato attivato. Per altre informazioni sul ripristino tra aree, vedere Ripristino tra aree per il modulo di protezione hardware cloud di Azure.

No Per ogni cluster HSM cloud di Azure è consentita una sola identità gestita. Per altre informazioni sulla gestione delle identità e degli accessi, vedere Applicare un'identità gestita e creare un account di archiviazione.

Sì. Il ruolo di controllo degli accessi in base al ruolo minimo necessario è Collaboratore ai dati dei BLOB di archiviazione. È possibile limitare l'origine come di sola lettura, ma sono necessarie autorizzazioni di lettura/scrittura per la destinazione. Per altre informazioni sul controllo di accesso, vedere Applicare un'identità gestita e creare un account di archiviazione.

No Con HSM cloud di Azure si ha accesso amministrativo esclusivo al modulo di protezione hardware come tenant singolo. Per altre informazioni sull'architettura del servizio, vedere Informazioni su HSM cloud di Azure.

No Microsoft non ha accesso alle chiavi archiviate nei moduli di protezione hardware allocati dal cliente. Per altre informazioni sui controlli di sicurezza, vedere Proteggere la distribuzione del modulo di protezione hardware cloud di Azure.

Nell'architettura del modulo di protezione hardware cloud di Azure la separazione dei compiti e il controllo degli accessi in base al ruolo sono principi fondamentali. Microsoft non ha alcun controllo crittografico sui moduli di protezione hardware allocati dal cliente o controlla gli utenti del modulo di protezione hardware, oltre al proprio ruolo limitato come utente dell'appliance.

Microsoft dispone di autorizzazioni limitate per il modulo di protezione hardware. Queste autorizzazioni consentono il monitoraggio, la manutenzione dell'integrità e la disponibilità, i backup crittografati e l'estrazione e la pubblicazione di log di controllo non modificabili nella risorsa di archiviazione specificata dal cliente. Queste autorizzazioni non consentono a Microsoft di usare le chiavi di proprietà degli utenti di crittografia per eseguire operazioni di crittografia. Per altre informazioni sulla registrazione operativa, vedere Configurare ed eseguire query sulla registrazione degli eventi delle operazioni per il modulo di protezione hardware cloud di Azure.

No, il modulo di protezione hardware cloud di Azure non conserva i dati dei clienti. Tutti i materiali e i dati chiave sono ospitati nel modulo di protezione hardware del cliente. Ogni cluster HSM cloud di Azure è designato esclusivamente per un singolo cliente che ha il controllo amministrativo. Per altre informazioni sulla protezione dei dati, vedere Proteggere la distribuzione del modulo di protezione hardware cloud di Azure.

Sì, il modulo di protezione hardware cloud di Azure offre moduli di protezione hardware convalidati per soddisfare gli standard FIPS 140-3 di livello 3. Per le procedure per verificare l'autenticità del modulo di protezione hardware, inclusa la verifica della certificazione FIPS 140-3 di livello 3 da NIST, vedere la guida all'onboarding. Per altre informazioni sulla conformità, vedere Che cos'è il modulo di protezione hardware cloud di Azure?.

Sì. Il modulo di protezione hardware cloud di Azure supporta la conformità eIDAS nello schema austriaco fornendo la gestione sicura delle chiavi, le operazioni di crittografia e l'hardware convalidato FIPS 140-3 livello 3 per soddisfare requisiti rigorosi per firme e sigilli elettronici qualificati, per garantire la conformità alle normative. Altre informazioni sono disponibili nel certificato QSCD. Per altre informazioni sugli standard di sicurezza, vedere Proteggere la distribuzione del modulo di protezione hardware cloud di Azure.

HSM cloud di Azure incorpora meccanismi di rilevamento manomissione fisici e logici che avviano l'eliminazione della chiave (zeroizzazione) dell'hardware. Queste misure sono progettate per rilevare manomissioni se la barriera fisica è compromessa.

Inoltre, i moduli di protezione hardware sono protetti da attacchi di accesso di forza bruta. Il sistema blocca gli agenti di crittografia (CO) dopo un set di tentativi di accesso non riusciti. Analogamente, ripetuti tentativi non riusciti di accedere a un modulo di protezione hardware con credenziali dell'utente di crittografia (CU) comportano il blocco dell'utente. Un CO deve quindi sbloccare il CU. Lo sblocco di una CO richiede getChallenge e firma la sfida con PO.key tramite OpenSSL, seguito da unlockCO e changePswd comandi. Per altre informazioni sulle funzionalità di sicurezza, vedere Proteggere la distribuzione del modulo di protezione hardware cloud di Azure.

Microsoft facilita tutto il supporto per il modulo di protezione hardware cloud di Azure. Se si verificano problemi relativi a hardware, software, configurazione del modulo di protezione hardware o accesso alla rete, inviare una richiesta di supporto a Microsoft. Per altre informazioni sui problemi e le soluzioni comuni, vedere Risolvere i problemi relativi al modulo di protezione hardware cloud di Azure.

I data center di Azure hanno controlli di sicurezza fisici e procedurali estesi. Inoltre, i moduli di protezione hardware nel modulo di protezione hardware cloud di Azure sono ospitati in un'area di accesso limitato del data center, con controlli di accesso fisico e video sorveglianza per una maggiore sicurezza. Per altre informazioni sulla sicurezza fisica, vedere Proteggere la distribuzione del modulo di protezione hardware cloud di Azure.

No Microsoft non ha accesso alle chiavi o alle credenziali e non può recuperare le chiavi se si perdono le credenziali. Per altre informazioni sulla gestione delle credenziali, vedere Gestione degli utenti in HSM cloud di Azure.

No, anche se Microsoft potrebbe dover eseguire la manutenzione per gli aggiornamenti necessari o hardware difettoso. Inviamo una notifica ai clienti in anticipo se prevediamo un impatto. Per altre informazioni sulle considerazioni operative, vedere Proteggere la distribuzione del modulo di protezione hardware cloud di Azure.

Per i contratti di servizio, vedere Contratti di servizio per i servizi online. Per altre informazioni sull'affidabilità del servizio, vedere Che cos'è il modulo di protezione hardware cloud di Azure?.