Perguntas Mais Frequentes (FAQ)

Um Módulo de Segurança de Hardware (HSM) é um dispositivo de computação física utilizado para salvaguardar e gerir chaves criptográficas. As chaves armazenadas em HSMs podem ser utilizadas para operações criptográficas. O material chave permanece em segurança em módulos de hardware invioláveis e invioláveis. O HSM só permite que as aplicações autenticadas e autorizadas utilizem as chaves. O material chave nunca sai do limite de proteção do HSM.

O Azure Dedicated HSM é um serviço baseado na cloud que fornece HSMs alojados em datacenters do Azure que estão diretamente ligados à rede virtual de um cliente. Estes HSMs são aplicações de rede dedicadas da Thales Luna 7 HSM . São implementados diretamente no espaço de endereços IP privados de um cliente e a Microsoft não tem acesso à funcionalidade criptográfica dos HSMs. Apenas o cliente tem controlo administrativo e criptográfico completo sobre estes dispositivos. Os clientes são responsáveis pela gestão do dispositivo e podem obter registos de atividades completos diretamente a partir dos respetivos dispositivos. Os HSMs dedicados ajudam os clientes a cumprir os requisitos de conformidade/regulamentação, tais como FIPS 140-2 Nível 3, HIPAA, PCI-DSS e eIDAS, entre muitos outros.

Os clientes têm de ter um Gestor de Contas Microsoft atribuído e cumprir o requisito monetário de cinco milhões de USD (5 milhões de dólares) ou superior na receita total consolidada do Azure anualmente para se qualificarem para integração e utilização do Azure Dedicated HSM.

A Microsoft estabeleceu uma parceria com a Thales para fornecer o serviço Azure Dedicated HSM. O dispositivo específico utilizado é o modelo A790 do Thales Luna 7 HSM. Este dispositivo não só fornece firmware validado FIPS 140-2 Nível 3 , como também oferece baixa latência, elevado desempenho e elevada capacidade através de 10 partições.

Os HSMs são utilizados para armazenar chaves criptográficas que são utilizadas para funcionalidades criptográficas, como TLS (segurança da camada de transporte), encriptação de dados, PKI (infraestrutura de chaves públicas), DRM (gestão de direitos digitais) e assinatura de documentos.

Os clientes podem aprovisionar HSMs em regiões específicas com o PowerShell ou a interface de linha de comandos. O cliente especifica a que rede virtual os HSMs serão ligados e, uma vez aprovisionados, os HSMs estarão disponíveis na sub-rede designada nos endereços IP atribuídos no espaço de endereços IP privados do cliente. Em seguida, os clientes podem ligar-se aos HSMs através de SSH para gestão e administração de aplicações, configurar ligações de cliente HSM, inicializar HSMs, criar partições, definir e atribuir funções como o responsável pela partição, o responsável pela criptografia e o utilizador criptografativo. Em seguida, o cliente utilizará as ferramentas de cliente HSM/SDK/software fornecidas pela Thales para realizar operações criptográficas a partir das respetivas aplicações.

A Thales fornece todo o software para o dispositivo HSM uma vez aprovisionado pela Microsoft. O software está disponível no portal de suporte ao cliente da Thales. Os clientes que utilizam o serviço HSM dedicado têm de estar registados para o suporte da Thales e ter um ID de Cliente que permita o acesso e a transferência de software relevante. O software de cliente suportado é a versão 7.2, que é compatível com a versão de firmware validada 7.0.3 do FIPS 140-2 Nível 3.

Os seguintes itens terão custos adicionais ao utilizar o serviço HSM dedicado.

• A utilização de dispositivos de cópia de segurança no local dedicados é viável para utilização com o serviço HSM dedicado. No entanto, tal implicará um custo adicional e deverá ser diretamente proveniente da Thales.
• O HSM dedicado é fornecido com uma licença de partição de 10. Se um cliente precisar de mais partições, tal implicará um custo adicional para licenças adicionais diretamente provenientes da Thales.
• O HSM dedicado requer a infraestrutura de rede (VNET, Gateway de VPN, etc.) e recursos, como máquinas virtuais para a configuração do dispositivo. Estes recursos adicionais incorrerão em custos adicionais e não serão incluídos nos preços do serviço HSM dedicado.

N.º O Azure Dedicated HSM fornece apenas HSMs com autenticação baseada em palavra-passe.

N.º O serviço HSM dedicado do Azure não suporta módulos de funcionalidade.

A Microsoft oferece apenas o modelo A790 do Thales Luna 7 HSM através do serviço HSM dedicado e não pode alojar dispositivos fornecidos pelo cliente.

O serviço Azure Dedicated HSM utiliza HSMs da Thales Luna 7. Estes dispositivos não suportam funcionalidades específicas do HSM de pagamento (como PIN ou EFT) ou certificações. Se quiser que o serviço HSM dedicado do Azure suporte HSMs de Pagamento no futuro, transmita o feedback ao seu Representante de Conta Microsoft.

A partir de outubro de 2022, o HSM Dedicado está disponível nas 22 regiões listadas abaixo. Outras regiões estão planeadas e podem ser abordadas através do seu Representante de Conta Microsoft.

• E.U.A. Leste
• E.U.A. Leste 2
• E.U.A. Oeste
• E.U.A. Oeste 2
• Leste do Canadá
• Canadá Central
• E.U.A. Centro-Sul
• Sudeste Asiático
• Índia Central
• Índia do Sul
• Leste do Japão
• Oeste do Japão
• Europa do Norte
• Europa Ocidental
• Sul do Reino Unido
• Oeste do Reino Unido
• Leste da Austrália
• Austrália Sudeste
• Norte da Suíça
• Oeste da Suíça
• US Gov - Virginia
• US Gov - Texas

A Thales forneceu ferramentas de cliente HSM/SDK/software para realizar operações criptográficas a partir das suas aplicações. O software está disponível no portal de suporte ao cliente da Thales. Os clientes que utilizam o serviço HSM dedicado têm de estar registados para o suporte da Thales e ter um ID de Cliente que permita o acesso e a transferência de software relevante.

Sim, terá de utilizar o VNET Peering numa região para estabelecer conectividade entre redes virtuais. Para conectividade entre regiões, tem de utilizar Gateway de VPN.

Sim, pode sincronizar HSMs no local com o HSM Dedicado. A VPN ponto a ponto ou a conectividade ponto a site podem ser utilizadas para estabelecer conectividade com a sua rede no local.

N.º Os HSMs dedicados do Azure só estão acessíveis a partir da sua rede virtual.

Sim, se tiver HSMs da Thales Luna 7 no local. Existem vários métodos. Veja a documentação do HSM da Thales.

• Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
• Virtual: VMware, Hyper-V, Xen, KVM

Para ter elevada disponibilidade, tem de configurar a configuração da aplicação cliente HSM para utilizar partições de cada HSM. Veja a documentação do software de cliente HSM da Thales.

O Azure Dedicated HSM utiliza dispositivos A790 do modelo A790 da Thales Luna 7 E suportam a autenticação baseada em palavra-passe.

PKCS#11, Java (JCA/JCE), Microsoft CAPI e CNG, OpenSSL

Sim. Contacte o representante da Thales para obter o guia de migração adequado da Thales.

N.º O serviço HSM dedicado do Azure não suporta módulos de funcionalidade.

O HSM Dedicado do Azure é a escolha adequada para as empresas que migram para aplicações no local do Azure que utilizam HSMs. Os HSMs dedicados apresentam uma opção para migrar uma aplicação com alterações mínimas. Se as operações criptográficas forem realizadas no código da aplicação em execução numa VM do Azure ou numa Aplicação Web, podem utilizar o HSM dedicado. Em geral, o software encapsulado com redução em execução em modelos IaaS (infraestrutura como serviço) que suportaM HSMs como um arquivo de chaves pode utilizar o HSM Dedicado, como o gestor de tráfego para TLS sem chave, ADCS (Serviços de Certificados do Active Directory) ou ferramentas PKI semelhantes, ferramentas/aplicações utilizadas para assinatura de documentos, assinatura de código ou um SQL Server (IaaS) configurado com TDE (encriptação de base de dados transparente) com chave mestra num HSM com um fornecedor EKM (gestão de chaves extensíveis). O Azure Key Vault é adequado para aplicações "born-in-cloud" ou para encriptação em cenários inativos em que os dados dos clientes são processados por cenários PaaS (plataforma como serviço) ou SaaS (Software como serviço), como Office 365 Customer Key, Azure Information Protection , Encriptação de Discos do Azure, encriptação do Azure Data Lake Store com chave gerida pelo cliente, encriptação do Armazenamento do Azure com chave gerida pelo cliente e SQL do Azure com chave gerida pelo cliente.

O HSM dedicado do Azure é o mais adequado para cenários de migração. Isto significa que, se estiver a migrar aplicações no local para o Azure que já estão a utilizar HSMs. Isto fornece uma opção de baixa fricção para migrar para o Azure com alterações mínimas à aplicação. Se as operações criptográficas forem realizadas no código da aplicação em execução na VM do Azure ou na Aplicação Web, poderá ser utilizado o HSM dedicado. Em geral, o software encapsulado com redução em execução em modelos IaaS (infraestrutura como serviço) que suportaM HSMs como um arquivo de chaves pode utilizar o HSM Dedicado, como:

• Gestor de Tráfego para TLS Sem Chave
• ADCS (Serviços de Certificados do Active Directory)
• Ferramentas PKI semelhantes
• Ferramentas/aplicações utilizadas para assinatura de documentos
• Assinatura de código
• SQL Server (IaaS) configurado com tDE (encriptação de base de dados transparente) com chave mestra num HSM com um fornecedor de EKM (gestão de chaves extensíveis)

N.º O HSM dedicado é aprovisionado diretamente no espaço de Endereços IP privados de um cliente, pelo que não é acessível por outros serviços do Azure ou da Microsoft.

Sim. Cada aplicação HSM é totalmente dedicada a um único cliente e mais ninguém tem controlo administrativo uma vez aprovisionado e a palavra-passe do administrador foi alterada.

A Microsoft não tem qualquer controlo administrativo ou criptográfico sobre o HSM. A Microsoft tem acesso ao nível de monitorização através da ligação de porta de série para obter telemetria básica, como a temperatura e o estado de funcionamento dos componentes. Isto permite que a Microsoft forneça uma notificação proativa de problemas de estado de funcionamento. Se necessário, o cliente pode desativar esta conta.

O dispositivo HSM é fornecido com um utilizador predefinido de administrador com a palavra-passe predefinida habitual. A Microsoft não queria ter palavras-passe predefinidas em utilização enquanto qualquer dispositivo estiver num conjunto à espera de ser aprovisionado pelos clientes. Isto não cumpriria os nossos rigorosos requisitos de segurança. Por este motivo, definimos uma palavra-passe segura, que é eliminada no momento do aprovisionamento. Além disso, no momento do aprovisionamento, criamos um novo utilizador na função de administrador denominada "administrador inquilino". Este utilizador tem a palavra-passe predefinida e os clientes alteram-na como a primeira ação quando iniciam sessão no dispositivo recentemente aprovisionado. Este processo garante elevados graus de segurança e mantém a nossa promessa de controlo administrativo exclusivo para os nossos clientes. Deve ser notado que o utilizador "administrador de inquilinos" pode ser utilizado para repor a palavra-passe de utilizador administrador se um cliente preferir utilizar essa conta.

N.º A Microsoft não tem acesso às chaves armazenadas no HSM Dedicado atribuído pelo cliente.

N.º O Azure Dedicated HSM é um HSM baremetal para o serviço de concessão. O nosso serviço não armazena dados de clientes. Todos os principais materiais e dados são armazenados na aplicação HSM dos clientes. Cada aplicação HSM é totalmente dedicada a um único cliente, que tem controlo administrativo total.

O cliente tem controlo administrativo total, incluindo a atualização de software/firmware se forem necessárias funcionalidades específicas de diferentes versões de firmware. Antes de efetuar alterações, consulte a Microsoft sobre a atualização ao contactar HSMRequest@microsoft.com

Pode gerir HSMs dedicados ao aceder aos mesmos através de SSH.

O software de cliente HSM da Thales é utilizado para gerir os HSMs e as partições.

Um cliente tem acesso total aos registos de atividades do HSM através do syslog e do SNMP. Um cliente terá de configurar um servidor syslog ou um servidor SNMP para receber os registos ou eventos dos HSMs.

Sim. Pode enviar registos da aplicação HSM para um servidor syslog

Sim. A configuração e a configuração de elevada disponibilidade são realizadas no software de cliente HSM fornecido pela Thales. Os HSMs da mesma VNET ou de outras VNETs na mesma região ou em várias regiões, ou HSMs no local ligados a uma VNET com VPN ponto a site ou ponto a ponto podem ser adicionados à mesma configuração de elevada disponibilidade. Deve ser notado que esta ação sincroniza apenas material chave e não itens de configuração específicos, como funções.

Sim. Têm de cumprir os requisitos de elevada disponibilidade para os HSMs da Thales Luna 7

N.º

16 membros de um grupo ha têm testes de limitação total e sub-desaparecidos com excelentes resultados.

Não existe nenhuma garantia de tempo de atividade específica fornecida para o serviço HSM dedicado. A Microsoft garantirá o acesso ao nível da rede ao dispositivo e, por conseguinte, aplicam-se SLAs de rede padrão do Azure.

Os datacenters do Azure têm controlos de segurança físicos e processuais extensos. Além disso, os HSMs dedicados estão alojados numa área de acesso restrito adicional do datacenter. Estas áreas têm controlos de acesso físico adicionais e vigilância de câmaras de vídeo para maior segurança.

O serviço HSM dedicado utiliza aplicações Thales Luna 7 HSM . Estes dispositivos suportam a deteção de adulteração física e lógica. Se alguma vez existir um evento de adulteração, os HSMs serão automaticamente zeroados.

É altamente recomendado utilizar um dispositivo de cópia de segurança HSM no local para realizar cópias de segurança periódicas regulares dos HSMs para recuperação após desastre. Terá de utilizar uma ligação VPN ponto a ponto ou site a site a uma estação de trabalho no local ligada a um dispositivo de cópia de segurança HSM.

O suporte é fornecido pela Microsoft e pela Thales. Se tiver um problema com o acesso ao hardware ou à rede, crie um pedido de suporte junto da Microsoft e, se tiver um problema com a configuração do HSM, o software e o desenvolvimento de aplicações, crie um pedido de suporte com a Thales. Se tiver um problema indeterminado, crie um pedido de suporte junto da Microsoft e, em seguida, a Thales pode ser envolvida conforme necessário.

Depois de se registar no serviço, será fornecido um ID de Cliente da Thales que permite o registo no portal de suporte ao cliente da Thales. Isto irá permitir o acesso a todo o software e documentação, bem como ativar os pedidos de suporte diretamente com a Thales.

A Microsoft não tem a capacidade de ligar a HSMs alocados aos clientes. Os clientes têm de atualizar e corrigir os seus HSMs.

O HSM tem uma opção de reinício da linha de comandos, no entanto, estamos a ter problemas em que o reinício deixa de responder de forma intermitente e, por este motivo, é recomendado para o reinício mais seguro que crie um pedido de suporte com a Microsoft para que o dispositivo seja reiniciado fisicamente.

Sim, o HSM dedicado aprovisiona A thales Luna 7 HSMs que são FIPS 140-2 Level-3 validadas.

O serviço HSM dedicado aprovisiona aplicações Thales Luna 7 HSM. Suportam uma vasta gama de tipos de chaves criptográficas e algoritmos, incluindo: Suporte do Full Suite B

• Assimétrico:
  • RSA
  • DSA
  • Diffie-Hellman
  • Curva Elíptica
  • Criptografia (ECDSA, ECDH, Ed25519, ECIES) com curvas nomeadas, definidas pelo utilizador e Brainpool, KCDSA
• Simétrica:
  • AES-GCM
  • Triple DES
  • DES
  • ARIA, SEED
  • RC2
  • RC4
  • RC5
  • CAST
  • Hash/Message Digest/HMAC: SHA-1, SHA-2, SM3
  • Derivação de Chaves: Modo de Contador SP 800-108
  • Moldagem de Chaves: SP 800-38F
  • Geração de Números Aleatórios: FIPS 140-2 DRBG aprovado (modo CTR SP 800-90), em conformidade com o DRG.4 do BSI

Sim. O serviço HSM dedicado aprovisiona aplicações A790 do modelo A790 da Thales Luna 7 que são validadas por FIPS 140-2 Nível 3 .

O serviço HSM dedicado aprovisiona aplicações Thales Luna 7 HSM. Estes dispositivos são HSMs validados de Nível 3 FIPS 140-2. A configuração, o sistema operativo e o firmware implementados predefinidos também são validados por FIPS. Não precisa de efetuar qualquer ação para a conformidade com o FIPS 140-2 Nível 3.

Antes de pedir o desaprovisionamento, um cliente tem de ter zeroado o HSM com as ferramentas de cliente HSM fornecidas pela Thales.

Dedicated HSM provisions Thales Luna 7 HSMs. Eis um resumo do desempenho máximo para algumas operações:

• RSA-2048: 10 000 transações por segundo
• ECC P256: 20 000 transações por segundo
• AES-GCM: 17 000 transações por segundo

O modelo A790 do Thales Luna 7 HSM utilizado inclui uma licença para 10 partições no custo do serviço. O dispositivo tem um limite de 100 partições e adicionar partições até este limite implicaria custos de licenciamento adicionais e exigiria a instalação de um novo ficheiro de licença no dispositivo.

O número máximo de chaves é uma função da memória disponível. O modelo A790 da Thales Luna 7 em utilização tem 32 MB de memória. Os seguintes números também são aplicáveis aos pares de chaves se utilizar chaves assimétricas.

• RSA-2048 - 19.000
• ECC-P256 - 91.000

A capacidade irá variar consoante os atributos de chave específicos definidos no modelo de geração de chaves e no número de partições.