Domande frequenti

Un modulo di protezione hardware (HSM) è un dispositivo di elaborazione fisico usato per proteggere e gestire chiavi crittografiche. Le chiavi archiviate nei moduli di protezione hardware possono essere usate per operazioni di crittografia. Il materiale delle chiavi rimane protetto all'interno di moduli hardware antimanomissione. Il modulo di protezione hardware consente di usare le chiavi solo alle applicazioni autenticate e autorizzate. Il materiale della chiave non lascia mai i limiti di protezione del modulo di protezione hardware.

HSM dedicato di Azure è un servizio basato su cloud che fornisce moduli di protezione hardware ospitati in data center di Azure connessi direttamente alla rete virtuale dei clienti. Questi moduli di protezione hardware sono appliance di rete HSM Thales Luna 7 dedicate. Vengono distribuiti direttamente nello spazio di indirizzi IP privato del cliente e Microsoft non ha alcun accesso alla funzionalità di crittografia dei moduli di protezione hardware. Solo il cliente ha il controllo amministrativo e crittografico completo sui dispositivi. I clienti sono responsabili della gestione del dispositivo e possono ottenere log attività completi direttamente dai propri dispositivi. I moduli di protezione hardware dedicati consentono ai clienti di rispettare i requisiti di conformità e normativi, tra cui FIPS 140-2 Livello 3, HIPAA, PCI-DSS, eIDAS e molti altri.

I clienti devono avere un account manager Microsoft assegnato e soddisfare il requisito monetario di cinque milioni ($ 5M) USD o superiore nei ricavi complessivi di Azure impegnati annualmente per qualificarsi per l'onboarding e l'uso di HSM dedicato di Azure.

Microsoft ha collaborato con Thales per fornire il servizio HSM dedicato di Azure. Il dispositivo specifico usato è HSM Thales Luna 7 modello A790. Questo dispositivo non solo fornisce firmware convalidato FIPS 140-2 Livello 3, ma offre anche bassa latenza, prestazioni elevate e capacità elevata tramite 10 partizioni.

I moduli di protezione hardware servono per l'archiviazione delle chiavi crittografiche usate per la funzionalità di crittografia, tra cui TLS (Transport Layer Security), crittografia di dati, infrastruttura a chiave pubblica (PKI), DRM (Digital Rights Management) e firma di documenti.

I clienti possono effettuare il provisioning di moduli di protezione hardware in aree specifiche usando PowerShell o l'interfaccia della riga di comando. Il cliente specifica a quale rete virtuale verranno connessi i moduli di protezione hardware e, dopo il provisioning, questi saranno disponibili nella subnet dedicata in corrispondenza degli indirizzi IP assegnati nello spazio indirizzi IP privato del cliente. I clienti possono quindi connettersi ai moduli di protezione hardware usando lo strumento SSH per la gestione e l'amministrazione delle appliance, per configurare le connessioni client HSM, inizializzare moduli di protezione hardware, creare partizioni, definire e assegnare ruoli tra cui responsabile delle partizioni, responsabile della crittografia e utente della crittografia. Il cliente userà poi gli strumenti, l'SDK o il software del client HSM forniti da Thales per eseguire operazioni crittografiche dalle proprie applicazioni.

Thales fornisce tutto il software per il dispositivo HSM dopo il provisioning da parte di Microsoft. Il software è disponibile presso il portale di assistenza clienti di Thales. I clienti che usano il servizio HSM dedicato devono registrarsi per il supporto Thales e avere un ID cliente che consenta l'accesso e il download del software pertinente. Il software client supportato è la versione 7.2, compatibile con il firmware convalidato FIPS 140-2 Livello 3 versione 7.0.3.

Gli elementi seguenti comportano costi aggiuntivi quando si usa il servizio HSM dedicato.

• L'uso di un dispositivo di backup locale dedicato è possibile con il servizio HSM dedicato, ma prevede un costo aggiuntivo e deve essere direttamente fornito da Thales.
• Il servizio HSM dedicato viene fornito con una licenza per 10 partizioni. Se un cliente richiede più partizioni, verranno addebitati ulteriori costi per le licenze aggiuntive fornite direttamente da Thales.
• Il servizio HSM dedicato richiede un'infrastruttura di rete (rete virtuale, gateway VPN e così via) e risorse come macchine virtuali per la configurazione dei dispositivi. Queste risorse aggiuntive comportano l'addebito di ulteriori costi e non sono incluse nei prezzi del servizio HSM dedicato.

No. Il modulo di protezione hardware dedicato di Azure fornisce solo moduli di protezione hardware con autenticazione basata su password.

No. Il servizio HSM dedicato di Azure non supporta i moduli di funzionalità.

Microsoft offre solo il dispositivo HSM Thales Luna 7 modello A790 mediante il servizio HSM dedicato e non può ospitare dispositivi forniti dai clienti.

Il servizio HSM dedicato di Azure usa i moduli di protezione hardware Thales Luna 7. Questi dispositivi non supportano le certificazioni o le funzionalità specifiche del modulo di protezione hardware per i pagamenti (come PIN o ETF). Se si desidera che il servizio HSM dedicato di Azure supporti i moduli di protezione hardware di pagamento in futuro, trasmettere un feedback al rappresentante dell'account Microsoft.

A partire da ottobre 2022, HSM dedicato è disponibile nelle 22 aree elencate di seguito. È pianificata la disponibilità di altre aree ed è possibile comunicare le proprie esigenze in tal senso al rappresentante dell'account Microsoft di riferimento.

• Stati Uniti orientali
• Stati Uniti orientali 2
• Stati Uniti occidentali
• Stati Uniti occidentali 2
• Canada orientale
• Canada centrale
• Stati Uniti centro-meridionali
• Asia sud-orientale
• India centrale
• India meridionale
• Giappone orientale
• Giappone occidentale
• Europa settentrionale
• Europa occidentale
• Regno Unito meridionale
• Regno Unito occidentale
• Australia orientale
• Australia sud-orientale
• Svizzera settentrionale
• Svizzera occidentale
• US Gov Virginia
• US Gov Texas

Si usano gli strumenti, l'SDK o il software del client HSM forniti da Thales per eseguire operazioni crittografiche dalle proprie applicazioni. Il software è disponibile presso il portale di assistenza clienti di Thales. I clienti che usano il servizio HSM dedicato devono registrarsi per il supporto Thales e avere un ID cliente che consenta l'accesso e il download del software pertinente.

Sì, è necessario usare il peering reti virtuali all'interno di un'area per stabilire la connettività tra reti virtuali. Per la connettività tra più aree, è necessario usare il servizio Gateway VPN.

Sì, è possibile sincronizzare i moduli di protezione hardware locali con HSM dedicato. Per stabilire la connettività con la rete locale si può usare la connettività VPN da punto a punto o da punto a sito.

No. I moduli di protezione hardware dedicati di Azure sono accessibili solo dall'interno della propria rete virtuale.

Sì, se sono disponibili moduli di protezione hardware Thales Luna 7 locali. Esistono vari metodi. Vedere la documentazione del modulo di protezione hardware Thales.

• Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
• Virtuali: VMware, Hyper-V, Xen, KVM

Per ottenere la disponibilità elevata, è necessario impostare la configurazione dell'applicazione client HSM in modo da usare partizioni da ogni modulo di protezione hardware. Vedere la documentazione del software client HSM Thales.

HSM dedicato di Azure usa dispositivi HSM Thales Luna 7 modello A790, che supportano l'autenticazione basata su password.

PKCS#11, Java (JCA/JCE), Microsoft CAPI e CNG, OpenSSL

Sì. Contattare il rappresentante Thales per la guida alla migrazione appropriata per Thales.

No. Il servizio HSM dedicato di Azure non supporta i moduli di funzionalità.

HSM dedicato di Azure è la scelta più appropriata per le aziende che eseguono la migrazione ad applicazioni locali di Azure che usano moduli di protezione hardware. HSM dedicato offre un'opzione per eseguire la migrazione di un'applicazione con modifiche minime. Se le operazioni di crittografia vengono eseguite nel codice dell'applicazione in esecuzione in una macchina virtuale o un'app Web di Azure, possono usare HSM dedicato. In generale, il software con wrapping ridotto in esecuzione nei modelli IaaS (infrastruttura come servizio) che supportano hSM come archivio chiavi può usare Dedicato HSM, ad esempio gestione traffico per TLS senza chiave, ADCS (Servizi certificati Active Directory) o strumenti PKI simili, strumenti/applicazioni usati per la firma del documento, la firma del codice o un SQL Server (IaaS) configurato con TDE (transparent database encryption) con chiave master in un modulo di protezione hardware usando un provider EKM (Estendibile chiave di gestione delle chiavi). Azure Key Vault è adatto per le applicazioni cloud native o per la crittografia di dati inattivi, in cui i dati del cliente vengano elaborati in scenari PaaS (piattaforma distribuita come servizio) o SaaS (software come un servizio), ad esempio Customer Key di Office 365, Azure Information Protection, Crittografia dischi di Azure, crittografia di Azure Data Lake Store con chiave gestita dal cliente, crittografia di Archiviazione di Azure con chiave gestita dal cliente e SQL di Azure con chiave gestita dal cliente.

HSM dedicato di Azure è ideale per gli scenari di migrazione, vale a dire se si esegue la migrazione in Azure di applicazioni locali che già usano moduli di protezione hardware. Questo offre un'opzione a impatto ridotto per la migrazione in Azure con modifiche minime all'applicazione. Se le operazioni di crittografia vengono eseguite nel codice dell'applicazione in esecuzione in una macchina virtuale o un'app Web di Azure, è possibile usare HSM dedicato. In generale, il software con wrapping ridotto in esecuzione nei modelli IaaS (infrastruttura come servizio) che supportano HSMS come archivio chiavi può usare Dedicato HSM, ad esempio:

• Gestione traffico per TLS senza chiave
• ADCS (Servizi certificati Active Directory)
• Strumenti PKI simili
• Strumenti/applicazioni usate per la firma di documenti
• Firma del codice
• SQL Server (IaaS) configurato con TDE (Transparent Data Encryption) con chiave master in un modulo di protezione hardware che usa un provider EKM (Extensible Key Management)

No. Il provisioning di HSM dedicato viene effettuato direttamente nello spazio indirizzi IP privati del cliente, dunque non è accessibile da altri servizi di Azure o Microsoft.

Sì. Ogni appliance HSM è completamente dedicata a un singolo cliente e nessun altro ha il controllo amministrativo su di essa una volta effettuato il provisioning e cambiata la password dell'amministratore.

Microsoft non ha alcun controllo amministrativo o crittografico sui moduli di protezione hardware. Ha accesso a livello di monitoraggio attraverso una connessione alla porta seriale per recuperare dati di telemetria di base, ad esempio temperatura e integrità dei componenti. Questo consente a Microsoft di fornire la notifica tempestiva di eventuali problemi di integrità. Se necessario, il cliente può disabilitare questo account.

Il dispositivo HSM viene fornito con un utente amministratore predefinito con la password predefinita consueta. Microsoft ha preferito evitare di usare password predefinite mentre i dispositivi si trovano in un pool in attesa del provisioning da parte dei clienti, in quanto questo non soddisfa i rigidi requisiti di sicurezza di Microsoft. Per questo motivo, viene impostata una password complessa, successivamente rimossa in fase di provisioning. Inoltre, in fase di provisioning viene creato un nuovo utente nel ruolo amministratore denominato "amministratore tenant". A questo utente è associata la password predefinita che i clienti modificheranno al primo accesso al dispositivo di cui è stato appena effettuato il provisioning. Questo processo garantisce livelli elevati di sicurezza e mantiene la promessa di controllo amministrativo esclusivo per i clienti. Si noti che l'utente "amministratore tenant" può essere usato per reimpostare la password dell'utente amministratore se un cliente preferisce usare tale account.

No. Microsoft non ha alcun accesso alle chiavi archiviate nei moduli di protezione hardware dedicati allocati ai clienti.

No. HSM dedicato di Azure è un HSM baremetal per il servizio di lease. Il nostro servizio non archivia i dati dei clienti. Tutti i materiali e i dati chiave vengono archiviati nell'appliance HSM dei clienti. Ogni appliance HSM è completamente dedicata a un singolo cliente che ha il controllo amministrativo completo.

Il cliente ha il controllo amministrativo completo, incluso l'aggiornamento del software/firmware se sono necessarie funzionalità specifiche di versioni del firmware diverse. Prima di apportare modifiche, contattare Microsoft per informazioni sull'aggiornamento all'indirizzo HSMRequest@microsoft.com

È possibile gestire i moduli di protezione hardware dedicati accedendovi tramite SSH.

Per gestire le partizioni e i moduli di protezione hardware si usa il software client HSM Thales.

Un cliente ha accesso completo ai log attività del proprio modulo di protezione hardware tramite SNMP e syslog. Per ricevere i log o gli eventi dai moduli di protezione hardware dovrà configurare un server syslog o SNMP.

Sì. È possibile inviare i log dall'appliance HSM a un server syslog

Sì. L'installazione e la configurazione della disponibilità elevata vengono eseguite nel software client HSM fornito da Thales. È possibile aggiungere alla stessa configurazione con disponibilità elevata i moduli di protezione hardware nella stessa rete virtuale o in altre reti virtuali nella stessa area o in aree geografiche diverse oppure i moduli di protezione hardware locali connessi a una rete virtuale usando una VPN da sito a sito o da punto a punto. Si noti che in questo modo viene sincronizzato solo il materiale della chiave e non elementi di configurazione specifici, ad esempio i ruoli.

Sì. I moduli devono soddisfare i requisiti di disponibilità elevata per i moduli di protezione hardware Thales Luna 7

No.

16 membri di un gruppo a disponibilità elevata sono stati sottoposti a test di limitazione completa con risultati eccellenti.

Non è prevista alcuna garanzia di tempo di attività specifica per il servizio HSM dedicato. Microsoft garantirà l'accesso a livello di rete al dispositivo e quindi sono applicabili i contratti di servizio standard della rete di Azure.

I data center di Azure dispongono di controlli di sicurezza fisici e procedurali completi. Oltre a questo, i moduli di protezione hardware dedicati sono ospitati in un'area del data center con accesso soggetto a restrizioni. Queste aree hanno ulteriori controlli di accesso fisico e videocamere di sorveglianza per una maggiore sicurezza.

Il servizio HSM dedicato usa appliance modulo di protezione hardware Thales Luna 7. Questi dispositivi supportano il rilevamento di manomissioni fisiche e logiche. Se si verificasse un evento di manomissione, i moduli di protezione hardware verrebbero automaticamente impostati su zero.

È altamente consigliabile usare un dispositivo di backup HSM locale per eseguire regolari backup periodici dei moduli di protezione hardware a scopi di ripristino di emergenza. È necessario usare una connessione peer-to-peer o VPN da sito a sito a una workstation locale connessa al dispositivo HSM di backup.

Il supporto è fornito sia da Microsoft che da Thales. Se si verifica un problema con l'hardware o l'accesso alla rete, inviare una richiesta di supporto a Microsoft e se si verifica un problema con la configurazione del modulo di protezione hardware, il software e lo sviluppo di applicazioni, inviare una richiesta di supporto a Thales. Se si verifica un problema indeterminato, inviare una richiesta di supporto a Microsoft, che coinvolgerà Thales in base alle esigenze.

Dopo la registrazione per il servizio, verrà fornito un ID cliente Thales che consente la registrazione nel portale di assistenza clienti di Thales. In questo modo sarà possibile accedere a tutto il software e alla documentazione, nonché abilitare le richieste di supporto direttamente con Thales.

Microsoft non ha la possibilità di connettersi ai moduli di protezione hardware allocati ai clienti. I clienti devono eseguire l'aggiornamento e applicare le patch ai propri moduli di protezione hardware.

Il modulo di protezione hardware dispone di un'opzione di riavvio dalla riga di comando, ma sono stati riscontrati problemi, in quanto il riavvio smette di rispondere in modo intermittente e per questo motivo per un riavvio più sicuro è consigliabile inviare una richiesta di supporto a Microsoft per richiedere il riavvio fisico del dispositivo.

Sì, il servizio HSM dedicato effettua il provisioning dei moduli di protezione hardware Thales Luna 7 convalidati in base allo standard FIPS 140-2 Livello 3.

Il servizio HSM dedicato effettua il provisioning di appliance modulo di protezione hardware Thales Luna 7. Queste supportano un'ampia gamma di tipi di algoritmi e chiavi di crittografia, incluso il supporto completo di Suite B

• Asimmetrica:
  • RSA
  • DSA
  • Diffie-Hellman
  • Curva ellittica
  • Crittografia (ECDSA, ECDH, Ed25519, ECIES) con curve denominate, definite dall'utente e Brainpool, KCDSA
• Simmetrica:
  • AES-GCM
  • Triple DES
  • DES
  • ARIA, SEED
  • RC2
  • RC4
  • RC5
  • CAST
  • Hash/Digest del messaggio/HMAC: SHA-1, SHA-2, SM3
  • Derivazione chiave: SP 800-108 modalità contatore
  • Wrapping della chiave: SP 800-38F
  • Generazione di numeri casuali: DRBG approvato FIPS 140-2 (SP 800-90 modalità CTR), conforme a BSI DRG.4

Sì. Il servizio HSM dedicato effettua il provisioning di appliance HSM Thales Luna 7 modello A790 convalidate in base allo standard FIPS 140-2 Livello 3.

Il servizio HSM dedicato effettua il provisioning di appliance modulo di protezione hardware Thales Luna 7. Questi dispositivi sono moduli di protezione hardware convalidati in base agli standard FIPS 140-2 Livello 3. La configurazione predefinita distribuita, il sistema operativo e il firmware sono anch'essi convalidati FIPS. Non è richiesta alcuna azione per la conformità a FIPS 140-2 Livello 3.

Prima di richiedere il deprovisioning, il cliente deve azzerare il modulo di protezione hardware usando gli strumenti del client HSM forniti da Thales.

Il servizio HSM dedicato effettua il provisioning di moduli di protezione hardware Thales Luna 7. Ecco un riepilogo delle prestazioni massime per alcune operazioni:

• RSA-2048: 10.000 transazioni al secondo
• ECC P256: 20.000 transazioni al secondo
• AES-GCM: 17.000 transazioni al secondo

Il modulo di protezione hardware Thales Luna 7 modello A790 include una licenza per 10 partizioni nel costo del servizio. Il dispositivo prevede un limite di 100 partizioni e l'aggiunta di partizioni fino a questo limite comporta costi di licenza aggiuntivi, oltre a richiedere l'installazione di un nuovo file di licenza nel dispositivo.

Il numero massimo di chiavi è una funzione della memoria disponibile. Il dispositivo Thales Luna 7 modello A790 in uso dispone di 32 MB di memoria. Se si usano chiavi asimmetriche, i numeri seguenti sono applicabili anche a coppie di chiavi.

• RSA-2048 - 19.000
• ECC-P256 - 91.000

La capacità varia in base agli specifici attributi delle chiavi impostati nel modello di generazione chiavi e al numero di partizioni.