Często zadawane pytania

Sprzętowy moduł zabezpieczeń (HSM) to urządzenie fizyczne używane do ochrony kluczy kryptograficznych i zarządzania nimi. Klucze przechowywane w modułach HSM mogą być używane na potrzeby operacji kryptograficznych. Materiał klucza pozostaje bezpieczny w modułach sprzętowych odpornych na manipulacje, które są widoczne dla manipulacji. Moduł HSM zezwala na używanie kluczy tylko uwierzytelnionych i autoryzowanych aplikacji. Dane dotyczące klucza nigdy nie opuszczają granic zabezpieczeń modułu HSM.

Dedykowany moduł HSM platformy Azure to oparta na chmurze usługa, która udostępnia moduły HSM hostowane w centrach danych platformy Azure, które są bezpośrednio połączone z siecią wirtualną klienta. Te moduły HSM są dedykowanymi urządzeniami sieciowymi Firmy Thales Luna 7 HSM . Są one wdrażane bezpośrednio w prywatnej przestrzeni adresowej IP klientów, a firma Microsoft nie ma dostępu do funkcji kryptograficznych modułów HSM. Tylko klient ma pełną kontrolę administracyjną i kryptograficzną nad tymi urządzeniami. Klienci są odpowiedzialni za zarządzanie urządzeniem i mogą uzyskać pełne dzienniki aktywności bezpośrednio z urządzeń. Dedykowane moduły HSM pomagają klientom spełnić wymagania dotyczące zgodności/przepisów, takie jak FIPS 140-2 Poziom 3, HIPAA, PCI-DSS i eIDAS oraz wiele innych.

Klienci muszą mieć przypisanego Menedżera kont Microsoft i spełnić wymóg pieniężny w wysokości 5 milionów USD (5 mln USD) lub większy w ogólnym zatwierdzonym przychód platformy Azure rocznie, aby kwalifikować się do dołączania i korzystania z dedykowanego modułu HSM platformy Azure.

Firma Microsoft współpracuje z firmą Thales w celu dostarczania dedykowanego modułu HSM platformy Azure. Używane urządzenie to model HSM Thales Luna 7 A790. To urządzenie nie tylko zapewnia zweryfikowane oprogramowanie układowe FIPS 140-2 level-3 , ale także oferuje małe opóźnienia, wysoką wydajność i wysoką pojemność za pośrednictwem 10 partycji.

Moduły HSM są używane do przechowywania kluczy kryptograficznych, które są używane do funkcji kryptograficznych, takich jak TLS (zabezpieczenia warstwy transportu), szyfrowanie danych, infrastruktura kluczy publicznych (infrastruktura kluczy publicznych), drM (zarządzanie prawami cyfrowymi) i dokumenty podpisywania.

Klienci mogą aprowizować moduły HSM w określonych regionach przy użyciu programu PowerShell lub interfejsu wiersza polecenia. Klient określa, z jaką siecią wirtualną są połączone moduły HSM i po aprowizacji modułów HSM są dostępne w wyznaczonej podsieci przy przypisanych adresach IP w prywatnej przestrzeni adresów IP klienta. Następnie klienci mogą łączyć się z modułami HSM przy użyciu protokołu SSH na potrzeby zarządzania urządzeniami i administrowania nimi, konfigurować połączenia klienta HSM, inicjować moduły HSM, tworzyć partycje, definiować i przypisywać role, takie jak oficer partycji, oficer kryptograficzny i użytkownik kryptograficzny. Następnie klient używa firmy Thales udostępnionych narzędzi klienckich/zestawu SDK/oprogramowania HSM do wykonywania operacji kryptograficznych z aplikacji.

Firma Thales dostarcza wszystkie oprogramowanie dla urządzenia HSM po aprowizacji przez firmę Microsoft. Oprogramowanie jest dostępne w portalu pomocy technicznej klienta firmy Thales. Klienci korzystający z dedykowanej usługi HSM muszą być zarejestrowani w celu uzyskania pomocy technicznej firmy Thales i mieć identyfikator klienta, który umożliwia dostęp i pobieranie odpowiedniego oprogramowania. Obsługiwane oprogramowanie klienckie jest w wersji 7.2, która jest zgodna z zweryfikowanym oprogramowaniem układowym FIPS 140-2 Level 3 w wersji 7.0.3.

Następujące elementy generują dodatkowy koszt w przypadku korzystania z dedykowanej usługi HSM.

• Korzystanie z dedykowanego lokalnego urządzenia do tworzenia kopii zapasowych jest możliwe do użycia z dedykowaną usługą HSM, ale wiąże się z dodatkowymi kosztami i powinno być bezpośrednio pochodzące z firmy Thales.
• Dedykowany moduł HSM jest dostarczany z licencją 10 partycji. Klient może zażądać większej liczby partycji i zapłacić za więcej licencji bezpośrednio uzyskanych od firmy Thales.
• Dedykowany moduł HSM wymaga infrastruktury sieciowej (sieci wirtualnej, usługi VPN Gateway itp.) i zasobów, takich jak maszyny wirtualne na potrzeby konfiguracji urządzenia. Te zasoby generują dodatkowe koszty i nie są uwzględniane w cenniku dedykowanej usługi HSM.

L.p. Dedykowany moduł HSM platformy Azure zapewnia tylko moduły HSM z uwierzytelnianiem opartym na hasłach.

L.p. Usługa Azure Dedicated HSM nie obsługuje modułów funkcjonalności.

Firma Microsoft oferuje tylko model HSM firmy Thales Luna 790 za pośrednictwem dedykowanej usługi HSM i nie może hostować żadnych urządzeń dostarczonych przez klienta.

Usługa Dedykowanego modułu HSM platformy Azure używa modułów HSM firmy Thales Luna 7. Te urządzenia nie obsługują funkcji specyficznych dla modułu HSM płatności (takich jak numer PIN lub EFT) ani certyfikatów. Jeśli chcesz, aby dedykowana usługa HSM platformy Azure obsługiwała moduły HSM płatności w przyszłości, przekaż opinię przedstawicielowi konta Microsoft.

Od października 2022 r. dedykowany moduł HSM jest dostępny w 22 regionach. Dalsze regiony są planowane i można je omawiać za pośrednictwem przedstawiciela konta Microsoft.

• East US
• Wschodnie stany USA 2
• Zachodnie stany USA
• Zachodnie stany USA 2
• Kanada Wschodnia
• Kanada Środkowa
• South Central US
• Southeast Asia
• Indie Środkowe
• Indie południowe
• Japonia Wschodnia
• Japonia Zachodnia
• Europa Północna
• West Europe
• Południowe Zjednoczone Królestwo
• Zachodnie Zjednoczone Królestwo
• Australia Wschodnia
• Australia Południowo-Wschodnia
• Szwajcaria Północna
• Szwajcaria Zachodnia
• US Gov Wirginia
• US Gov Teksas

Do wykonywania operacji kryptograficznych z aplikacji używa się udostępnianych przez firmę Thales narzędzi klienckich/zestawu SDK/oprogramowania HSM. Oprogramowanie jest dostępne w portalu pomocy technicznej klienta firmy Thales. Klienci korzystający z dedykowanej usługi HSM muszą być zarejestrowani w celu uzyskania pomocy technicznej firmy Thales i mieć identyfikator klienta, który umożliwia dostęp i pobieranie odpowiedniego oprogramowania.

Tak, należy użyć komunikacji równorzędnej sieci wirtualnych w regionie w celu ustanowienia łączności między sieciami wirtualnymi. W przypadku łączności między regionami należy użyć usługi VPN Gateway.

Tak, można synchronizować lokalne moduły HSM z dedykowanym modułem HSM. Sieć VPN typu punkt-punkt lub łączność typu punkt-lokacja może służyć do nawiązywania łączności z siecią lokalną.

L.p. Dedykowane moduły HSM platformy Azure są dostępne tylko z poziomu sieci wirtualnej.

Tak, jeśli masz lokalne moduły HSM firmy Thales Luna 7. Istnieje wiele metod. Zapoznaj się z dokumentacją modułu HSM firmy Thales.

• Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
• Wirtualne: VMware, Hyper-V, Xen, KVM

Aby zapewnić wysoką dostępność, należy skonfigurować konfigurację aplikacji klienckiej HSM do używania partycji z każdego modułu HSM. Zapoznaj się z dokumentacją oprogramowania klienckiego modułu HSM firmy Thales.

Dedykowany moduł HSM platformy Azure używa urządzeń z modelem HSM firmy Thales Luna 790 i obsługuje uwierzytelnianie oparte na hasłach.

PKCS#11, Java (JCA/JCE), Microsoft CAPI i CNG, OpenSSL

Tak. Skontaktuj się z przedstawicielem firmy Thales, aby uzyskać odpowiedni przewodnik po migracji firmy Thales.

L.p. Usługa Azure Dedicated HSM nie obsługuje modułów funkcjonalności.

Dedykowany moduł HSM platformy Azure to odpowiedni wybór dla przedsiębiorstw migrujących do aplikacji lokalnych platformy Azure korzystających z modułów HSM. Dedykowane moduły HSM przedstawiają opcję migracji aplikacji z minimalnymi zmianami. Jeśli operacje kryptograficzne są wykonywane w kodzie aplikacji uruchomionym na maszynie wirtualnej platformy Azure lub w aplikacji internetowej, mogą używać dedykowanego modułu HSM. Ogólnie rzecz biorąc, Oprogramowanie o mniejszej opakowaniu działające w modelach IaaS (infrastruktury jako usługi), które obsługuje moduły HSM jako magazyn kluczy, może używać dedykowanego modułu HSM, takiego jak menedżer ruchu dla bezkluczających protokołów TLS, ADCS (usług certyfikatów Active Directory) lub podobnych narzędzi PKI, narzędzi/aplikacji używanych do podpisywania dokumentów, podpisywania kodu lub programu SQL Server (IaaS) skonfigurowanego za pomocą technologii TDE (przezroczystego szyfrowania bazy danych) z kluczem podstawowym w module HSM przy użyciu dostawcy EKM (rozszerzalnego zarządzania kluczami). Usługa Azure Key Vault jest odpowiednia dla aplikacji "urodzonych w chmurze" lub w scenariuszach szyfrowania magazynowanych, w których dane klienta są przetwarzane przez usługę PaaS (platforma jako usługa) lub SaaS (oprogramowanie jako usługa), takie jak Klucz klienta usługi Office 365, Azure Information Protection, Azure Disk Encryption, Szyfrowanie usługi Azure Data Lake Store przy użyciu klucza zarządzanego przez klienta, szyfrowanie usługi Azure Storage przy użyciu klucza zarządzanego przez klienta, usługa Azure SQL z kluczem zarządzanym przez klienta.

Dedykowany moduł HSM platformy Azure jest najbardziej odpowiedni w scenariuszach migracji, w których migrujesz aplikacje lokalne na platformę Azure, które już korzystają z modułów HSM, zapewniając metodę niskiego tarcia migracji na platformę Azure z minimalnymi zmianami w aplikacji. Jeśli operacje kryptograficzne są wykonywane w kodzie aplikacji uruchomionym na maszynie wirtualnej platformy Azure lub w aplikacji internetowej, może być używany dedykowany moduł HSM. Ogólnie rzecz biorąc, oprogramowanie opakowane w ścięcie działające w modelach IaaS (infrastruktura jako usługa), które obsługuje moduły HSM jako magazyn kluczy, mogą używać dedykowanego modułu HSM, takiego jak:

• Usługa Traffic Manager dla bezklukowych protokołów TLS
• ADCS (usługi certyfikatów Active Directory)
• Podobne narzędzia infrastruktury kluczy publicznych
• Narzędzia/aplikacje używane do podpisywania dokumentów
• Podpisywanie kodu
• Program SQL Server (IaaS) skonfigurowany z funkcją TDE (przezroczyste szyfrowanie bazy danych) z kluczem podstawowym w module HSM przy użyciu dostawcy EKM (rozszerzone zarządzanie kluczami)

L.p. Dedykowany moduł HSM jest aprowizowany bezpośrednio w prywatnej przestrzeni adresów IP klienta, więc nie jest dostępny przez inną platformę Azure lub usługi firmy Microsoft.

Tak. Każde urządzenie HSM jest w pełni dedykowane jednemu klientowi i nikt inny nie ma kontroli administracyjnej po aprowizacji i zmianie hasła administratora.

Firma Microsoft nie ma żadnej kontroli administracyjnej ani kryptograficznego nad modułem HSM. Firma Microsoft ma dostęp na poziomie monitorowania za pośrednictwem połączenia portów szeregowych w celu pobrania podstawowych danych telemetrycznych, takich jak temperatura i kondycja składnika, aby umożliwić firmie Microsoft proaktywne powiadamianie o problemach z kondycją. W razie potrzeby klient może wyłączyć to konto.

Urządzenie HSM jest dostarczane z domyślnym użytkownikiem administratora ze zwykłym hasłem domyślnym. Firma Microsoft nie chciała używać domyślnych haseł, gdy żadne urządzenie znajduje się w puli oczekujące na aprowizowanie przez klientów. Nie spełniałoby to naszych rygorystycznych wymagań dotyczących zabezpieczeń. Z tego powodu ustawiliśmy silne hasło, które jest odrzucane w czasie aprowizacji. Ponadto podczas aprowizacji utworzymy nowego użytkownika w roli administratora o nazwie "administrator dzierżawy". Użytkownik "administrator dzierżawy" ma domyślne hasło, które klienci zmieniają się jako pierwsza akcja podczas pierwszego logowania się do nowo aprowizowanego urządzenia. Ten proces zapewnia wysoki stopień bezpieczeństwa i utrzymuje naszą obietnicę wyłącznej kontroli administracyjnej dla naszych klientów. Należy zauważyć, że użytkownik "administrator dzierżawy" może służyć do resetowania hasła użytkownika administratora, jeśli klient woli używać tego konta.

L.p. Firma Microsoft nie ma dostępu do kluczy przechowywanych w dedykowanym module HSM przydzielonym przez klienta.

L.p. Dedykowany moduł HSM platformy Azure to moduł HSM baremetalowy na potrzeby usługi dzierżawy. Nasza usługa nie przechowuje danych klientów. Wszystkie kluczowe materiały i dane są przechowywane w urządzeniu HSM klientów. Każde urządzenie HSM jest w pełni dedykowane jednemu klientowi, dla którego ma pełną kontrolę administracyjną.

Klient ma pełną kontrolę administracyjną, w tym uaktualnianie oprogramowania/oprogramowania układowego, jeśli określone funkcje są wymagane z różnych wersji oprogramowania układowego. Przed wprowadzeniem zmian skontaktuj się z pomocą techniczną firmy Thales dotyczącą scenariusza uaktualniania oprogramowania/oprogramowania układowego.

Dedykowane moduły HSM można zarządzać, korzystając z nich przy użyciu protokołu SSH.

Oprogramowanie klienckie HSM firmy Thales służy do zarządzania modułami HSM i partycjami.

Klient ma pełny dostęp do dzienników aktywności modułu HSM za pośrednictwem dziennika systemowego i protokołu SNMP. Klient musi skonfigurować serwer syslog lub serwer SNMP w celu odbierania dzienników lub zdarzeń z modułów HSM.

Tak. Dzienniki można wysyłać z urządzenia HSM do serwera dziennika systemu

Tak. Konfiguracja i konfiguracja wysokiej dostępności są wykonywane w oprogramowaniu klienckim HSM dostarczonym przez firmę Thales. Moduły HSM z tej samej sieci wirtualnej lub innych sieci wirtualnych w tym samym regionie lub w różnych regionach albo lokalne moduły HSM połączone z siecią wirtualną przy użyciu sieci VPN typu lokacja-lokacja lub sieć VPN typu punkt-punkt można dodać do tej samej konfiguracji wysokiej dostępności. Należy zauważyć, że synchronizuje to tylko kluczowe materiały, a nie określone elementy konfiguracji, takie jak role.

Tak. Muszą spełniać wymagania dotyczące wysokiej dostępności dla modułów HSM firmy Thales Luna 7

L.p.

Szesnaście członków grupy wysokiej dostępności nie zostało przetestowanych z pełnym ograniczeniem z doskonałymi wynikami.

Nie ma określonej gwarancji czasu pracy dla dedykowanej usługi HSM. Firma Microsoft zapewnia dostęp na poziomie sieci do urządzenia, dlatego mają zastosowanie standardowe umowy SLA dotyczące sieci platformy Azure.

Centra danych platformy Azure mają rozbudowane mechanizmy kontroli zabezpieczeń fizycznych i proceduralnych. Oprócz tych dedykowanych modułów HSM są hostowane w bardziej ograniczonym obszarze dostępu centrum danych. Te obszary mają więcej kontroli dostępu fizycznego i nadzoru kamer wideo w celu zapewnienia dodatkowych zabezpieczeń.

Dedykowana usługa HSM używa urządzeń HSM firmy Thales Luna 7. Te urządzenia obsługują wykrywanie naruszenia fizycznego i logicznego. Jeśli kiedykolwiek wystąpi zdarzenie naruszenia, moduły HSM są automatycznie zerowane.

Zdecydowanie zaleca się użycie lokalnego urządzenia do tworzenia kopii zapasowych modułu HSM w celu regularnego wykonywania okresowych kopii zapasowych modułów HSM na potrzeby odzyskiwania po awarii. Należy użyć połączenia sieci VPN typu peer-to-peer lub lokacja-lokacja z lokalną stacją roboczą połączoną z urządzeniem kopii zapasowej modułu HSM.

Pomoc techniczna jest zapewniana zarówno przez firmę Microsoft, jak i firmę Thales. Jeśli masz problem ze sprzętem lub dostępem do sieci, zgłoś wniosek o pomoc techniczną w firmie Microsoft i jeśli masz problem z konfiguracją modułu HSM, oprogramowaniem i tworzeniem aplikacji, zgłoś wniosek o pomoc techniczną w firmie Thales. Jeśli masz nieokreślony problem, zgłoś wniosek o pomoc techniczną z firmą Microsoft, a następnie firma Thales może być zaangażowana zgodnie z potrzebami.

Po zarejestrowaniu się w usłudze otrzymasz identyfikator klienta firmy Thales, który umożliwia rejestrację w portalu pomocy technicznej klienta firmy Thales, umożliwiając dostęp do wszystkich programów i dokumentacji, a także żądań pomocy technicznej bezpośrednio w firmie Thales.

Firma Microsoft nie ma możliwości łączenia się z modułami HSM przydzielonymi klientom. Klienci muszą uaktualnić i zastosować poprawki swoich modułów HSM.

Moduł HSM ma jednak opcję ponownego uruchamiania wiersza polecenia, jednak występują problemy, gdy ponowny rozruch przestaje odpowiadać sporadycznie i z tego powodu zaleca się najbezpieczniejszy ponowny rozruch, który zgłasza wniosek o pomoc techniczną w firmie Microsoft w celu fizycznego ponownego uruchomienia urządzenia.

Tak, dedykowany moduł HSM aprowizuje moduły HSM Thales Luna 7, które są zweryfikowane ze standardem FIPS 140-2 Level-3 .

Dedykowana usługa HSM aprowizuje urządzenia HSM firmy Thales Luna 7. Obsługują szeroką gamę typów kluczy kryptograficznych i algorytmów, w tym: obsługa pełnego pakietu B

• Asymetryczny:
  • RSA
  • DSA
  • Diffie-Hellman
  • Krzywa eliptyczna
  • Kryptografia (ECDSA, ECDH, Ed25519, ECIES) z nazwami, zdefiniowanymi przez użytkownika i krzywymi Brainpool, KCDSA
• Symetryczny:
  • AES-GCM
  • Triple DES
  • DES
  • ARIA, NASION
  • RC2
  • RC4
  • RC5
  • CAST
  • Skrót/skrót wiadomości/HMAC: SHA-1, SHA-2, SM3
  • Wyprowadzanie klucza: TRYB licznika SP 800-108
  • Zawijanie kluczy: SP 800-38F
  • Generowanie losowych numerów: zatwierdzone drBG ZE STANDARDU FIPS 140-2 (tryb SP 800-90 CTR), zgodne z BSI DRG.4

Tak. Dedykowana usługa HSM aprowizuje urządzenia firmy Thales Luna 7 HSM model A790 , które są zweryfikowane ze standardem FIPS 140-2 Level-3 .

Dedykowana usługa HSM aprowizuje urządzenia HSM firmy Thales Luna 7. Te urządzenia to zweryfikowane moduły HSM ze standardem FIPS 140–2 poziom 3. Domyślna wdrożona konfiguracja, system operacyjny i oprogramowanie układowe są również weryfikowane ze standardem FIPS. Nie trzeba podejmować żadnych działań dotyczących zgodności ze standardem FIPS 140–2 poziom 3.

Przed żądaniem anulowania aprowizacji klient musi mieć zerowane moduł HSM przy użyciu firmy Thales dostarczonych narzędzi klienckich modułu HSM.

Dedykowany moduł HSM aprowizuje moduły HSM Thales Luna 7. Poniżej przedstawiono podsumowanie maksymalnej wydajności niektórych operacji:

• RSA-2048: 10 000 transakcji na sekundę
• ECC P256: 20 000 transakcji na sekundę
• AES-GCM: 17 000 transakcji na sekundę

Używany model HSM firmy Thales Luna 790 obejmuje licencję na 10 partycji w kosztach usługi. Urządzenie ma limit 100 partycji i dodanie partycji do tego limitu spowoduje naliczenie dodatkowych kosztów licencjonowania i wymaga zainstalowania nowego pliku licencji na urządzeniu.

Maksymalna liczba kluczy jest funkcją dostępnej pamięci. Używany model A790 thales Luna 7 ma 32 MB pamięci. Poniższe liczby mają również zastosowanie do par kluczy w przypadku używania kluczy asymetrycznych.

• RSA-2048 - 19 000
• ECC-P256 - 91 000

Pojemność różni się w zależności od określonych atrybutów klucza ustawionych w szablonie generowania kluczy i liczbie partycji.