Вопросы и ответы о Azure Cloud HSM

Найдите ответы на распространенные вопросы о Microsoft Azure Cloud HSM.

Общие вопросы

Что такое Azure Cloud HSM?

Microsoft Azure Cloud HSM — это служба, которая обеспечивает безопасное хранилище для криптографических ключей с помощью аппаратных модулей безопасности (HSM), которые соответствуют стандарту безопасности FIPS 140-3 уровня 3. Это управляемая клиентом, однотенантная и высокодоступная служба, которая соответствует отраслевым стандартам.

Azure Cloud HSM поддерживает различные приложения, включая PKCS#11, разгрузку протокола SSL или tls, защиту закрытого ключа центра сертификации (ЦС) и прозрачное шифрование данных (TDE). Он также поддерживает подписывание документов и кода.

Azure Cloud HSM обеспечивает высокую доступность и избыточность путем группировки нескольких виртуальных машин HSM в кластер и автоматической синхронизации между тремя экземплярами HSM. Кластер HSM поддерживает балансировку нагрузки криптографических операций. Периодические резервные копии HSM помогают обеспечить безопасное и простое восстановление данных. Дополнительные сведения см. в статье "Что такое Azure Cloud HSM?".

Что такое HSM?

Аппаратный модуль безопасности (HSM) — это физическое вычислительное устройство, предназначенное для защиты и администрирования криптографических ключей. В HSM ключи безопасно хранятся и используются для криптографических операций. Модули оборудования, устойчивые к незаконному изменению, помогают обеспечить конфиденциальность и целостность этих ключей. Доступ к ключам ограничен проверкой подлинности и авторизованными приложениями, поэтому материал ключа всегда остается в защищенной границе HSM. Дополнительные сведения см. в статье "Защита развертывания Azure Cloud HSM".

Какое оборудование используется для azure Cloud HSM?

Azure Cloud HSM использует аппаратные модули безопасности Marvell LiquidSecurity. Дополнительные сведения о спецификациях служб см. в разделе об ограничениях службы Azure Cloud HSM.

Какое программное обеспечение предоставляется в Azure Cloud HSM?

Корпорация Майкрософт предоставляет все программное обеспечение и средства для Azure Cloud HSM с помощью пакета SDK. Вы можете скачать пакет SDK azure Cloud HSM из GitHub. Дополнительные сведения о вариантах интеграции см. в руководствах по интеграции Azure Cloud HSM.

Нужно ли управлять встроенного ПО на устройстве HSM?

Нет, корпорация Майкрософт контролирует встроенное ПО на оборудовании. Сторонний поставщик (производитель HSM) поддерживает оборудование. NIST оценивает встроенное ПО и должен подписать его, чтобы обеспечить соответствие стандартам FIPS 140-3 уровня 3. Дополнительные сведения об управлении оборудованием см. в статье "Что такое Azure Cloud HSM?".

Как решить, следует ли использовать Azure Cloud HSM или Управляемый HSM Azure?

Azure предлагает несколько решений для хранения криптографических ключей и управления ими в облаке: Azure Key Vault (стандартные и премиум-предложения), Управляемого HSM Azure, Azure Cloud HSM и HSM для оплаты Azure. Это может быть подавляющим для клиентов, чтобы решить, какое решение лучше всего подходит для них. Блок-схема, основанная на распространенных высокоуровневых требованиях и сценариях управления ключами, доступна для того, чтобы помочь клиентам принять это решение. Узнайте , как выбрать подходящее решение для управления ключами.

Какие сценарии использования лучше всего подходят для Azure Cloud HSM?

Azure Cloud HSM лучше всего подходит для сценариев миграции при переносе локальных приложений, которые уже используют HSM в Azure. Azure Cloud HSM предоставляет возможность перехода в Azure с минимальными изменениями в приложении.

Если криптографические операции выполняются в коде приложения, работающем на виртуальной машине Azure или веб-приложении, организация может использовать cloud HSM. Как правило, программное обеспечение с сжатием, работающее в инфраструктуре как услуга (IaaS), которые поддерживают HSM в качестве хранилища ключей, могут использовать cloud HSM. Это программное обеспечение включает:

• Службы сертификатов Active Directory (AD CS).
• Разгрузка SSL/TLS для NGINX и Apache.
• Средства и приложения, используемые для подписывания документов.
• Подписывание кода.
• Приложения Java, требующие поставщика расширения шифрования Java (JCE).
• Microsoft SQL Server TDE (IaaS) через расширяемое управление ключами (EKM).
• Oracle TDE.

Дополнительные сведения о реализации этих сценариев см. в руководствах по интеграции Azure Cloud HSM.

Может ли azure Cloud HSM размещать мои HSM для меня?

Нет. Корпорация Майкрософт не поддерживает "принести собственный HSM". Azure Cloud HSM не может размещать устройства, предоставляемые клиентом. Дополнительные сведения об архитектуре службы см. в статье "Что такое Azure Cloud HSM?".

Можно ли перенести ключи в выделенном HSM Azure в Azure Cloud HSM?

Да, но это зависит от вашей архитектуры и конфигурации. Если развертывание выделенного устройства HSM настроено в группе высокой доступности (HA), невозможно перенести ключи. Причина в том, что экспорт ключей отключен, чтобы разрешить клонирование ключей (группирование высокой доступности), а изменение этих атрибутов — разрушительный процесс. Если развертывание выделенного устройства HSM настроено в группе высокой доступности, необходимо создать новые ключи при миграции в Облако HSM Azure. Дополнительные сведения об управлении ключами см. в статье "Управление ключами" в Azure Cloud HSM.

Подключение клиентов

Имеет ли Azure Cloud HSM денежно-кредитную политику для подключения?

Нет, Azure Cloud HSM не имеет денежно-кредитной политики. Подключение Azure Cloud HSM открыто для всех клиентов. Дополнительные сведения о начале работы см. в руководстве по подключению Azure Cloud HSM.

Выставление счетов

Как взимается плата и выставляется счет за использование Облачного устройства HSM Azure?

За каждый кластер Azure Cloud HSM взимается почасовая плата, которая состоит из трех узлов. После подготовки ресурса Cloud HSM он остается постоянно активным (всегда включен). Выставление счетов начинается при подготовке ресурса, а не после завершения инициализации ресурса HSM. Дополнительные сведения о вариантах развертывания см. в статье "Развертывание Azure Cloud HSM" с помощью PowerShell или развертывания Облачного HSM Azure с помощью портала Azure.

Какие дополнительные расходы могут потребоваться для службы Azure Cloud HSM?

Azure Cloud HSM требует сетевой инфраструктуры, например виртуальной сети и частной конечной точки. Для настройки устройства также требуются такие ресурсы, как виртуальные машины. Эти ресурсы несут дополнительные затраты и не включаются в цены на службу Azure Cloud HSM. Дополнительные сведения о требованиях к сети см. в статье "Безопасность сети" для облачного устройства HSM Azure.

Имеет ли служба Azure Cloud HSM бесплатный уровень?

Нет, бесплатный уровень недоступен для облачного устройства HSM Azure. Дополнительные сведения о предложениях служб см. в статье "Что такое Azure Cloud HSM?".

Совместимость

Какие операционные системы поддерживают пакет SDK azure Cloud HSM?

• Windows Server 2016, 2019 и 2022
• Linux (Ubuntu 20.04, Ubuntu 22.04, Ubuntu 24.04, RHEL 7, RHEL 8 и RHEL 9)
• CBL Mariner 2

Дополнительные сведения о совместимости и устранении неполадок см. в статье "Устранение неполадок Azure Cloud HSM".

Как управлять azure Cloud HSM?

Вы управляете развертыванием службы путем доступа к кластеру Azure Cloud HSM через Secure Shell (SSH) и пакет SDK azure Cloud HSM из GitHub. Дополнительные сведения об операциях управления см. в разделе "Управление пользователями" в Azure Cloud HSM.

Как приложение подключается к Azure Cloud HSM?

Пакет SDK azure Cloud HSM содержит программное обеспечение и средства для выполнения криптографических операций в приложениях. Azure Cloud HSM поддерживает различные интерфейсы, включая PKCS#11, OpenSSL, JCE, поставщик хранилища ключей (KSP) и API шифрования: следующее поколение (CNG). Набор средств в пакете SDK обеспечивает простое взаимодействие с HSM.

Вы можете скачать пакет SDK azure Cloud HSM из GitHub. Дополнительные сведения о методах подключения см. в статье "Проверка подлинности" в Azure Cloud HSM.

Поддерживает ли Azure Cloud HSM проверку подлинности на основе паролей и PED?

Azure Cloud HSM поддерживает только проверку подлинности на основе паролей. Он не поддерживает проверку подлинности с помощью устройства ввода ПИН-кода (PED). Дополнительные сведения о методах проверки подлинности см. в статье "Проверка подлинности" в Облачном HSM Azure.

Может ли приложение подключаться к Облачному HSM Azure из другой виртуальной сети в пределах региона или между регионами?

Да. Используйте пиринг между виртуальными сетями в регионе, чтобы установить подключение между виртуальными сетями. Для подключения между регионами используйте пиринг глобальной виртуальной сети или VPN-шлюз. Дополнительные сведения о конфигурациях сети см. в разделе " Безопасность сети" для облачного устройства HSM Azure.

Работает ли Azure Cloud HSM с локальными HSM?

Нет. Хотя azure Cloud HSM напрямую не взаимодействует с локальными HSM, вы можете безопасно передавать экспортируемые ключи между Azure Cloud HSM и большинством коммерческих HSM с помощью одного из нескольких поддерживаемых методов оболочки ключей. Дополнительные сведения об управлении ключами см. в статье "Управление ключами" в Azure Cloud HSM.

Можно ли использовать ключи, хранящиеся в облаке Azure HSM, для шифрования данных, используемых другими службами Azure?

Нет. Кластеры Azure Cloud HSM доступны только из виртуальной сети. Дополнительные сведения об ограничениях служб см. в статье "Что такое Azure Cloud HSM?".

Можно ли использовать Azure Cloud HSM с ключом клиента Microsoft Purview, Azure Information Protection, Azure Data Lake Storage, шифрованием дисков Azure или шифрованием службы хранилища Azure?

Нет. Azure Cloud HSM подготавливается непосредственно в частное ПРОСТРАНСТВО IP-адресов, поэтому другие службы Azure или Майкрософт не могут получить к нему доступ. Дополнительные сведения о возможностях и ограничениях служб см. в статье "Что такое Azure Cloud HSM?".

Можно ли импортировать ключи из существующих локальных HSM в Облако HSM Azure?

Да. Существует несколько методов для привлечения собственного ключа (BYOK) и наличия локальных HSM, позволяющих экспортировать ключи (оболочку ключей). Дополнительные сведения об операциях импорта ключей см. в разделе "Управление ключами" в Azure Cloud HSM.

Можно ли установить модули функциональных возможностей в Azure Cloud HSM?

Нет. Служба Azure Cloud HSM не поддерживает модули функциональности. Дополнительные сведения о возможностях служб см. в разделе об ограничениях службы Azure Cloud HSM.

Можно ли обновить сертификат владельца секции после его отправки?

Нет. После отправки сертификата владельца секции нельзя изменить. При отправке PO.crt ошибки необходимо удалить ресурс Azure Cloud HSM и снова развернуть его.

Непрерывность бизнес-процессов

Можно ли восстановить резервную копию в исходном ресурсе Azure Cloud HSM?

Нет. Вы не можете восстановить резервную копию в исходном ресурсе Azure Cloud HSM, так как он находится в активированном состоянии. Дополнительные сведения об операциях резервного копирования и восстановления см. в статье "Резервное копирование и восстановление" в Облачном HSM Azure.

Можно ли восстановить резервную копию в другом целевом ресурсе Azure Cloud HSM, который находится в активированном состоянии?

Нет. Azure Cloud HSM не поддерживает восстановление резервной копии в исходном HSM или любом ресурсе Облачного HSM, который уже активирован. В противном случае операция восстановления завершится ошибкой и переместит целевой ресурс HSM в нефункциональное состояние. Дополнительные сведения о процессе восстановления см. в рекомендациях по восстановлению облачного модуля HSM Azure.

Можно ли восстановить резервную копию в другом ресурсе Azure Cloud HSM в другом регионе?

Да. Вы можете восстановить резервную копию в другом ресурсе Azure Cloud HSM в любом регионе, если целевой ресурс Облачного HSM не находится в активированном состоянии. Дополнительные сведения о восстановлении между регионами см. в разделе "Восстановление между регионами" для azure Cloud HSM.

Можно ли создать несколько управляемых удостоверений на кластер Azure Cloud HSM?

Нет. Для каждого кластера Azure Cloud HSM разрешено только одно управляемое удостоверение. Дополнительные сведения об управлении удостоверениями и доступом см. в статье "Применение управляемого удостоверения" и создание учетной записи хранения.

Можно ли применять более строгие разрешения на чтение и запись для источника и назначения для резервных копий?

Да. Минимальная роль управления доступом на основе ролей (RBAC) является участником данных BLOB-объектов хранилища. Вы можете ограничить источник только для чтения, но вам нужны разрешения на чтение и запись в назначении. Дополнительные сведения об управлении доступом см. в разделе "Применение управляемого удостоверения" и создание учетной записи хранения.

Безопасность и соответствие требованиям

Совместно использовать ресурс Azure Cloud HSM с другими клиентами Azure?

Нет. С помощью Azure Cloud HSM вы имеете эксклюзивный административный доступ к HSM в качестве одного клиента. Дополнительные сведения об архитектуре службы см. в статье "Что такое Azure Cloud HSM?".

Может ли корпорация Майкрософт или любой пользователь в ключах доступа Майкрософт в ресурсе Azure Cloud HSM?

Нет. Корпорация Майкрософт не имеет доступа к ключам, хранящимся в выделенных клиентом HSM. Дополнительные сведения об элементах управления безопасностью см. в статье "Защита развертывания Azure Cloud HSM".

Как корпорация Майкрософт управляет HSM без доступа к моим ключам шифрования?

В архитектуре Azure Cloud HSM разделение обязанностей и управление доступом на основе ролей являются основными принципами. Корпорация Майкрософт не имеет никакого криптографического контроля над выделенными клиентом HSM или контролем над пользователями HSM, кроме собственной ограниченной роли в качестве пользователя устройства.

Корпорация Майкрософт имеет ограниченные разрешения на HSM. Эти разрешения позволяют отслеживать, обслуживать работоспособность и доступность, зашифрованные резервные копии и извлекать и публикацию неизменяемых журналов аудита в указанное хранилище клиента. Эти разрешения не позволяют корпорации Майкрософт использовать ключи, принадлежащие пользователям криптографии, для выполнения криптографических операций. Дополнительные сведения об оперативном ведении журнала см. в разделе "Настройка и ведение журнала событий операций запроса" для облачного HSM Azure.

Хранит ли данные клиента Azure Cloud HSM?

Нет, Azure Cloud HSM не сохраняет данные клиента. Все ключевые материалы и данные размещаются в HSM клиента. Каждый кластер Azure Cloud HSM предназначен исключительно для одного клиента, который имеет административный контроль. Дополнительные сведения о защите данных см. в статье "Защита развертывания Azure Cloud HSM".

Поддерживает ли Azure Cloud HSM FIPS 140-3 уровня 3?

Да, Azure Cloud HSM предлагает модули HSM, которые проверяются для соответствия стандартам FIPS 140-3 уровня 3. Процедуры проверки подлинности HSM, включая проверку сертификации FIPS 140-3 уровня 3 из NIST, см. в руководстве по подключению. Дополнительные сведения о соответствии см. в статье "Что такое Azure Cloud HSM?".

Поддерживает ли Azure Cloud HSM eIDAS?

Да. Azure Cloud HSM поддерживает соответствие eIDAS в австрийской схеме путем предоставления безопасного управления ключами, криптографических операций и FIPS 140-3 уровня 3, проверенного оборудования для соблюдения строгих требований к квалифицированным электронным подписям и запечаткам, чтобы обеспечить соответствие нормативным требованиям. Дополнительные сведения см. в сертификате QSCD. Дополнительные сведения о стандартах безопасности см. в статье "Защита развертывания Azure Cloud HSM".

Что произойдет, если кто-то перенаделает оборудование HSM?

Azure Cloud HSM включает как физические, так и логические механизмы обнаружения и реагирования, которые инициируют удаление ключей (ноль) оборудования. Эти меры предназначены для обнаружения нарушений, если физический барьер скомпрометирован.

Кроме того, HSM защищены от атак подбора при входе. Система блокирует сотрудники криптографии (COS) после заданного количества неудачных попыток доступа. Аналогичным образом повторные неудачные попытки доступа к HSM с учетными данными пользователя шифрования (CU) приводят к блокировке пользователя. Затем CO должен разблокировать накопительный пакет обновления. Для разблокировки co требуется getChallenge и подписывать задачу с PO.key помощью OpenSSL, а затем unlockCO и changePswd команды. Дополнительные сведения о функциях безопасности см. в статье "Защита развертывания Azure Cloud HSM".

Поддержка

Как получить поддержку azure Cloud HSM?

Корпорация Майкрософт упрощает все поддержку облачного устройства HSM Azure. При возникновении проблем, связанных с оборудованием, программным обеспечением, конфигурацией HSM или сетевым доступом, отправьте запрос на поддержку корпорации Майкрософт. Дополнительные сведения о распространенных проблемах и решениях см. в статье "Устранение неполадок с облаком Azure HSM".

Как HSM используются в облачной среде HSM Azure?

Центры обработки данных Azure имеют обширные физические и процедурные средства управления безопасностью. Кроме того, виртуальные машины HSM в Облаке Azure размещаются в области ограниченного доступа центра обработки данных с физическими средствами управления доступом и видеонаблюдением для дополнительной безопасности. Дополнительные сведения о физической безопасности см. в статье "Защита развертывания Azure Cloud HSM".

Может ли корпорация Майкрософт восстановить свои ключи, если я потеряю учетные данные для устройства HSM?

Нет. Корпорация Майкрософт не имеет доступа к вашим ключам или учетным данным и не может восстановить ключи, если вы потеряете свои учетные данные. Дополнительные сведения об управлении учетными данными см. в разделе "Управление пользователями" в Azure Cloud HSM.

Есть ли в Azure Cloud HSM запланированные периоды обслуживания?

Нет, хотя корпорации Майкрософт может потребоваться выполнить обслуживание для необходимых обновлений или неисправного оборудования. Мы заранее уведомляем клиентов, если мы ожидаем какого-либо влияния. Дополнительные сведения об операционных рекомендациях см. в статье "Защита развертывания Azure Cloud HSM".

Что такое соглашение об уровне обслуживания для Azure Cloud HSM?

Сведения о соглашениях уровня обслуживания см. в соглашениях об уровне обслуживания для веб-служб. Дополнительные сведения о надежности службы см. в статье "Что такое Azure Cloud HSM?".

Найдите ответы на распространенные вопросы о Microsoft Azure Cloud HSM.

Microsoft Azure Cloud HSM — это служба, которая обеспечивает безопасное хранилище для криптографических ключей с помощью аппаратных модулей безопасности (HSM), которые соответствуют стандарту безопасности FIPS 140-3 уровня 3. Это управляемая клиентом, однотенантная и высокодоступная служба, которая соответствует отраслевым стандартам.

Azure Cloud HSM поддерживает различные приложения, включая PKCS#11, разгрузку протокола SSL или tls, защиту закрытого ключа центра сертификации (ЦС) и прозрачное шифрование данных (TDE). Он также поддерживает подписывание документов и кода.

Azure Cloud HSM обеспечивает высокую доступность и избыточность путем группировки нескольких виртуальных машин HSM в кластер и автоматической синхронизации между тремя экземплярами HSM. Кластер HSM поддерживает балансировку нагрузки криптографических операций. Периодические резервные копии HSM помогают обеспечить безопасное и простое восстановление данных. Дополнительные сведения см. в статье "Что такое Azure Cloud HSM?".

Аппаратный модуль безопасности (HSM) — это физическое вычислительное устройство, предназначенное для защиты и администрирования криптографических ключей. В HSM ключи безопасно хранятся и используются для криптографических операций. Модули оборудования, устойчивые к незаконному изменению, помогают обеспечить конфиденциальность и целостность этих ключей. Доступ к ключам ограничен проверкой подлинности и авторизованными приложениями, поэтому материал ключа всегда остается в защищенной границе HSM. Дополнительные сведения см. в статье "Защита развертывания Azure Cloud HSM".

Azure Cloud HSM использует аппаратные модули безопасности Marvell LiquidSecurity. Дополнительные сведения о спецификациях служб см. в разделе об ограничениях службы Azure Cloud HSM.

Корпорация Майкрософт предоставляет все программное обеспечение и средства для Azure Cloud HSM с помощью пакета SDK. Вы можете скачать пакет SDK azure Cloud HSM из GitHub. Дополнительные сведения о вариантах интеграции см. в руководствах по интеграции Azure Cloud HSM.

Нет, корпорация Майкрософт контролирует встроенное ПО на оборудовании. Сторонний поставщик (производитель HSM) поддерживает оборудование. NIST оценивает встроенное ПО и должен подписать его, чтобы обеспечить соответствие стандартам FIPS 140-3 уровня 3. Дополнительные сведения об управлении оборудованием см. в статье "Что такое Azure Cloud HSM?".

Azure предлагает несколько решений для хранения криптографических ключей и управления ими в облаке: Azure Key Vault (стандартные и премиум-предложения), Управляемого HSM Azure, Azure Cloud HSM и HSM для оплаты Azure. Это может быть подавляющим для клиентов, чтобы решить, какое решение лучше всего подходит для них. Блок-схема, основанная на распространенных высокоуровневых требованиях и сценариях управления ключами, доступна для того, чтобы помочь клиентам принять это решение. Узнайте , как выбрать подходящее решение для управления ключами.

Azure Cloud HSM лучше всего подходит для сценариев миграции при переносе локальных приложений, которые уже используют HSM в Azure. Azure Cloud HSM предоставляет возможность перехода в Azure с минимальными изменениями в приложении.

Если криптографические операции выполняются в коде приложения, работающем на виртуальной машине Azure или веб-приложении, организация может использовать cloud HSM. Как правило, программное обеспечение с сжатием, работающее в инфраструктуре как услуга (IaaS), которые поддерживают HSM в качестве хранилища ключей, могут использовать cloud HSM. Это программное обеспечение включает:

• Службы сертификатов Active Directory (AD CS).
• Разгрузка SSL/TLS для NGINX и Apache.
• Средства и приложения, используемые для подписывания документов.
• Подписывание кода.
• Приложения Java, требующие поставщика расширения шифрования Java (JCE).
• Microsoft SQL Server TDE (IaaS) через расширяемое управление ключами (EKM).
• Oracle TDE.

Дополнительные сведения о реализации этих сценариев см. в руководствах по интеграции Azure Cloud HSM.

Нет. Корпорация Майкрософт не поддерживает "принести собственный HSM". Azure Cloud HSM не может размещать устройства, предоставляемые клиентом. Дополнительные сведения об архитектуре службы см. в статье "Что такое Azure Cloud HSM?".

Да, но это зависит от вашей архитектуры и конфигурации. Если развертывание выделенного устройства HSM настроено в группе высокой доступности (HA), невозможно перенести ключи. Причина в том, что экспорт ключей отключен, чтобы разрешить клонирование ключей (группирование высокой доступности), а изменение этих атрибутов — разрушительный процесс. Если развертывание выделенного устройства HSM настроено в группе высокой доступности, необходимо создать новые ключи при миграции в Облако HSM Azure. Дополнительные сведения об управлении ключами см. в статье "Управление ключами" в Azure Cloud HSM.

Нет, Azure Cloud HSM не имеет денежно-кредитной политики. Подключение Azure Cloud HSM открыто для всех клиентов. Дополнительные сведения о начале работы см. в руководстве по подключению Azure Cloud HSM.

За каждый кластер Azure Cloud HSM взимается почасовая плата, которая состоит из трех узлов. После подготовки ресурса Cloud HSM он остается постоянно активным (всегда включен). Выставление счетов начинается при подготовке ресурса, а не после завершения инициализации ресурса HSM. Дополнительные сведения о вариантах развертывания см. в статье "Развертывание Azure Cloud HSM" с помощью PowerShell или развертывания Облачного HSM Azure с помощью портала Azure.

Azure Cloud HSM требует сетевой инфраструктуры, например виртуальной сети и частной конечной точки. Для настройки устройства также требуются такие ресурсы, как виртуальные машины. Эти ресурсы несут дополнительные затраты и не включаются в цены на службу Azure Cloud HSM. Дополнительные сведения о требованиях к сети см. в статье "Безопасность сети" для облачного устройства HSM Azure.

Нет, бесплатный уровень недоступен для облачного устройства HSM Azure. Дополнительные сведения о предложениях служб см. в статье "Что такое Azure Cloud HSM?".

• Windows Server 2016, 2019 и 2022
• Linux (Ubuntu 20.04, Ubuntu 22.04, Ubuntu 24.04, RHEL 7, RHEL 8 и RHEL 9)
• CBL Mariner 2

Дополнительные сведения о совместимости и устранении неполадок см. в статье "Устранение неполадок Azure Cloud HSM".

Вы управляете развертыванием службы путем доступа к кластеру Azure Cloud HSM через Secure Shell (SSH) и пакет SDK azure Cloud HSM из GitHub. Дополнительные сведения об операциях управления см. в разделе "Управление пользователями" в Azure Cloud HSM.

Пакет SDK azure Cloud HSM содержит программное обеспечение и средства для выполнения криптографических операций в приложениях. Azure Cloud HSM поддерживает различные интерфейсы, включая PKCS#11, OpenSSL, JCE, поставщик хранилища ключей (KSP) и API шифрования: следующее поколение (CNG). Набор средств в пакете SDK обеспечивает простое взаимодействие с HSM.

Вы можете скачать пакет SDK azure Cloud HSM из GitHub. Дополнительные сведения о методах подключения см. в статье "Проверка подлинности" в Azure Cloud HSM.

Azure Cloud HSM поддерживает только проверку подлинности на основе паролей. Он не поддерживает проверку подлинности с помощью устройства ввода ПИН-кода (PED). Дополнительные сведения о методах проверки подлинности см. в статье "Проверка подлинности" в Облачном HSM Azure.

Да. Используйте пиринг между виртуальными сетями в регионе, чтобы установить подключение между виртуальными сетями. Для подключения между регионами используйте пиринг глобальной виртуальной сети или VPN-шлюз. Дополнительные сведения о конфигурациях сети см. в разделе " Безопасность сети" для облачного устройства HSM Azure.

Нет. Хотя azure Cloud HSM напрямую не взаимодействует с локальными HSM, вы можете безопасно передавать экспортируемые ключи между Azure Cloud HSM и большинством коммерческих HSM с помощью одного из нескольких поддерживаемых методов оболочки ключей. Дополнительные сведения об управлении ключами см. в статье "Управление ключами" в Azure Cloud HSM.

Нет. Кластеры Azure Cloud HSM доступны только из виртуальной сети. Дополнительные сведения об ограничениях служб см. в статье "Что такое Azure Cloud HSM?".

Нет. Azure Cloud HSM подготавливается непосредственно в частное ПРОСТРАНСТВО IP-адресов, поэтому другие службы Azure или Майкрософт не могут получить к нему доступ. Дополнительные сведения о возможностях и ограничениях служб см. в статье "Что такое Azure Cloud HSM?".

Да. Существует несколько методов для привлечения собственного ключа (BYOK) и наличия локальных HSM, позволяющих экспортировать ключи (оболочку ключей). Дополнительные сведения об операциях импорта ключей см. в разделе "Управление ключами" в Azure Cloud HSM.

Нет. Служба Azure Cloud HSM не поддерживает модули функциональности. Дополнительные сведения о возможностях служб см. в разделе об ограничениях службы Azure Cloud HSM.

Нет. После отправки сертификата владельца секции нельзя изменить. При отправке PO.crt ошибки необходимо удалить ресурс Azure Cloud HSM и снова развернуть его.

Нет. Вы не можете восстановить резервную копию в исходном ресурсе Azure Cloud HSM, так как он находится в активированном состоянии. Дополнительные сведения об операциях резервного копирования и восстановления см. в статье "Резервное копирование и восстановление" в Облачном HSM Azure.

Нет. Azure Cloud HSM не поддерживает восстановление резервной копии в исходном HSM или любом ресурсе Облачного HSM, который уже активирован. В противном случае операция восстановления завершится ошибкой и переместит целевой ресурс HSM в нефункциональное состояние. Дополнительные сведения о процессе восстановления см. в рекомендациях по восстановлению облачного модуля HSM Azure.

Да. Вы можете восстановить резервную копию в другом ресурсе Azure Cloud HSM в любом регионе, если целевой ресурс Облачного HSM не находится в активированном состоянии. Дополнительные сведения о восстановлении между регионами см. в разделе "Восстановление между регионами" для azure Cloud HSM.

Нет. Для каждого кластера Azure Cloud HSM разрешено только одно управляемое удостоверение. Дополнительные сведения об управлении удостоверениями и доступом см. в статье "Применение управляемого удостоверения" и создание учетной записи хранения.

Да. Минимальная роль управления доступом на основе ролей (RBAC) является участником данных BLOB-объектов хранилища. Вы можете ограничить источник только для чтения, но вам нужны разрешения на чтение и запись в назначении. Дополнительные сведения об управлении доступом см. в разделе "Применение управляемого удостоверения" и создание учетной записи хранения.

Нет. С помощью Azure Cloud HSM вы имеете эксклюзивный административный доступ к HSM в качестве одного клиента. Дополнительные сведения об архитектуре службы см. в статье "Что такое Azure Cloud HSM?".

Нет. Корпорация Майкрософт не имеет доступа к ключам, хранящимся в выделенных клиентом HSM. Дополнительные сведения об элементах управления безопасностью см. в статье "Защита развертывания Azure Cloud HSM".

В архитектуре Azure Cloud HSM разделение обязанностей и управление доступом на основе ролей являются основными принципами. Корпорация Майкрософт не имеет никакого криптографического контроля над выделенными клиентом HSM или контролем над пользователями HSM, кроме собственной ограниченной роли в качестве пользователя устройства.

Корпорация Майкрософт имеет ограниченные разрешения на HSM. Эти разрешения позволяют отслеживать, обслуживать работоспособность и доступность, зашифрованные резервные копии и извлекать и публикацию неизменяемых журналов аудита в указанное хранилище клиента. Эти разрешения не позволяют корпорации Майкрософт использовать ключи, принадлежащие пользователям криптографии, для выполнения криптографических операций. Дополнительные сведения об оперативном ведении журнала см. в разделе "Настройка и ведение журнала событий операций запроса" для облачного HSM Azure.

Нет, Azure Cloud HSM не сохраняет данные клиента. Все ключевые материалы и данные размещаются в HSM клиента. Каждый кластер Azure Cloud HSM предназначен исключительно для одного клиента, который имеет административный контроль. Дополнительные сведения о защите данных см. в статье "Защита развертывания Azure Cloud HSM".

Да, Azure Cloud HSM предлагает модули HSM, которые проверяются для соответствия стандартам FIPS 140-3 уровня 3. Процедуры проверки подлинности HSM, включая проверку сертификации FIPS 140-3 уровня 3 из NIST, см. в руководстве по подключению. Дополнительные сведения о соответствии см. в статье "Что такое Azure Cloud HSM?".

Да. Azure Cloud HSM поддерживает соответствие eIDAS в австрийской схеме путем предоставления безопасного управления ключами, криптографических операций и FIPS 140-3 уровня 3, проверенного оборудования для соблюдения строгих требований к квалифицированным электронным подписям и запечаткам, чтобы обеспечить соответствие нормативным требованиям. Дополнительные сведения см. в сертификате QSCD. Дополнительные сведения о стандартах безопасности см. в статье "Защита развертывания Azure Cloud HSM".

Azure Cloud HSM включает как физические, так и логические механизмы обнаружения и реагирования, которые инициируют удаление ключей (ноль) оборудования. Эти меры предназначены для обнаружения нарушений, если физический барьер скомпрометирован.

Кроме того, HSM защищены от атак подбора при входе. Система блокирует сотрудники криптографии (COS) после заданного количества неудачных попыток доступа. Аналогичным образом повторные неудачные попытки доступа к HSM с учетными данными пользователя шифрования (CU) приводят к блокировке пользователя. Затем CO должен разблокировать накопительный пакет обновления. Для разблокировки co требуется getChallenge и подписывать задачу с PO.key помощью OpenSSL, а затем unlockCO и changePswd команды. Дополнительные сведения о функциях безопасности см. в статье "Защита развертывания Azure Cloud HSM".

Корпорация Майкрософт упрощает все поддержку облачного устройства HSM Azure. При возникновении проблем, связанных с оборудованием, программным обеспечением, конфигурацией HSM или сетевым доступом, отправьте запрос на поддержку корпорации Майкрософт. Дополнительные сведения о распространенных проблемах и решениях см. в статье "Устранение неполадок с облаком Azure HSM".

Центры обработки данных Azure имеют обширные физические и процедурные средства управления безопасностью. Кроме того, виртуальные машины HSM в Облаке Azure размещаются в области ограниченного доступа центра обработки данных с физическими средствами управления доступом и видеонаблюдением для дополнительной безопасности. Дополнительные сведения о физической безопасности см. в статье "Защита развертывания Azure Cloud HSM".

Нет. Корпорация Майкрософт не имеет доступа к вашим ключам или учетным данным и не может восстановить ключи, если вы потеряете свои учетные данные. Дополнительные сведения об управлении учетными данными см. в разделе "Управление пользователями" в Azure Cloud HSM.

Нет, хотя корпорации Майкрософт может потребоваться выполнить обслуживание для необходимых обновлений или неисправного оборудования. Мы заранее уведомляем клиентов, если мы ожидаем какого-либо влияния. Дополнительные сведения об операционных рекомендациях см. в статье "Защита развертывания Azure Cloud HSM".

Сведения о соглашениях уровня обслуживания см. в соглашениях об уровне обслуживания для веб-служб. Дополнительные сведения о надежности службы см. в статье "Что такое Azure Cloud HSM?".