Perguntas frequentes

Um Módulo de Segurança de Hardware (HSM) é um dispositivo de computação física usado para proteger e gerenciar chaves criptográficas. Chaves armazenadas em HSMs podem ser usadas para operações criptográficas. O material da chave permanece com segurança em módulos de hardware invioláveis e invioláveis. O HSM permite apenas que aplicativos autenticados e autorizados usem as chaves. O material chave nunca sai do limite de proteção do HSM.

O HSM Dedicado do Azure é um serviço baseado em nuvem que fornece HSMs hospedados em datacenters do Azure que são conectados diretamente à rede virtual de um cliente. Esses HSMs são dispositivos dedicados de rede Thales Luna 7 HSM. Eles são implementados diretamente no espaço de endereço IP privado de um cliente e a Microsoft não tem acesso à funcionalidade criptográfica dos HSMs. Somente o cliente tem total controle administrativo e criptográfico sobre esses dispositivos. Os clientes são responsáveis pelo gerenciamento do dispositivo e podem obter logs de atividade completos diretamente de seus dispositivos. Os HSMs Dedicados ajudam os clientes a atender aos requisitos normativos/de conformidade, como FIPS 140-2 Nível 3, HIPAA, PCI-DSS e eIDAS e muitos outros.

Os clientes precisam ter um gerente de conta Microsoft atribuído e atender ao requisito monetário de cinco milhões (US$ 5 milhões) ou mais na receita geral comprometida do Azure anualmente para se qualificarem para a integração e o uso do HSM Dedicado do Azure.

A Microsoft fez uma parceria com a Thales para fornecer o serviço de HSM Dedicado do Azure. O dispositivo específico usado é o Thales Luna 7 HSM modelo A790. Este dispositivo não apenas fornece firmware validado FIPS 140-2 Nível 3, mas também oferece baixa latência, alto desempenho e alta capacidade por meio de 10 partições.

Os HSMs são usados para armazenar chaves criptográficas que são usadas para funcionalidade criptográfica, como TLS (segurança de camada de transporte), criptografia de dados, PKI (infraestrutura de chave pública), DRM (gerenciamento de direitos digitais) e assinatura de documentos.

Os clientes podem provisionar HSMs em regiões específicas usando o PowerShell ou a interface de linha de comando. O cliente especifica a qual rede virtual os HSMs serão conectados e, uma vez provisionados, os HSMs estarão disponíveis na sub-rede designada nos endereços IP designados no espaço de endereço IP privado do cliente. Em seguida, os clientes podem se conectar aos HSMs usando SSH para gerenciamento e administração de dispositivos, configurar conexões de cliente HSM, inicializar HSMs, criar partições, definir e designar funções como o oficial de partição, o agente de criptografia e o usuário de criptografia. Em seguida, o cliente usará a Thales para fornecer ferramentas/SDK/software de cliente HSM para executar operações criptográficas a partir de seus aplicativos.

A Thales fornece todo o software para o dispositivo HSM após provisionado pela Microsoft. O software está disponível no Portal de suporte ao cliente da Thales. Os clientes que usam o serviço de HSM Dedicado precisam estar registrados no suporte da Thales e ter uma ID de cliente que permita acesso e download do software relevante. O software cliente suportado é a versão 7.2, que é compatível com a versão 7.0.3 do firmware validado FIPS 140-2 Nível 3.

Os itens a seguir incorrerão em custo extra ao usar o serviço de HSM Dedicado.

• O uso de um dispositivo de backup local dedicado é viável para usar com o serviço de HSM Dedicado, no entanto, isso incorrerá em um custo extra e deverá ser diretamente fornecido pela Thales.
• O HSM Dedicado é fornecido com uma licença de 10 partições. Se um cliente precisar de mais partições, isso incorrerá em um custo extra para licenças adicionais diretamente originadas da Thales.
• O HSM dedicado requer infraestrutura de rede (VNET, gateway de VPN, etc.) e recursos como máquinas virtuais para configuração de dispositivo. Esses recursos adicionais incorrerão em custos adicionais e não serão incluídos no preço do serviço de HSM Dedicado.

Não. Neste momento, o HSM Dedicado do Azure fornece apenas HSMs com autenticação baseada em senha.

Não. O serviço de HSM Dedicado do Azure não dá suporte a módulos de funcionalidade.

A Microsoft oferece Thales Luna 7 HSM modelo A790 apenas por meio do serviço de HSM Dedicado e não é possível hospedar qualquer dispositivo fornecido por clientes.

O serviço de HSM Dedicado do Azure usa HSMs Thales Luna 7. Esses dispositivos não dão suporte à funcionalidade específica do HSM de pagamento (por exemplo, PIN ou ETF) ou certificações. Se você quiser que o serviço de HSM Dedicado do Azure ofereça suporte a HSMs de pagamento no futuro, passe os comentários para seu representante de Conta da Microsoft.

Desde outubro de 2022, o HSM Dedicado está disponível nas 22 regiões listadas abaixo. Outras regiões são planejadas e podem ser discutidas por meio de seu Representante de Conta da Microsoft.

• Leste dos EUA
• Leste dos EUA 2
• Oeste dos EUA
• Oeste dos EUA 2
• Leste do Canadá
• Canadá Central
• Centro-Sul dos Estados Unidos
• Sudeste Asiático
• Centro da Índia
• Sul da Índia
• Leste do Japão
• Oeste do Japão
• Norte da Europa
• Europa Ocidental
• Sul do Reino Unido
• Oeste do Reino Unido
• Leste da Austrália
• Sudeste da Austrália
• Norte da Suíça
• Oeste da Suíça
• Gov. dos EUA – Virgínia
• Governo dos EUA do Texas

Você usa ferramentas/SDK/software de cliente HSM da Thales para realizar operações criptográficas de seus aplicativos. O software está disponível no Portal de suporte ao cliente da Thales. Os clientes que usam o serviço de HSM Dedicado precisam estar registrados no suporte da Thales e ter uma ID de cliente que permita acesso e download do software relevante.

Sim, você precisará usar emparelhamento VNET dentro de uma região para estabelecer conectividade entre redes virtuais. Para conectividade entre regiões, você deve usar Gateway de VPN.

Sim, você pode sincronizar HSMs locais com o HSM Dedicado. VPN ponto-a-ponto ou conectividade ponto-a-ponto pode ser usada para estabelecer conectividade com sua rede local.

Não. Os HSMs Dedicados do Azure só podem ser acessados de dentro da sua rede virtual.

Sim, se você tiver HSMs Thales Luna 7 locais. Existem vários métodos. Consulte a Documentação do HSM Thales.

• Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
• Virtual: VMware, Hyper-V, Xen, KVM

Para ter alta disponibilidade, você precisa configurar sua configuração de aplicativo cliente HSM para usar partições de cada HSM. Consulte a documentação do software cliente do HSM Thales.

O HSM Dedicado do Azure usa dispositivos Thales Luna 7 HSM modelo A790 e eles oferecem suporte à autenticação baseada em senha.

PKCS#11, Java (JCA / JCE), CAPI da Microsoft e CNG, OpenSSL

Sim. Entre em contato com o representante da Thales para obter o guia de migração da Thales apropriado.

Não. O serviço de HSM Dedicado do Azure não dá suporte a módulos de funcionalidade.

O HSM Dedicado do Azure é a escolha apropriada para empresas migrando para aplicativos locais do Azure que usam HSMs. HSMs Dedicados apresentam uma opção para migrar um aplicativo com alterações mínimas. Se operações criptográficas forem executadas no código do aplicativo em execução em uma VM do Azure ou no Web App, elas poderão usar o HSM Dedicado. Em geral, o software encapsulado em execução nos modelos IaaS (infraestrutura como serviço), que dão suporte a HSMs como armazenamento de chaves, pode usar o HSM Dedicado, como um gerenciador de tráfego para TLS sem chave, o ADCS (Serviços de Certificados do Active Directory) ou ferramentas PKI semelhantes, além de ferramentas/aplicativos usados para assinatura de documentos e assinatura de código ou um SQL Server (IaaS) configurado com TDE (criptografia de banco de dados transparente) com chave mestra em um HSM usando um provedor EKM (gerenciamento extensível de chaves). O Azure Key Vault é adequado para aplicativos "nascidos na nuvem" ou para cenários de criptografia em repouso nos quais os dados do cliente são processados por cenários PaaS (plataforma como um serviço) ou SaaS (Software como um serviço), como Chave do cliente do Office 365, Proteção de informações do Azure, criptografia de disco do Azure, criptografia do Azure Data Lake Store com chave gerenciada pelo cliente, criptografia de armazenamento do Azure com chave gerenciada pelo cliente e SQL do Azure com chave gerenciada pelo cliente.

O HSM Dedicado do Azure é mais adequado para cenários de migração. Isso significa que, se você estiver migrando aplicativos locais para o Azure que já estão usando HSMs. Isso fornece uma opção de baixa fricção para migrar para o Azure com alterações mínimas no aplicativo. Se operações criptográficas forem executadas no código do aplicativo em execução na VM do Azure ou no Web App, o HSM Dedicado pode ser usado. Em geral, o software encapsulado em execução nos modelos IaaS (Infraestrutura como Serviço), que suportam HSMs como armazenamento de chaves, pode usar o Dedicate HSM das seguintes maneiras:

• Gerenciador de Tráfego para TLS sem chave
• ADCS (Serviços de Certificados do Active Directory)
• Ferramentas semelhantes de PKI
• Ferramentas/aplicativos usados para assinatura de documentos
• Assinatura de código
• SQL Server (IaaS) configurado com TDE (criptografia de banco de dados transparente) com chave mestra em um HSM usando um provedor EKM (gerenciamento extensível de chaves)

Não. O HSM Dedicado é provisionado diretamente no espaço de Endereço IP privado de um cliente, de modo que não pode ser acessado por outros serviços do Azure ou da Microsoft.

Sim. Cada dispositivo HSM é totalmente dedicado a um único cliente e ninguém mais tem controle administrativo depois de provisionado e a senha do administrador é alterada.

A Microsoft não possui nenhum controle administrativo ou criptográfico sobre o HSM. A Microsoft possui acesso em nível de monitor via conexão de porta serial para recuperar telemetria básica, como temperatura e integridade de componentes. Isso permite que a Microsoft forneça notificação proativa de problemas de integridade. Se necessário, o cliente pode desativar essa conta.

O dispositivo HSM é fornecido com um usuário padrão administrador com sua senha padrão usual. A Microsoft não queria ter senhas padrão em uso enquanto qualquer dispositivo estiver em um pool aguardando para ser provisionado pelos clientes. Isso não atenderia aos nossos requisitos de segurança estritos. Por esse motivo, definimos uma senha forte, que é descartada no momento do provisionamento. Além disso, no tempo de provisionamento, criamos um novo usuário na função de administrador chamado "administrador de locatários". Esse usuário tem a senha padrão e os clientes alteram isso como a primeira ação ao fazer logon pela primeira vez no dispositivo provisionado recentemente. Esse processo garante altos níveis de segurança e mantém nossa promessa de controle administrativo exclusivo para nossos clientes. Deve-se observar que o usuário "administrador de locatários" pode ser usado para redefinir a senha de usuário administrador se um cliente preferir usar essa conta.

Não. A Microsoft não tem acesso às chaves armazenadas no HSM Dedicado alocado pelo cliente.

Não. O HSM Dedicado do Azure é um HSM bare-metal para o serviço de concessão. O serviço não armazena os dados do cliente. Todos os principais materiais e dados são armazenados no dispositivo HSM dos clientes. Cada dispositivo HSM é totalmente dedicado a um único cliente, que tem controle administrativo total.

No entanto, o cliente tem controle administrativo completo, incluindo atualização de software/firmware, se forem necessários recursos específicos de diferentes versões de firmware. Antes de fazer alterações, consulte a Microsoft sobre sua atualização por contatando HSMRequest@microsoft.com

Você pode gerenciar os HSMs Dedicados acessando-os usando o SSH.

O software cliente HSM Thales é usado para gerenciar os HSMs e as partições.

P: Como monitoro meu HSM? Um cliente tem acesso total aos logs de atividade do HSM via syslog e SNMP. Um cliente precisará configurar um servidor syslog ou um servidor SNMP para receber os logs ou eventos dos HSMs.

Sim. Você pode enviar logs do dispositivo HSM para um servidor syslog

Sim. A configuração e a definição de alta disponibilidade são realizadas no software cliente do HSM fornecido pela Thales. HSMs da mesma VNET ou de outras VNETs na mesma região ou entre regiões, ou HSMs no local conectados a uma VNET usando VPN site a site ou ponto a ponto podem ser adicionados à mesma configuração de alta disponibilidade. Deve-se observar que isso sincroniza somente o material da chave e não itens de configuração específicos, como funções.

Sim. Eles devem atender aos requisitos de alta disponibilidade para HSMs Thales Luna 7

Não.

16 membros de um grupo de AD têm testes de restrição total, com excelentes resultados.

Não há garantia de tempo de atividade específica fornecida para o serviço de HSM Dedicado. A Microsoft garantirá o acesso em nível de rede ao dispositivo e, portanto, os SLAs de rede padrão do Azure serão aplicados.

Os datacenters do Azure têm extensos controles de segurança físicos e de procedimentos. Além disso, os HSMs Dedicados são hospedados em uma área de acesso restrito adicional do datacenter. Essas áreas têm controles adicionais de acesso físico e vigilância por câmeras de vídeo para maior segurança.

O serviço de HSM Dedicado usa HSMs Thales Luna 7. Esses dispositivos dão suporte à detecção de violação física e lógica. Se houver algum evento de violação, os HSMs serão automaticamente zerados.

É altamente recomendável usar um dispositivo de backup de HSM local para executar backup periódico regular dos HSMs para recuperação de desastre. Você precisará usar uma conexão VPN ponto a ponto ou site a site para uma estação de trabalho local conectada a um dispositivo de backup do HSM.

O suporte é fornecido pela Microsoft e Thales. Se você tiver um problema com o acesso ao hardware ou à rede, gere uma solicitação de suporte com a Microsoft e, se você tiver um problema com a configuração, software e desenvolvimento de aplicativos do HSM, abra uma solicitação de suporte com a Thales. Se você tiver um problema indeterminado, gere uma solicitação de suporte com a Microsoft e, em seguida, a Thales poderá ser envolvida conforme necessário.

Após o registro para o serviço, será fornecida uma ID de cliente pela Thales que permite o registro no portal de suporte ao cliente da Thales. Isso permitirá o acesso a todos os softwares e documentações, bem como a habilitação de solicitações de suporte diretamente com a Thales.

A Microsoft não tem a capacidade de se conectar a HSMs alocados a clientes. Os clientes devem atualizar e corrigir seus HSMs.

O HSM tem uma opção de reinicialização de linha de comando. No entanto, estamos enfrentando problemas em que a reinicialização para de responder intermitentemente e, por esse motivo, é recomendável para a reinicialização mais segura que você gera uma solicitação de suporte com a Microsoft para que o dispositivo seja reinicializado fisicamente.

Sim, o HSM Dedicado provisiona HSMs Thales Luna 7 que são FIPS 140-2 nível-3 validado.

O serviço de HSM Dedicado provisiona dispositivos HSM Thales Luna 7. Eles suportam uma ampla gama de tipos de chaves criptográficas e algoritmos, incluindo: Suporte completo ao pacote B

• Assimétrica:
  • RSA
  • DSA
  • Diffie-Hellman
  • Curva elíptica
  • Criptografia (ECDSA, ECDH, Ed25519, ECIES) com curvas nomeadas, definidas pelo usuário e de Brainpool, KCDSA
• Simétrica:
  • AES-GCM
  • DES triplo
  • DES
  • ARIA, SEED
  • RC2
  • RC4
  • RC5
  • CAST
  • Hash/Message Digest/HMAC: SHA-1, SHA-2, SM3
  • Derivação de chave: modo de contador SP 800-108
  • Encapsulamento de chave: SP 800-38F
  • Geração de Números Aleatórios: DRBG aprovado pelo FIPS 140-2 (modo SP 800-90 CTR), em conformidade com o BSI DRG.4

Sim. O serviço de HSM Dedicado provisiona dispositivos HSM Thales Luna 7 modelo A790 que são FIPS 140-2 nível-3 validados.

O serviço de HSM Dedicado usa dispositivos HSM Thales Luna 7. Esses dispositivos são HSMs validados FIPS 140-2 Nível 3. A configuração padrão implementada, o sistema operacional e o firmware também são validados pelo FIPS. Você não precisa executar nenhuma ação para conformidade com o FIPS 140-2 Nível 3.

Antes de solicitar o desprovisionamento, um cliente deve ter zerado o HSM usando as ferramentas do cliente HSM da Thales.

Dispositivos HSM Dedicado provisiona HSMs Thales Luna 7. Aqui está um resumo do desempenho máximo para algumas operações:

• RSA-2048: 10.000 transações por segundo
• ECC P256: 20.000 transações por segundo
• AES-GCM: 17.000 transações por segundo

O HSM Thales Luna 7 modelo A790 usado inclui uma licença para 10 partições no custo do serviço. O dispositivo tem um limite de 100 partições e a adição de partições até esse limite incorrerá em custos de licenciamento extras e exigirá a instalação de um novo arquivo de licença no dispositivo.

O número máximo de chaves é uma função da memória disponível. Thales Luna 7 modelo A790 em uso tem 32 MB de memória. Os números a seguir também são aplicáveis a pares de chaves se forem usadas chaves assimétricas.

• RSA-2048 - 19,000
• ECC-P256 - 91,000

A capacidade variará dependendo dos atributos-chave específicos definidos no modelo de geração de chaves e no número de partições.