Veelgestelde vragen

Een HSM (Hardware Security Module) is een fysiek computerapparaat dat wordt gebruikt voor het beveiligen en beheren van cryptografische sleutels. Sleutels die zijn opgeslagen in HSM's kunnen worden gebruikt voor cryptografische bewerkingen. Het sleutelmateriaal blijft veilig in manipulatiebestendige, manipulatie-duidelijke hardwaremodules. De HSM staat alleen geverifieerde en geautoriseerde toepassingen toe om de sleutels te gebruiken. Het sleutelmateriaal verlaat nooit de HSM-beveiligingsgrens.

Azure Dedicated HSM is een cloudservice die HSM's biedt die worden gehost in Azure-datacenters die rechtstreeks zijn verbonden met het virtuele netwerk van een klant. Deze HSM's zijn toegewezen Thales Luna 7 HSM-netwerkapparaten . Ze worden rechtstreeks geïmplementeerd in de privé-IP-adresruimte van een klant en Microsoft heeft geen toegang tot de cryptografische functionaliteit van de HSM's. Alleen de klant heeft volledige administratieve en cryptografische controle over deze apparaten. Klanten zijn verantwoordelijk voor het beheer van het apparaat en ze kunnen volledige activiteitenlogboeken rechtstreeks van hun apparaten ophalen. Toegewezen HSM's helpen klanten te voldoen aan nalevings-/wettelijke vereisten, zoals FIPS 140-2 Niveau 3, HIPAA, PCI-DSS en eIDAS en vele andere.

Klanten moeten beschikken over een toegewezen Microsoft Account Manager en voldoen aan de financiële vereiste van vijf miljoen ($ 5 miljoen) USD of meer aan totale vastgelegde Azure-omzet per jaar om in aanmerking te komen voor onboarding en gebruik van Azure Dedicated HSM.

Microsoft is een partnerschap aangegaan met Thales om de Azure Dedicated HSM-service te leveren. Het specifieke apparaat dat wordt gebruikt, is het Thales Luna 7 HSM-model A790. Dit apparaat biedt niet alleen fips 140-2 Level-3 gevalideerde firmware, maar biedt ook lage latentie, hoge prestaties en hoge capaciteit via 10 partities.

HSM's worden gebruikt voor het opslaan van cryptografische sleutels die worden gebruikt voor cryptografische functionaliteit, zoals TLS (transportlaagbeveiliging), het versleutelen van gegevens, PKI (openbare-sleutelinfrastructuur), DRM (Digital Rights Management) en het ondertekenen van documenten.

Klanten kunnen HSM's inrichten in specifieke regio's met behulp van PowerShell of de opdrachtregelinterface. De klant geeft aan met welk virtueel netwerk de HSM's worden verbonden en zodra de HSM's zijn ingericht, zijn de HSM's beschikbaar in het aangewezen subnet op toegewezen IP-adressen in de privé-IP-adresruimte van de klant. Vervolgens kunnen klanten verbinding maken met de HSM's met behulp van SSH voor apparaatbeheer en -beheer, HSM-clientverbindingen instellen, HSM's initialiseren, partities maken, definiëren en rollen toewijzen zoals partition officer, crypto officer en cryptogebruiker. Vervolgens gebruikt de klant door Thales geleverde HSM-clienthulpprogramma's/SDK/software om cryptografische bewerkingen uit te voeren vanuit hun toepassingen.

Thales levert alle software voor het HSM-apparaat zodra deze door Microsoft is ingericht. De software is beschikbaar via de Thales-klantondersteuningsportal. Klanten die de Toegewezen HSM-service gebruiken, moeten zijn geregistreerd voor Thales-ondersteuning en een klant-id hebben waarmee relevante software kan worden geopend en gedownload. De ondersteunde clientsoftware is versie 7.2, die compatibel is met de gevalideerde firmwareversie 7.0.3 van FIPS 140-2 Level 3.

Voor de volgende items worden extra kosten in rekening gebracht bij het gebruik van de toegewezen HSM-service.

• Het gebruik van een toegewezen on-premises back-upapparaat is haalbaar voor gebruik met een toegewezen HSM-service. Dit brengt echter extra kosten met zich mee en moet rechtstreeks van Thales worden opgehaald.
• Toegewezen HSM wordt geleverd met een licentie met 10 partities. Als een klant meer partities nodig heeft, worden hiervoor extra kosten in rekening gebracht voor extra licenties die rechtstreeks afkomstig zijn van Thales.
• Toegewezen HSM vereist netwerkinfrastructuur (VNET, VPN Gateway, enzovoort) en resources zoals virtuele machines voor apparaatconfiguratie. Voor deze extra resources worden extra kosten in rekening gebracht en deze zijn niet inbegrepen in de prijzen van de toegewezen HSM-service.

Nee. Azure Dedicated HSM biedt alleen HSM's met verificatie op basis van wachtwoorden.

Nee. Azure Dedicated HSM-service biedt geen ondersteuning voor functionaliteitsmodules.

Microsoft biedt alleen het Thales Luna 7 HSM-model A790 aan via de Toegewezen HSM-service en kan geen door de klant geleverde apparaten hosten.

De Azure Dedicated HSM-service maakt gebruik van Thales Luna 7 HSM's. Deze apparaten bieden geen ondersteuning voor HSM-specifieke functionaliteit voor betalingen (zoals pincode of EFT) of certificeringen. Als u wilt dat de Azure Dedicated HSM-service in de toekomst ondersteuning biedt voor HSM's voor betalingen, geeft u de feedback door aan uw Microsoft-accountvertegenwoordiger.

Vanaf oktober 2022 is dedicated HSM beschikbaar in de 22 hieronder vermelde regio's. Andere regio's zijn gepland en kunnen worden besproken via uw Microsoft-accountvertegenwoordiger.

• VS - oost
• VS - oost 2
• VS - west
• VS - west 2
• Canada - oost
• Canada - midden
• VS - zuid-centraal
• Azië - zuidoost
• India - centraal
• India - zuid
• Japan - oost
• Japan - west
• Europa - noord
• Europa -west
• Verenigd Koninkrijk Zuid
• Verenigd Koninkrijk West
• Australië - oost
• Australië - zuidoost
• Zwitserland - noord
• Zwitserland - west
• VS (overheid) - Virginia
• VS (overheid) - Texas

U gebruikt door Thales geleverde HSM-clienthulpprogramma's/SDK/software om cryptografische bewerkingen uit te voeren vanuit uw toepassingen. De software is beschikbaar via de Thales-klantondersteuningsportal. Klanten die de Toegewezen HSM-service gebruiken, moeten zijn geregistreerd voor Thales-ondersteuning en een klant-id hebben waarmee relevante software kan worden geopend en gedownload.

Ja, u moet VNET-peering binnen een regio gebruiken om connectiviteit tussen virtuele netwerken tot stand te brengen. Voor connectiviteit tussen regio's moet u VPN Gateway gebruiken.

Ja, u kunt on-premises HSM's synchroniseren met toegewezen HSM's. Punt-naar-punt-VPN- of punt-naar-site-connectiviteit kan worden gebruikt om verbinding te maken met uw on-premises netwerk.

Nee. Toegewezen HSM's van Azure zijn alleen toegankelijk vanuit uw virtuele netwerk.

Ja, als u on-premises Thales Luna 7 HSM's hebt. Er zijn meerdere methoden. Raadpleeg de Thales HSM-documentatie.

• Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
• Virtueel: VMware, Hyper-V, Xen, KVM

Voor hoge beschikbaarheid moet u de configuratie van uw HSM-clienttoepassing instellen voor het gebruik van partities van elke HSM. Raadpleeg de documentatie voor Thales HSM-clientsoftware.

Azure Dedicated HSM maakt gebruik van Thales Luna 7 HSM-model A790-apparaten en ze ondersteunen verificatie op basis van wachtwoorden.

PKCS#11, Java (JCA/JCE), Microsoft CAPI en CNG, OpenSSL

Ja. Neem contact op met uw Thales-vertegenwoordiger voor de juiste Thales-migratiehandleiding.

Nee. Azure Dedicated HSM-service biedt geen ondersteuning voor functionaliteitsmodules.

Azure Dedicated HSM is de juiste keuze voor ondernemingen die migreren naar on-premises Azure-toepassingen die gebruikmaken van HSM's. Toegewezen HSM's bieden een optie voor het migreren van een toepassing met minimale wijzigingen. Als cryptografische bewerkingen worden uitgevoerd in de code van de toepassing die wordt uitgevoerd in een Azure-VM of web-app, kunnen ze toegewezen HSM gebruiken. Over het algemeen kan verkleinde software die wordt uitgevoerd in IaaS-modellen (infrastructure as a service) die HSM's als sleutelarchief ondersteunen, gebruikmaken van Toegewezen HSM, zoals Traffic Manager voor keyless TLS, ADCS (Active Directory Certificate Services) of vergelijkbare PKI-hulpprogramma's, hulpprogramma's/toepassingen die worden gebruikt voor documentondertekening, codeondertekening of een SQL Server (IaaS) geconfigureerd met TDE (transparante databaseversleuteling) met hoofdsleutel in een HSM met behulp van een EKM-provider (extensible key management). Azure Key Vault is geschikt voor 'born-in-cloud'-toepassingen of voor versleutelings-at-rest-scenario's waarbij klantgegevens worden verwerkt door PaaS- (Platform as a Service) of SaaS-scenario's (Software as a Service), zoals Office 365 Customer Key, Azure Information Protection , Azure Disk Encryption, Azure Data Lake Store-versleuteling met door de klant beheerde sleutel, Azure Storage-versleuteling met door de klant beheerde sleutel en Azure SQL met door de klant beheerde sleutel.

Azure Dedicated HSM is het meest geschikt voor migratiescenario's. Dit betekent dat als u on-premises toepassingen migreert naar Azure die al gebruikmaken van HSM's. Dit biedt een lage wrijvingsoptie om naar Azure te migreren met minimale wijzigingen in de toepassing. Als cryptografische bewerkingen worden uitgevoerd in de code van de toepassing die wordt uitgevoerd in Azure VM of web-app, kan toegewezen HSM worden gebruikt. Over het algemeen kan software die wordt uitgevoerd in IaaS-modellen (infrastructuur als een service) die HSM's als een sleutelarchief ondersteunen, gebruikmaken van Toegewezen HSM, zoals:

• Traffic Manager voor Keyless TLS
• ADCS (Active Directory Certificate Services)
• Vergelijkbare PKI-hulpprogramma's
• Hulpprogramma's/toepassingen die worden gebruikt voor documentondertekening
• Ondertekening van code
• SQL Server (IaaS) geconfigureerd met TDE (transparent database encryption) met hoofdsleutel in een HSM met behulp van een EKM-provider (extensible key management)

Nee. Toegewezen HSM wordt rechtstreeks ingericht in de privé-IP-adresruimte van een klant, zodat deze niet toegankelijk is voor andere Azure- of Microsoft-services.

Ja. Elk HSM-apparaat is volledig toegewezen aan één klant en niemand anders heeft beheer na inrichting en het beheerderswachtwoord is gewijzigd.

Microsoft heeft geen beheer- of cryptografische controle over de HSM. Microsoft heeft toegang op bewakingsniveau via een seriële poortverbinding om basistelemetriegegevens op te halen, zoals temperatuur en onderdeelstatus. Hierdoor kan Microsoft proactieve meldingen geven over statusproblemen. Indien nodig kan de klant dit account uitschakelen.

Het HSM-apparaat wordt geleverd met een standaardgebruiker van beheerder met het gebruikelijke standaardwachtwoord. Microsoft wilde geen standaardwachtwoorden in gebruik hebben terwijl een apparaat in een groep wacht om te worden ingericht door klanten. Dit zou niet voldoen aan onze strenge beveiligingsvereisten. Daarom stellen we een sterk wachtwoord in, dat tijdens het inrichten wordt genegeerd. Tijdens het inrichten maken we ook een nieuwe gebruiker in de beheerdersrol met de naam 'tenantbeheerder'. Deze gebruiker heeft het standaardwachtwoord en klanten wijzigen dit als de eerste actie wanneer ze zich voor het eerst aanmelden bij het zojuist ingerichte apparaat. Dit proces zorgt voor een hoge mate van beveiliging en behoudt onze belofte van exclusieve administratieve controle voor onze klanten. Houd er rekening mee dat de gebruiker 'tenantbeheerder' kan worden gebruikt om het gebruikerswachtwoord van de beheerder opnieuw in te stellen als een klant dat account liever gebruikt.

Nee. Microsoft heeft geen toegang tot de sleutels die zijn opgeslagen in door de klant toegewezen HSM.

Nee. Azure Dedicated HSM is een baremetal-HSM voor leaseservice. Onze service slaat geen klantgegevens op. Alle belangrijke materialen en gegevens worden opgeslagen in het HSM-apparaat van de klant. Elk HSM-apparaat is volledig toegewezen aan één klant die volledig beheer heeft.

De klant heeft volledig beheer, inclusief het upgraden van software/firmware als specifieke functies vereist zijn van verschillende firmwareversies. Voordat u wijzigingen aanbrengt, neemt u contact op met Microsoft over uw upgrade door contact op te HSMRequest@microsoft.com

U kunt toegewezen HSM's beheren door ze te openen met behulp van SSH.

De Thales HSM-clientsoftware wordt gebruikt voor het beheren van de HSM's en partities.

Een klant heeft volledige toegang tot HSM-activiteitenlogboeken via syslog en SNMP. Een klant moet een syslog-server of SNMP-server instellen om de logboeken of gebeurtenissen van de HSM's te ontvangen.

Ja. U kunt logboeken van het HSM-apparaat verzenden naar een Syslog-server

Ja. Configuratie en installatie met hoge beschikbaarheid worden uitgevoerd in de HSM-clientsoftware van Thales. HSM's van hetzelfde VNET of andere VNET's in dezelfde regio of in meerdere regio's, of on-premises HSM's die zijn verbonden met een VNET met behulp van site-naar-site of punt-naar-punt-VPN, kunnen worden toegevoegd aan dezelfde configuratie voor hoge beschikbaarheid. Merk op dat hiermee alleen sleutelmateriaal wordt gesynchroniseerd en niet specifieke configuratie-items zoals rollen.

Ja. Ze moeten voldoen aan de hoge beschikbaarheidsvereisten voor Thales Luna 7 HSM's

Nee.

16 leden van een HA-groep hebben een under-gone, full-throttle testen met uitstekende resultaten.

Er is geen specifieke uptime-garantie voor de toegewezen HSM-service. Microsoft zorgt voor toegang op netwerkniveau tot het apparaat en daarom zijn standaard Azure-netwerk-SLA's van toepassing.

Azure-datacenters hebben uitgebreide fysieke en procedurele beveiligingscontroles. Daarnaast worden toegewezen HSM's gehost in een verder beperkt toegangsgebied van het datacenter. Deze gebieden hebben extra fysieke toegangscontroles en videocamerabewaking voor extra beveiliging.

De toegewezen HSM-service maakt gebruik van Thales Luna 7 HSM-apparaten . Deze apparaten ondersteunen fysieke en logische manipulatiedetectie. Als er ooit een manipulatiegebeurtenis plaatsvindt, worden de HSM's automatisch nul gemaakt.

Het wordt ten zeerste aanbevolen om een on-premises HSM-back-upapparaat te gebruiken om regelmatig periodieke back-ups van de HSM's uit te voeren voor herstel na noodgevallen. U moet een peer-to-peer- of site-naar-site-VPN-verbinding gebruiken met een on-premises werkstation dat is verbonden met een HSM-back-upapparaat.

Ondersteuning wordt geboden door zowel Microsoft als Thales. Als u een probleem hebt met de hardware- of netwerktoegang, dient u een ondersteuningsaanvraag in bij Microsoft. Als u een probleem hebt met de configuratie van de HSM, dienen software en toepassingsontwikkeling een ondersteuningsaanvraag in bij Thales. Als u een onbepaald probleem hebt, dient u een ondersteuningsaanvraag in bij Microsoft. Vervolgens kan Thales indien nodig worden ingeschakeld.

Nadat u zich hebt geregistreerd voor de service, wordt er een Thales-klant-id opgegeven waarmee u zich kunt registreren in de Thales-klantondersteuningsportal. Hierdoor krijgt u toegang tot alle software en documentatie en worden ondersteuningsaanvragen rechtstreeks met Thales ingeschakeld.

Microsoft heeft niet de mogelijkheid om verbinding te maken met HSM's die zijn toegewezen aan klanten. Klanten moeten hun HSM's upgraden en patchen.

De HSM heeft een optie voor opnieuw opstarten vanaf de opdrachtregel. Er zijn echter problemen waarbij het opnieuw opstarten af en toe niet meer reageert. Daarom wordt het aanbevolen voor de veiligste herstart een ondersteuningsaanvraag bij Microsoft in te dienen om het apparaat fysiek opnieuw op te starten.

Ja, toegewezen HSM richt Thales Luna 7 HSM's in die zijn gevalideerd met FIPS 140-2 Level-3 .

Toegewezen HSM-service levert Thales Luna 7 HSM-apparaten. Ze ondersteunen een breed scala aan cryptografische sleuteltypen en -algoritmen, waaronder: Volledige suite B-ondersteuning

• Asymmetrische:
  • RSA
  • DSA
  • Diffie-Hellman
  • Elliptische curve
  • Cryptografie (ECDSA, ECDH, Ed25519, ECIES) met benoemde, door de gebruiker gedefinieerde en Brainpool-curven, KCDSA
• Symmetrische:
  • AES-GCM
  • Driedubbele DES
  • DES
  • ARIA, SEED
  • RC2
  • RC4
  • RC5
  • CAST
  • Hash/Message Digest/HMAC: SHA-1, SHA-2, SM3
  • Sleutel afleiding: SP 800-108 tellermodus
  • Sleutelterugloop: SP 800-38F
  • Random Number Generation: FIPS 140-2 approved DRBG (SP 800-90 CTR mode), conform BSI DRG.4

Ja. Toegewezen HSM-service richt Thales Luna 7 HSM-model A790-apparaten in die zijn gevalideerd met FIPS 140-2 Level-3 .

De Dedicated HSM-service levert Thales Luna 7 HSM-apparaten. Deze apparaten zijn met FIPS 140-2 Niveau 3 gevalideerde HSM's. De standaard geïmplementeerde configuratie, het besturingssysteem en de firmware worden ook door FIPS gevalideerd. U hoeft geen actie te ondernemen voor FIPS 140-2 Level 3-naleving.

Voordat de inrichting ongedaan wordt gemaakt, moet een klant de HSM hebben genuliseerd met behulp van door Thales geleverde HSM-clienthulpprogramma's.

Toegewezen HSM richt Thales Luna 7 HSM's in. Hier volgt een overzicht van de maximale prestaties voor sommige bewerkingen:

• RSA-2048: 10.000 transacties per seconde
• ECC P256: 20.000 transacties per seconde
• AES-GCM: 17.000 transacties per seconde

Het Thales Luna 7 HSM-model A790 dat wordt gebruikt, bevat een licentie voor 10 partities in de kosten van de service. Het apparaat heeft een limiet van 100 partities en het toevoegen van partities tot deze limiet zou extra licentiekosten met zich meebrengen en de installatie van een nieuw licentiebestand op het apparaat vereisen.

Het maximum aantal sleutels is een functie van het beschikbare geheugen. Het Thales Luna 7 model A790 in gebruik heeft 32 MB geheugen. De volgende getallen zijn ook van toepassing op sleutelparen als asymmetrische sleutels worden gebruikt.

• RSA-2048 - 19.000
• ECC-P256 - 91.000

De capaciteit is afhankelijk van specifieke sleutelkenmerken die zijn ingesteld in de sjabloon voor het genereren van sleutels en het aantal partities.