Często zadawane pytania

Sprzętowy moduł zabezpieczeń (HSM) to urządzenie obliczeniowe fizyczne używane do ochrony kluczy kryptograficznych i zarządzania nimi. Klucze przechowywane w modułach HSM mogą być używane na potrzeby operacji kryptograficznych. Materiał klucza pozostaje bezpieczny w modułach sprzętowych odpornych na naruszenia, widocznych przed naruszeniami. Moduł HSM zezwala na używanie kluczy tylko uwierzytelnionych i autoryzowanych aplikacji. Materiał klucza nigdy nie opuszcza granicy ochrony modułu HSM.

Dedykowany moduł HSM platformy Azure to oparta na chmurze usługa, która udostępnia moduły HSM hostowane w centrach danych platformy Azure, które są bezpośrednio połączone z siecią wirtualną klienta. Te moduły HSM są dedykowanymi urządzeniami sieciowymi Thales Luna 7 HSM . Są one wdrażane bezpośrednio w prywatnej przestrzeni adresowej IP klienta, a firma Microsoft nie ma dostępu do funkcji kryptograficznych modułów HSM. Tylko klient ma pełną kontrolę administracyjną i kryptograficzną nad tymi urządzeniami. Klienci są odpowiedzialni za zarządzanie urządzeniem i mogą uzyskiwać pełne dzienniki aktywności bezpośrednio z urządzeń. Dedykowane moduły HSM pomagają klientom spełnić wymagania dotyczące zgodności/przepisów, takie jak FIPS 140-2 Poziom 3, HIPAA, PCI-DSS i eIDAS oraz wiele innych.

Klienci muszą mieć przypisanego menedżera kont Microsoft i spełnić wymagania pieniężne w wysokości pięciu milionów dolarów (5 mln USD) lub większego całkowitego zatwierdzonego przychodu platformy Azure rocznie, aby kwalifikować się do dołączania i korzystania z dedykowanego modułu HSM platformy Azure.

Firma Microsoft nawiązała współpracę z firmą Thales w celu dostarczania dedykowanej usługi HSM platformy Azure. Używane urządzenie to model HSM Thales Luna 7 A790. To urządzenie nie tylko zapewnia zweryfikowane oprogramowanie układowe FIPS 140-2 level-3 , ale także oferuje małe opóźnienia, wysoką wydajność i wysoką pojemność za pośrednictwem 10 partycji.

Moduły HSM są używane do przechowywania kluczy kryptograficznych, które są używane do obsługi funkcji kryptograficznych, takich jak TLS (zabezpieczenia warstwy transportu), szyfrowanie danych, infrastruktura kluczy publicznych, drM (zarządzanie prawami cyfrowymi) i dokumenty podpisywania.

Klienci mogą aprowizować moduły HSM w określonych regionach przy użyciu programu PowerShell lub interfejsu wiersza polecenia. Klient określa, z jaką siecią wirtualną będą połączone moduły HSM, a po aprowizacji moduły HSM będą dostępne w wyznaczonej podsieci przy przypisanych adresach IP w prywatnej przestrzeni adresów IP klienta. Następnie klienci mogą łączyć się z modułami HSM przy użyciu protokołu SSH na potrzeby zarządzania urządzeniami i administrowania nimi, konfigurować połączenia klienckie modułu HSM, inicjować moduły HSM, tworzyć partycje, definiować i przypisywać role, takie jak oficer partycji, kryptograficzny i użytkownik kryptograficzny. Następnie klient użyje firmy Thales dostarczonych narzędzi klienckich HSM/zestawu SDK/oprogramowania do wykonywania operacji kryptograficznych z aplikacji.

Firma Thales dostarcza wszystkie oprogramowanie dla urządzenia HSM po aprowizacji przez firmę Microsoft. Oprogramowanie jest dostępne w portalu pomocy technicznej klienta firmy Thales. Klienci korzystający z dedykowanej usługi HSM muszą być zarejestrowani w celu uzyskania pomocy technicznej firmy Thales i mieć identyfikator klienta, który umożliwia dostęp i pobieranie odpowiedniego oprogramowania. Obsługiwane oprogramowanie klienckie jest w wersji 7.2, która jest zgodna z standardem FIPS 140-2 Level 3 zweryfikowanym oprogramowaniem układowym w wersji 7.0.3.

Poniższe elementy będą ponosić dodatkowe koszty w przypadku korzystania z dedykowanej usługi HSM.

• Użycie dedykowanego lokalnego urządzenia do tworzenia kopii zapasowych jest możliwe do użycia z dedykowaną usługą HSM, jednak spowoduje to dodatkowe koszty i powinno zostać bezpośrednio pochodzące z firmy Thales.
• Dedykowany moduł HSM jest dostarczany z licencją 10 partycji. Jeśli klient wymaga większej liczby partycji, spowoduje to dodatkowy koszt dodatkowych licencji bezpośrednio uzyskanych z firmy Thales.
• Dedykowany moduł HSM wymaga infrastruktury sieciowej (sieci wirtualnej, VPN Gateway itp.) i zasobów, takich jak maszyny wirtualne na potrzeby konfiguracji urządzenia. Te dodatkowe zasoby będą ponosić dodatkowe koszty i nie są uwzględniane w cenniku usługi dedykowanego modułu HSM.

Nie. Dedykowany moduł HSM platformy Azure zapewnia tylko moduły HSM z uwierzytelnianiem opartym na hasłach.

Nie. Usługa Dedykowanego modułu HSM platformy Azure nie obsługuje modułów funkcji.

Firma Microsoft oferuje tylko model HSM Firmy Thales Luna 790 za pośrednictwem dedykowanej usługi HSM i nie może hostować żadnych urządzeń dostarczonych przez klienta.

Usługa Dedykowanego modułu HSM platformy Azure używa modułów HSM Firmy Thales Luna 7. Te urządzenia nie obsługują funkcji specyficznych dla modułu HSM płatności (takich jak numer PIN lub EFT) ani certyfikatów. Jeśli chcesz, aby dedykowana usługa HSM platformy Azure obsługiwała moduły HSM płatności w przyszłości, przekaż opinię przedstawicielowi konta Microsoft.

Od października 2022 r. dedykowany moduł HSM jest dostępny w 22 regionach wymienionych poniżej. Planowane są dalsze regiony i można je omówić za pośrednictwem przedstawiciela konta Microsoft.

• East US
• Wschodnie stany USA 2
• Zachodnie stany USA
• Zachodnie stany USA 2
• Kanada Wschodnia
• Kanada Środkowa
• South Central US
• Southeast Asia
• Indie Środkowe
• Indie Południowe
• Japonia Wschodnia
• Japonia Zachodnia
• Europa Północna
• West Europe
• Południowe Zjednoczone Królestwo
• Zachodnie Zjednoczone Królestwo
• Australia Wschodnia
• Australia Południowo-Wschodnia
• Szwajcaria Północna
• Szwajcaria Zachodnia
• US Gov Wirginia
• US Gov Teksas

Do wykonywania operacji kryptograficznych z aplikacji używa się dostarczonych przez firmę Thales narzędzi klienckich/zestawu SDK/oprogramowania HSM. Oprogramowanie jest dostępne w portalu pomocy technicznej klienta firmy Thales. Klienci korzystający z dedykowanej usługi HSM muszą być zarejestrowani w celu uzyskania pomocy technicznej firmy Thales i mieć identyfikator klienta, który umożliwia dostęp i pobieranie odpowiedniego oprogramowania.

Tak, należy użyć komunikacji równorzędnej sieci wirtualnej w regionie w celu nawiązania łączności między sieciami wirtualnymi. W przypadku łączności między regionami należy użyć VPN Gateway.

Tak, można zsynchronizować lokalne moduły HSM z dedykowanym modułem HSM. Sieć VPN typu punkt-punkt lub łączność typu punkt-lokacja może służyć do nawiązywania łączności z siecią lokalną.

Nie. Dedykowane moduły HSM platformy Azure są dostępne tylko z poziomu sieci wirtualnej.

Tak, jeśli masz lokalne moduły HSM Thales Luna 7. Istnieje wiele metod. Zapoznaj się z dokumentacją modułu HSM firmy Thales.

• Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
• Virtual: VMware, Hyper-V, Xen, KVM

Aby zapewnić wysoką dostępność, należy skonfigurować konfigurację aplikacji klienckiej modułu HSM do używania partycji z każdego modułu HSM. Zapoznaj się z dokumentacją oprogramowania klienckiego modułu HSM firmy Thales.

Dedykowany moduł HSM platformy Azure używa urządzeń Firmy Thales Luna 7 HSM modelu A790 i obsługuje uwierzytelnianie oparte na hasłach.

PKCS#11, Java (JCA/JCE), Microsoft CAPI i CNG, OpenSSL

Tak. Skontaktuj się z przedstawicielem firmy Thales, aby uzyskać odpowiedni przewodnik po migracji firmy Thales.

Nie. Usługa Dedykowanego modułu HSM platformy Azure nie obsługuje modułów funkcji.

Dedykowany moduł HSM platformy Azure to odpowiedni wybór dla przedsiębiorstw migrujących do aplikacji lokalnych platformy Azure korzystających z modułów HSM. Dedykowane moduły HSM przedstawiają opcję migracji aplikacji z minimalnymi zmianami. Jeśli operacje kryptograficzne są wykonywane w kodzie aplikacji uruchomionym na maszynie wirtualnej platformy Azure lub aplikacji internetowej, mogą używać dedykowanego modułu HSM. Ogólnie rzecz biorąc, oprogramowanie opakowywane działające w modelach IaaS (infrastruktura jako usługa), które obsługują moduły HSM jako magazyn kluczy, może używać dedykowanego modułu HSM, takiego jak menedżer ruchu dla bezkluczającego protokołu TLS, ADCS (usług certyfikatów Active Directory) lub podobnych narzędzi PKI, narzędzi/aplikacji używanych do podpisywania dokumentów, podpisywania kodu lub SQL Server (IaaS) skonfigurowana za pomocą funkcji TDE (przezroczystego szyfrowania bazy danych) z kluczem głównym w module HSM przy użyciu dostawcy EKM (rozszerzalnego zarządzania kluczami). Usługa Azure Key Vault jest odpowiednia dla aplikacji typu "born-in-cloud" lub w scenariuszach szyfrowania magazynowanych, w których dane klienta są przetwarzane przez usługę PaaS (platforma jako usługa) lub SaaS (oprogramowanie jako usługa), takie jak Office 365 Klucz klienta, Azure Information Protection , Azure Disk Encryption, Azure Data Lake Store Encryption z kluczem zarządzanym przez klienta, szyfrowaniem usługi Azure Storage przy użyciu klucza zarządzanego przez klienta i Azure SQL za pomocą klucza zarządzanego przez klienta.

Dedykowany moduł HSM platformy Azure jest najbardziej odpowiedni dla scenariuszy migracji. Oznacza to, że w przypadku migrowania aplikacji lokalnych na platformę Azure, które już korzystają z modułów HSM. Zapewnia to opcję niskiego tarcia migracji na platformę Azure z minimalnymi zmianami w aplikacji. Jeśli operacje kryptograficzne są wykonywane w kodzie aplikacji uruchomionym na maszynie wirtualnej platformy Azure lub aplikacji internetowej, może być używany dedykowany moduł HSM. Ogólnie rzecz biorąc, oprogramowanie opakuj opakowane w modelach IaaS (infrastruktura jako usługa), które obsługuje moduły HSM jako magazyn kluczy, może używać dedykowanego modułu HSM, takiego jak:

• Usługa Traffic Manager dla protokołu TLS bez klucza
• ADCS (usługi certyfikatów Active Directory)
• Podobne narzędzia infrastruktury kluczy publicznych
• Narzędzia/aplikacje używane do podpisywania dokumentów
• Podpisywanie kodu
• SQL Server (IaaS) skonfigurowaną za pomocą protokołu TDE (transparent database encryption) z kluczem głównym w module HSM przy użyciu dostawcy EKM (rozszerzalnego zarządzania kluczami)

Nie. Dedykowany moduł HSM jest aprowizowany bezpośrednio w prywatnej przestrzeni adresów IP klienta, więc nie jest dostępny dla innych usług platformy Azure lub firmy Microsoft.

Tak. Każde urządzenie HSM jest w pełni dedykowane jednemu klientowi i nikt inny nie ma kontroli administracyjnej po aprowizacji i zmianie hasła administratora.

Firma Microsoft nie ma żadnej kontroli administracyjnej ani kryptograficznej nad modułem HSM. Firma Microsoft ma dostęp na poziomie monitora za pośrednictwem połączenia portu szeregowego w celu pobrania podstawowych danych telemetrycznych, takich jak temperatura i kondycja składnika. Dzięki temu firma Microsoft może zapewnić proaktywne powiadomienia o problemach z kondycją. W razie potrzeby klient może wyłączyć to konto.

Urządzenie HSM jest dostarczane z domyślnym użytkownikiem administratora przy użyciu zwykłego domyślnego hasła. Firma Microsoft nie chciała używać domyślnych haseł, gdy żadne urządzenie znajduje się w puli oczekującej na aprowizację przez klientów. Nie spełniałoby to naszych rygorystycznych wymagań dotyczących zabezpieczeń. Z tego powodu ustawimy silne hasło, które jest odrzucane w czasie aprowizacji. Ponadto podczas aprowizacji utworzymy nowego użytkownika w roli administratora o nazwie "administrator dzierżawy". Ten użytkownik ma domyślne hasło, a klienci zmieniają to jako pierwszą akcję podczas pierwszego logowania się do nowo aprowizowanego urządzenia. Ten proces zapewnia wysoki stopień bezpieczeństwa i utrzymuje naszą obietnicę wyłącznej kontroli administracyjnej dla naszych klientów. Należy zauważyć, że użytkownik "administrator dzierżawy" może służyć do resetowania hasła użytkownika administratora, jeśli klient woli używać tego konta.

Nie. Firma Microsoft nie ma dostępu do kluczy przechowywanych w przydzielonym przez klienta dedykowanym module HSM.

Nie. Dedykowany moduł HSM platformy Azure to moduł HSM baremetalowy na potrzeby usługi dzierżawy. Nasza usługa nie przechowuje danych klientów. Wszystkie kluczowe materiały i dane są przechowywane w urządzeniu HSM klientów. Każde urządzenie HSM jest w pełni dedykowane jednemu klientowi, który ma pełną kontrolę administracyjną.

Klient ma pełną kontrolę administracyjną, w tym uaktualnianie oprogramowania/oprogramowania układowego, jeśli określone funkcje są wymagane z różnych wersji oprogramowania układowego. Przed wprowadzeniem zmian skontaktuj się z firmą Microsoft w sprawie uaktualnienia, kontaktując się z firmą Microsoft HSMRequest@microsoft.com

Możesz zarządzać dedykowanymi modułami HSM, korzystając z nich przy użyciu protokołu SSH.

Oprogramowanie klienckie modułu HSM firmy Thales służy do zarządzania modułami HSM i partycjami.

Klient ma pełny dostęp do dzienników aktywności modułu HSM za pośrednictwem dziennika syslog i protokołu SNMP. Klient musi skonfigurować serwer dziennika systemu lub serwer SNMP w celu odbierania dzienników lub zdarzeń z modułów HSM.

Tak. Dzienniki można wysyłać z urządzenia HSM do serwera dziennika systemu

Tak. Konfiguracja i konfiguracja wysokiej dostępności są wykonywane w oprogramowaniu klienckim HSM dostarczonym przez firmę Thales. Moduły HSM z tej samej sieci wirtualnej lub innych sieci wirtualnych w tym samym regionie lub w różnych regionach lub lokalne moduły HSM połączone z siecią wirtualną przy użyciu sieci VPN typu lokacja-lokacja lub sieć VPN typu punkt-punkt można dodać do tej samej konfiguracji wysokiej dostępności. Należy zauważyć, że ta funkcja synchronizuje tylko kluczowe elementy konfiguracji, a nie określone elementy konfiguracji, takie jak role.

Tak. Muszą spełniać wymagania dotyczące wysokiej dostępności dla modułów HSM Firmy Thales Luna 7

Nie.

16 członków grupy HA nie zostało, pełnych ograniczeń testowych z doskonałymi wynikami.

Nie ma określonej gwarancji czasu pracy dla dedykowanej usługi HSM. Firma Microsoft zapewni dostęp na poziomie sieci do urządzenia, dlatego mają zastosowanie standardowe umowy SLA dotyczące sieci platformy Azure.

Centra danych platformy Azure mają rozbudowane mechanizmy kontroli zabezpieczeń fizycznych i proceduralnych. Oprócz dedykowanych modułów HSM są hostowane w bardziej ograniczonym obszarze dostępu centrum danych. Obszary te mają dodatkowe fizyczne mechanizmy kontroli dostępu i monitorowanie kamer wideo w celu zapewnienia dodatkowych zabezpieczeń.

Dedykowana usługa HSM korzysta z urządzeń HSM Firmy Thales Luna 7 . Te urządzenia obsługują wykrywanie fizycznych i logicznych manipulacji. Jeśli kiedykolwiek wystąpi zdarzenie naruszenia, moduły HSM są automatycznie zerowane.

Zdecydowanie zaleca się używanie lokalnego urządzenia do tworzenia kopii zapasowej modułu HSM w celu regularnego wykonywania okresowych kopii zapasowych modułów HSM na potrzeby odzyskiwania po awarii. Należy użyć połączenia sieci VPN typu peer-to-peer lub sieci VPN typu lokacja-lokacja z lokalną stacją roboczą podłączoną do urządzenia kopii zapasowej modułu HSM.

Pomoc techniczna jest zapewniana zarówno przez firmę Microsoft, jak i firmę Thales. Jeśli masz problem ze sprzętem lub dostępem do sieci, zgłoś wniosek o pomoc techniczną w firmie Microsoft, a jeśli masz problem z konfiguracją, oprogramowaniem i tworzeniem aplikacji hsM, zgłoś wniosek o pomoc techniczną w firmie Thales. Jeśli masz nieokreślony problem, zgłoś wniosek o pomoc techniczną w firmie Microsoft, a następnie firma Thales może być zaangażowana zgodnie z potrzebami.

Po zarejestrowaniu się w usłudze zostanie podany identyfikator klienta firmy Thales, który umożliwia rejestrację w portalu obsługi klienta firmy Thales. Umożliwi to dostęp do wszystkich programów i dokumentacji, a także umożliwi bezpośredni dostęp do żądań pomocy technicznej w firmie Thales.

Firma Microsoft nie ma możliwości łączenia się z modułami HSM przydzielonymi klientom. Klienci muszą uaktualnić i zastosować poprawki swoich modułów HSM.

Moduł HSM ma opcję ponownego uruchamiania wiersza polecenia, jednak występują problemy, gdy ponowny rozruch przestaje odpowiadać sporadycznie i z tego powodu zaleca się, aby najbezpieczniejszy ponowny rozruch został zgłoszony przez firmę Microsoft w celu fizycznego ponownego uruchomienia urządzenia.

Tak, dedykowany moduł HSM aprowizuje moduły HSM Thales Luna 7, które są zweryfikowane ze standardem FIPS 140-2 poziom-3 .

Dedykowana usługa HSM aprowizuje urządzenia HSM Firmy Thales Luna 7. Obsługują szeroką gamę typów i algorytmów kluczy kryptograficznych, w tym: obsługa pełnego pakietu B

• Asymetrycznego:
  • RSA
  • DSA
  • Diffie-Hellman
  • Krzywa eliptyczna
  • Kryptografia (ECDSA, ECDH, Ed25519, ECIES) z nazwanymi, zdefiniowanymi przez użytkownika i krzywymi Brainpool, KCDSA
• Symetrycznego:
  • AES-GCM
  • Triple DES
  • DES
  • ARIA, SEED
  • RC2
  • RC4
  • RC5
  • CAST
  • Skrót/Skrót wiadomości/HMAC: SHA-1, SHA-2, SM3
  • Wyprowadzanie klucza: TRYB licznika SP 800-108
  • Zawijanie kluczy: SP 800-38F
  • Generowanie losowych numerów: zatwierdzone przez standard FIPS 140-2 DRBG (tryb SP 800-90 CTR), zgodne z BSI DRG.4

Tak. Dedykowana usługa HSM aprowizuje urządzenia firmy Thales Luna 7 HSM model A790 zweryfikowane ze standardem FIPS 140-2 Level-3 .

Usługa Dedykowanego modułu HSM aprowizuje urządzenia HSM Firmy Thales Luna 7. Te urządzenia to zweryfikowane moduły HSM ze standardem FIPS 140–2 poziom 3. Domyślna wdrożona konfiguracja, system operacyjny i oprogramowanie układowe są również weryfikowane ze standardem FIPS. Nie trzeba podejmować żadnych działań dotyczących zgodności ze standardem FIPS 140-2 poziom 3.

Przed żądaniem anulowania aprowizacji klient musi mieć zerowany moduł HSM przy użyciu udostępnionych narzędzi klienckich modułu HSM firmy Thales.

Dedykowany moduł HSM aprowizuje moduły HSM Thales Luna 7. Oto podsumowanie maksymalnej wydajności niektórych operacji:

• RSA-2048: 10 000 transakcji na sekundę
• ECC P256: 20 000 transakcji na sekundę
• AES-GCM: 17 000 transakcji na sekundę

Używany model HSM Firmy Thales Luna 790 obejmuje licencję na 10 partycji w kosztach usługi. Urządzenie ma limit 100 partycji i dodanie partycji do tego limitu spowoduje naliczenie dodatkowych kosztów licencjonowania i wymaga zainstalowania nowego pliku licencji na urządzeniu.

Maksymalna liczba kluczy jest funkcją dostępnej pamięci. Używany model A790 Thales Luna 7 ma 32 MB pamięci. Poniższe liczby mają również zastosowanie do par kluczy w przypadku używania kluczy asymetrycznych.

• RSA-2048 - 19 000
• ECC-P256 - 91 000

Pojemność będzie się różnić w zależności od określonych atrybutów klucza ustawionych w szablonie generowania kluczy i liczbie partycji.