Editar

Partilhar via


Perguntas mais frequentes (FAQ)

Encontre respostas para perguntas comuns sobre o HSM Dedicado do Microsoft Azure.

O básico

O que é um módulo de segurança de hardware (HSM)?

Um Módulo de Segurança de Hardware (HSM) é um dispositivo de computação física usado para proteger e gerenciar chaves criptográficas. As chaves armazenadas em HSMs podem ser usadas para operações criptográficas. O material-chave permanece em segurança em módulos de hardware invioláveis e invioláveis. O HSM só permite que aplicativos autenticados e autorizados usem as chaves. O material das chaves nunca sai do limite de proteção do HSM.

O que é a oferta do HSM Dedicado do Azure?

O HSM Dedicado do Azure é um serviço baseado em nuvem que fornece HSMs hospedados em datacenters do Azure que estão diretamente conectados à rede virtual de um cliente. Esses HSMs são dispositivos de rede Thales Luna 7 HSM dedicados. Eles são implantados diretamente no espaço de endereço IP privado de um cliente e a Microsoft não tem acesso à funcionalidade criptográfica dos HSMs. Somente o cliente tem controle administrativo e criptográfico total sobre esses dispositivos. Os clientes são responsáveis pelo gerenciamento do dispositivo e podem obter registros completos de atividades diretamente de seus dispositivos. HSMs dedicados ajudam os clientes a atender aos requisitos de conformidade/regulamentação, como FIPS 140-2 Nível 3, HIPAA, PCI-DSS e eIDAS e muitos outros.

Quais são as restrições de integração e uso do HSM dedicado?

Os clientes têm de ter um Gestor de Conta Microsoft atribuído e cumprir o requisito monetário de 5 milhões de USD (5 milhões de dólares) ou mais em receitas gerais comprometidas do Azure anualmente para se qualificarem para a integração e utilização do HSM Dedicado do Azure.

Qual hardware é usado para HSM dedicado?

A Microsoft fez uma parceria com a Thales para fornecer o serviço HSM Dedicado do Azure. O dispositivo específico utilizado é o Thales Luna 7 HSM modelo A790. Este dispositivo não só fornece firmware validado FIPS 140-2 Level-3 , mas também oferece baixa latência, alto desempenho e alta capacidade através de 10 partições.

Para que são utilizados os HSMs?

Os HSMs são usados para armazenar chaves criptográficas que são usadas para funcionalidade criptográfica, como TLS (segurança da camada de transporte), criptografia de dados, PKI (infraestrutura de chave pública), DRM (gerenciamento de direitos digitais) e assinatura de documentos.

Como funciona o HSM Dedicado?

Os clientes podem provisionar HSMs em regiões específicas usando o PowerShell ou a interface de linha de comando. O cliente especifica a qual rede virtual os HSMs estão conectados e, uma vez provisionados, os HSMs ficam disponíveis na sub-rede designada em endereços IP atribuídos no espaço de endereço IP privado do cliente. Em seguida, os clientes podem se conectar aos HSMs usando SSH para gerenciamento e administração de dispositivos, configurar conexões de cliente HSM, inicializar HSMs, criar partições, definir e atribuir funções como oficial de partição, oficial de criptografia e usuário de criptografia. Em seguida, o cliente usa ferramentas/SDK/software de cliente HSM fornecidos pela Thales para executar operações criptográficas a partir de seus aplicativos.

Que software é fornecido com o serviço HSM dedicado?

A Thales fornece todo o software para o dispositivo HSM uma vez provisionado pela Microsoft. O software está disponível no portal de apoio ao cliente da Thales. Os clientes que utilizam o serviço HSM dedicado devem estar registados no suporte da Thales e ter um ID de Cliente que permita o acesso e o download do software relevante. O software cliente suportado é a versão 7.2, que é compatível com o firmware validado FIPS 140-2 Nível 3 versão 7.0.3.

Que custos adicionais podem ser incorridos com o serviço HSM dedicado?

Os itens a seguir incorrem em custo extra ao usar o serviço HSM dedicado.

  • O uso de um dispositivo de backup local dedicado é viável de usar com o serviço HSM dedicado, mas incorre em um custo extra e deve ser obtido diretamente da Thales.
  • O HSM dedicado é fornecido com uma licença de partição 10. Um cliente pode solicitar mais partições e pagar por mais licenças diretamente originadas da Thales.
  • O HSM dedicado requer infraestrutura de rede (rede virtual, VPN Gateway, etc.) e recursos como máquinas virtuais para configuração de dispositivos. Esses recursos incorrem em custos adicionais e não estão incluídos no preço do serviço HSM dedicado.

O HSM Dedicado do Azure oferece autenticação baseada em senha e baseada em PED?

N.º O HSM Dedicado do Azure fornece apenas HSMs com autenticação baseada em senha.

O HSM Dedicado do Azure suporta módulos de funcionalidade?

N.º O serviço HSM Dedicado do Azure não suporta módulos de funcionalidade.

O HSM Dedicado do Azure hospedará meus HSMs para mim?

A Microsoft oferece apenas o modelo A790 do Thales Luna 7 HSM através do serviço HSM dedicado e não pode hospedar nenhum dispositivo fornecido pelo cliente.

O HSM Dedicado do Azure suporta recursos de pagamento (PIN/EFT)?

O serviço HSM Dedicado do Azure usa HSMs Thales Luna 7. Esses dispositivos não suportam funcionalidades específicas de HSM de pagamento (como PIN ou EFT) ou certificações. Se pretender que o serviço HSM Dedicado do Azure suporte HSMs de Pagamento no futuro, transmita os comentários ao seu Representante de Conta Microsoft.

Em quais regiões do Azure o HSM Dedicado está disponível?

A partir de outubro de 2022, o HSM dedicado está disponível em 22 regiões. Outras regiões estão planeadas e podem ser discutidas através do seu Representante de Conta Microsoft.

  • E.U.A. Leste
  • E.U.A. Leste 2
  • E.U.A. Oeste
  • E.U.A. Oeste 2
  • Leste do Canadá
  • Canadá Central
  • E.U.A. Centro-Sul
  • Sudeste Asiático
  • Índia Central
  • Índia do Sul
  • Leste do Japão
  • Oeste do Japão
  • Europa do Norte
  • Europa Ocidental
  • Sul do Reino Unido
  • Oeste do Reino Unido
  • Leste da Austrália
  • Austrália Sudeste
  • Norte da Suíça
  • Oeste da Suíça
  • US Gov - Virginia
  • US Gov - Texas

Interoperabilidade

Como meu aplicativo se conecta a um HSM dedicado?

Você usa as ferramentas/SDK/software do cliente HSM fornecidos pela Thales para executar operações criptográficas a partir de seus aplicativos. O software está disponível no portal de apoio ao cliente da Thales. Os clientes que utilizam o serviço HSM dedicado devem estar registados no suporte da Thales e ter um ID de Cliente que permita o acesso e o download do software relevante.

Um aplicativo pode se conectar ao HSM dedicado a partir de uma rede virtual diferente em ou entre regiões?

Sim, você precisa usar o emparelhamento de rede virtual dentro de uma região para estabelecer conectividade entre redes virtuais. Para conectividade entre regiões, você deve usar o Gateway de VPN.

Posso sincronizar HSM dedicado com HSMs locais?

Sim, você pode sincronizar HSMs locais com HSM dedicado. VPN ponto a ponto ou conectividade ponto a site podem ser usadas para estabelecer conectividade com sua rede local.

Posso criptografar dados usados por outros serviços do Azure usando chaves armazenadas no HSM dedicado?

N.º Os HSMs Dedicados do Azure só são acessíveis a partir da sua rede virtual.

Posso importar chaves de um HSM local existente para um HSM dedicado?

Sim, se você tiver HSMs Thales Luna 7 no local. Existem vários métodos. Consulte a documentação do Thales HSM.

Quais sistemas operacionais o software cliente HSM dedicado suporta?

  • Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
  • Virtual: VMware, Hyper-V, Xen, KVM

Como configuro meu aplicativo cliente para criar uma configuração de alta disponibilidade com várias partições de vários HSMs?

Para ter alta disponibilidade, você precisa configurar a configuração do aplicativo cliente HSM para usar partições de cada HSM. Consulte a documentação do software cliente Thales HSM.

Quais mecanismos de autenticação são suportados pelo HSM dedicado?

O HSM Dedicado do Azure usa dispositivos Thales Luna 7 HSM modelo A790 e eles oferecem suporte à autenticação baseada em senha.

Quais SDKs, APIs, software cliente estão disponíveis para uso com HSM dedicado?

PKCS#11, Java (JCA/JCE), Microsoft CAPI e CNG, OpenSSL

Posso importar/migrar chaves de HSMs Luna 5/6 para HSMs dedicados do Azure?

Sim. Entre em contato com seu representante da Thales para obter o guia de migração apropriado da Thales.

Posso instalar módulos de funcionalidade nos HSMs Dedicados do Azure?

N.º O serviço HSM Dedicado do Azure não suporta módulos de funcionalidade.

Usando seu HSM

Como decido se devo usar o Azure Key Vault ou o Azure Dedicated HSM?

O HSM Dedicado do Azure é a opção apropriada para empresas que migram para aplicativos locais do Azure que usam HSMs. HSMs dedicados apresentam uma opção para migrar um aplicativo com alterações mínimas. Se as operações criptográficas forem executadas no código do aplicativo em execução em uma VM do Azure ou Aplicativo Web, eles poderão usar o HSM Dedicado. Em geral, o software empacotado por encolhimento executado em modelos IaaS (infraestrutura como serviço) que suportam HSMs como um armazenamento de chaves pode usar o HSM dedicado, como o gerenciador de tráfego para TLS sem chave, ADCS (Serviços de Certificados do Ative Directory) ou ferramentas PKI semelhantes, ferramentas/aplicativos usados para assinatura de documentos, assinatura de código ou um SQL Server (IaaS) configurado com TDE (criptografia de banco de dados transparente) com chave primária em um HSM usando um provedor EKM (gerenciamento extensível de chaves). O Azure Key Vault é adequado para aplicações "nascidas na nuvem" ou para cenários de encriptação em repouso em que os dados do cliente são processados por cenários PaaS (plataforma como serviço) ou SaaS (Software como serviço), como a Chave do Cliente do Office 365, a Proteção de Informações do Azure, a Encriptação de Disco do Azure, a encriptação da Loja Azure Data Lake com chave gerida pelo cliente, a encriptação do Armazenamento do Azure com chave gerida pelo cliente, e SQL do Azure com chave gerenciada pelo cliente.

Quais cenários de uso melhor se adequam ao HSM Dedicado do Azure?

O HSM Dedicado do Azure é mais adequado para cenários de migração nos quais você migra aplicativos locais para o Azure que já estão usando HSMs, fornecendo um método de baixo atrito para migrar para o Azure com alterações mínimas no aplicativo. Se as operações criptográficas forem executadas no código do aplicativo em execução na VM do Azure ou no Aplicativo Web, o HSM Dedicado poderá ser usado. Em geral, o software empacotado por encolhimento executado em modelos IaaS (infraestrutura como serviço) que suportam HSMs como um armazenamento de chaves pode usar o HSM dedicado, como:

  • Gerenciador de tráfego para TLS sem chave
  • ADCS (Serviços de Certificados do Ative Directory)
  • Ferramentas de PKI semelhantes
  • Ferramentas/aplicativos usados para assinatura de documentos
  • Assinatura de código
  • SQL Server (IaaS) configurado com TDE (criptografia de banco de dados transparente) com chave primária em um HSM usando um provedor EKM (gerenciamento extensível de chaves)

O HSM Dedicado pode ser utilizado com a Chave de Cliente do Office 365, o Azure Information Protection, o Azure Data Lake Store, a Encriptação de Discos, a encriptação de Armazenamento do Azure e o TDE do SQL do Azure?

N.º O HSM dedicado é provisionado diretamente no espaço de endereço IP privado de um cliente, portanto, não é acessível por outros serviços do Azure ou da Microsoft.

Administração, acesso e controle

O cliente tem controle exclusivo total sobre os HSMs com HSM dedicado?

Sim. Cada dispositivo HSM é totalmente dedicado a um único cliente e ninguém mais tem controle administrativo depois de provisionado e a senha de administrador alterada.

Que nível de acesso a Microsoft tem ao meu HSM?

A Microsoft não tem qualquer controlo administrativo ou criptográfico sobre o HSM. A Microsoft tem acesso de nível de monitor via conexão de porta serial para recuperar telemetria básica, como temperatura e integridade do componente, para permitir que a Microsoft forneça notificação proativa de problemas de integridade. Se necessário, o cliente pode desativar esta conta.

O que é a conta "tenant admin" que a Microsoft usa? Estou acostumado com o usuário admin sendo "admin" em HSMs Thales Luna

O dispositivo HSM vem com um usuário padrão de admin com sua senha padrão usual. A Microsoft não queria ter senhas padrão em uso enquanto qualquer dispositivo está em um pool aguardando provisionamento pelos clientes. Isto não cumpriria os nossos rigorosos requisitos de segurança. Por esse motivo, definimos uma senha forte, que é descartada no momento do provisionamento. Além disso, no momento do provisionamento, criamos um novo usuário na função de administrador chamado "administrador de locatário". O usuário "administrador do locatário" tem a senha padrão, que os clientes alteram como a primeira ação ao fazer login pela primeira vez no dispositivo recém-provisionado. Este processo garante elevados graus de segurança e mantém a nossa promessa de controlo administrativo exclusivo para os nossos clientes. Deve-se notar que o usuário "tenant admin" pode ser usado para redefinir a senha do usuário admin se um cliente preferir usar essa conta.

A Microsoft ou qualquer pessoa da Microsoft pode acessar chaves no meu HSM dedicado?

N.º A Microsoft não tem acesso às chaves armazenadas no HSM dedicado alocado pelo cliente.

O HSM Dedicado do Azure armazena dados do cliente?

N.º O HSM Dedicado do Azure é um HSM baremetal para serviço de locação. O nosso serviço não armazena dados de clientes. Todos os principais materiais e dados são armazenados no dispositivo HSM do cliente. Cada dispositivo HSM é totalmente dedicado a um único cliente, para o qual eles têm controle administrativo total.

Posso atualizar software/firmware em HSMs alocados para mim?

O cliente tem controlo administrativo total, incluindo a atualização de software/firmware se forem necessárias funcionalidades específicas de diferentes versões de firmware. Antes de fazer alterações, consulte o Suporte da Thales sobre o seu cenário de atualização de software/firmware.

Como faço para gerenciar o HSM dedicado?

Você pode gerenciar HSMs dedicados acessando-os usando SSH.

Como faço para gerenciar partições no HSM dedicado?

O software cliente Thales HSM é usado para gerenciar os HSMs e partições.

Como faço para monitorar meu HSM?

Um cliente tem acesso total aos logs de atividade do HSM via syslog e SNMP. Um cliente deve configurar um servidor syslog ou SNMP para receber os logs ou eventos dos HSMs.

Posso obter o log de acesso completo de todas as operações do HSM do HSM dedicado?

Sim. Você pode enviar logs do dispositivo HSM para um servidor syslog

Elevada disponibilidade

É possível configurar a alta disponibilidade na mesma região ou em várias regiões?

Sim. A configuração e a configuração de alta disponibilidade são realizadas no software cliente HSM fornecido pela Thales. HSMs da mesma rede virtual ou outras VNETs na mesma região ou entre regiões, ou HSMs locais conectados a uma rede virtual usando VPN site a site ou ponto a ponto podem ser adicionados à mesma configuração de alta disponibilidade. Deve-se notar que isso sincroniza apenas o material chave e não itens de configuração específicos, como funções.

Posso adicionar HSMs da minha rede local a um grupo de alta disponibilidade com o HSM Dedicado do Azure?

Sim. Eles devem atender aos requisitos de alta disponibilidade para HSMs Thales Luna 7

Posso adicionar HSMs Luna 5/6 de redes locais a um grupo de alta disponibilidade com o HSM Dedicado do Azure?

N.º

Quantos HSMs posso adicionar à mesma configuração de alta disponibilidade a partir de um único aplicativo?

Dezasseis membros de um grupo de HA foram submetidos a testes a todo o vapor com excelentes resultados.

Suporte

O que é o SLA para o serviço HSM dedicado?

Não há nenhuma garantia específica de tempo de atividade fornecida para o serviço HSM dedicado. A Microsoft garante o acesso em nível de rede ao dispositivo e, portanto, SLAs de rede padrão do Azure se aplicam.

Como os HSMs usados no HSM Dedicado do Azure são protegidos?

Os datacenters do Azure têm amplos controles de segurança físicos e processuais. Além disso, os HSMs dedicados são hospedados em uma área de acesso restrito adicional do datacenter. Essas áreas têm mais controles de acesso físico e vigilância por câmeras de vídeo para maior segurança.

O que acontece se houver uma violação de segurança ou um evento de adulteração de hardware?

O serviço HSM dedicado usa aparelhos Thales Luna 7 HSM . Esses dispositivos suportam deteção de adulteração física e lógica. Se houver um evento de violação, os HSMs serão automaticamente zerados.

Como posso garantir que as chaves nos meus HSMs dedicados não são perdidas devido a um erro ou a um ataque interno malicioso?

É altamente recomendável usar um dispositivo de backup HSM local para executar backup periódico regular dos HSMs para recuperação de desastres. Você deve usar uma conexão VPN ponto a ponto ou site a site com uma estação de trabalho local conectada a um dispositivo de backup HSM.

Como posso obter suporte para HSM dedicado?

O suporte é fornecido pela Microsoft e pela Thales. Se você tiver um problema com o hardware ou acesso à rede, faça uma solicitação de suporte com a Microsoft e, se tiver um problema com a configuração do HSM, software e desenvolvimento de aplicativos, levante uma solicitação de suporte com a Thales. Se você tiver um problema indeterminado, faça uma solicitação de suporte com a Microsoft e, em seguida, a Thales poderá ser contratada conforme necessário.

Como faço para obter o software cliente, documentação e acesso à orientação de integração para o Thales Luna 7 HSM?

Depois de se registar no serviço, receberá um ID de Cliente Thales que permite o registo no portal de apoio ao cliente Thales, permitindo o acesso a todo o software e documentação, bem como pedidos de suporte diretamente com a Thales.

Se for encontrada uma vulnerabilidade de segurança e um patch lançado pela Thales, quem é responsável pela atualização/aplicação de patches no SO/Firmware?

A Microsoft não tem a capacidade de se conectar a HSMs alocados para clientes. Os clientes devem atualizar e corrigir seus HSMs.

E se eu precisar reiniciar meu HSM?

O HSM tem uma opção de reinicialização de linha de comando, no entanto, estamos enfrentando problemas em que a reinicialização para de responder intermitentemente e, por esse motivo, é recomendado para a reinicialização mais segura que você levante uma solicitação de suporte com a Microsoft para ter o dispositivo fisicamente reinicializado.

Criptografia e padrões

É seguro armazenar chaves de criptografia para meus dados mais importantes no HSM dedicado?

Sim, o HSM dedicado fornece HSMs Thales Luna 7 que são FIPS 140-2 Nível 3 validados.

O HSM dedicado suporta quais chaves criptográficas e algoritmos?

Serviço HSM dedicado fornece aparelhos Thales Luna 7 HSM. Eles suportam uma ampla gama de tipos de chaves criptográficas e algoritmos, incluindo: Suporte completo ao Suite B

  • Assimétrico:
    • RSA
    • DSA
    • Diffie-Hellman
    • Curva Elíptica
    • Criptografia (ECDSA, ECDH, Ed25519, ECIES) com curvas nomeadas, definidas pelo usuário e Brainpool, KCDSA
  • Simétrico:
    • AES-GCM
    • Triplo DES
    • DES
    • ARIA, SEMENTES
    • RC2
    • RC4
    • RC5
    • CAST
    • Hash/Message Digest/HMAC: SHA-1, SHA-2, SM3
    • Derivação de chave: Modo de contador SP 800-108
    • Embrulho da chave: SP 800-38F
    • Geração de números aleatórios: DRBG aprovado pelo FIPS 140-2 (modo CTR SP 800-90), em conformidade com o BSI DRG.4

O HSM dedicado FIPS 140-2 Nível 3 é validado?

Sim. Serviço HSM dedicado fornece dispositivos Thales Luna 7 HSM modelo A790 que são FIPS 140-2 Nível 3 validados.

O que eu preciso fazer para ter certeza de que opero o HSM Dedicado no modo validado FIPS 140-2 Nível 3?

O serviço HSM dedicado fornece aparelhos Thales Luna 7 HSM. Esses dispositivos são HSMs validados pelo FIPS 140-2 Nível 3. A configuração padrão implantada, o sistema operacional e o firmware também são validados pelo FIPS. Você não precisa tomar nenhuma medida para conformidade com FIPS 140-2 Nível 3.

Como um cliente garante que, quando um HSM é desprovisionado, todo o material essencial é eliminado?

Antes de solicitar o desprovisionamento, um cliente deve ter zerado o HSM usando as ferramentas de cliente HSM fornecidas pela Thales.

Desempenho e dimensionamento

Quantas operações criptográficas são suportadas por segundo com HSM dedicado?

Disposições HSM dedicadas Thales Luna 7 HSMs. Aqui está um resumo do desempenho máximo para algumas operações:

  • RSA-2048: 10.000 transações por segundo
  • ECC P256: 20.000 transações por segundo
  • AES-GCM: 17.000 transações por segundo

Quantas partições podem ser criadas no HSM dedicado?

O modelo Thales Luna 7 HSM A790 usado inclui uma licença para 10 partições no custo do serviço. O dispositivo tem um limite de 100 partições e adicionar partições até este limite incorreria em custos de licenciamento adicionais e exigiria a instalação de um novo arquivo de licença no dispositivo.

Quantas chaves podem ser suportadas no HSM dedicado?

O número máximo de teclas é uma função da memória disponível. O Thales Luna 7 modelo A790 em uso tem 32 MB de memória. Os números a seguir também são aplicáveis a pares de chaves se usarem chaves assimétricas.

  • RSA-2048 - 19.000
  • CEC-P256 - 91.000

A capacidade varia dependendo dos atributos de chave específicos definidos no modelo de geração de chaves e do número de partições.