Часто задаваемые вопросы

Аппаратный модуль безопасности (HSM) — это физическое вычислительное устройство, используемое для защиты криптографических ключей и управления ими. Ключи, хранящиеся в HSM, можно использовать для криптографических операций. Данные ключей надежно хранятся в опломбированных аппаратных модулях, защищенных от незаконного изменения. HSM позволяет использовать ключи только прошедшим проверку подлинности и авторизованным приложениям. Данные ключей никогда не покидают защищенное хранилище HSM.

Служба выделенных устройств HSM Azure — это облачное решение, которое обеспечивает доступ к устройствам HSM, размещенным в центрах обработки данных Azure и подключенным непосредственно к виртуальной сети клиента. Эти HSM-модули представляют собой выделенные сетевые устройства Thales Luna 7 HSM. Они развертываются непосредственно в частном диапазоне IP-адресов клиентов, а у корпорации Майкрософт нет доступа к криптографическим функциям устройств HSM. Только у клиента есть полный административный и криптографический контроль над этими устройствами. Клиенты несут ответственность за управление устройством и могут получать полные журналы действий непосредственно со своих устройств. Выделенные устройства HSM помогут клиентам обеспечить соответствие всем требованиям и нормативам (FIPS 140-2 уровня 3, HIPAA, PCI-DSS, eIDAS и многим другим).

Клиенты должны иметь назначенного диспетчера учетных записей Майкрософт и соответствовать денежным требованиям в размере 5 миллионов долларов США или больше в общем зафиксированном доходе Azure в год, чтобы претендовать на подключение и использование выделенного устройства HSM Azure.

Службу выделенных устройств HSM Azure корпорация Майкрософт предоставляет в сотрудничестве с компанией Thales. Если более конкретно, используется HSM-модуль Thales Luna 7 HSM, модель A790. Это устройство не только оснащено встроенным ПО, соответствующим требованиям FIPS 140-2 уровня 3, но и обеспечивает низкую задержку, высокую производительность и высокую мощность за счет своей конструкции, состоящей из 10 разделов.

Устройства HSM используются для хранения криптографических ключей, которые позволяют обеспечить такие криптографические функции, как протокол SSL, шифрование данных, PKI (инфраструктура открытых ключей), DRM (управление цифровыми правами) и подписание документов.

Клиенты могут подготавливать к работе устройства HSM в определенных регионах с помощью PowerShell или интерфейса командной строки. Клиент указывает, к какой виртуальной сети будут подключены устройства HSM, а после подготовки к работе эти устройства будут доступны в выделенной подсети по назначенным IP-адресам в частном диапазоне IP-адресов клиента. После этого клиенты смогут подключаться к устройствам HSM с помощью SSH для администрирования устройств и управления ими, для настройки клиентских подключений к HSM, инициализации HSM, создания разделов, определения и назначения ролей, таких как администратор разделов, администратор шифрования и пользователь шифрования. Таким образом, клиент будет использовать предоставленные Thales клиентские инструменты/SDK/программное обеспечение HSM для выполнения криптографических операций из своих приложений.

Компания Thales предоставляет все программное обеспечение для HSM-модуля сразу после его поставки корпорацией Майкрософт. Программное обеспечение доступно на портале поддержки пользователей Thales. Для получения поддержки от Thales клиенты, использующие службу выделенных устройств HSM, должны зарегистрироваться и получить идентификатор клиента, позволяющий найти и скачать соответствующее ПО. Поддерживаемое клиентское ПО относится к версии 7.2, которая совместима со встроенным ПО версии 7.0.3 в рамках FIPS 140-2 Уровень 3.

При использовании выделенной службы HSM дополнительные затраты будут взиматься следующих элементах.

• С выделенной службой HSM можно использовать выделенное локальное устройство резервного копирования, однако это приведет к дополнительным затратам, и кроме того оно должно обеспечиваться непосредственно из Thales.
• Выделенный HSM-модуль предоставляется с лицензией на 10 разделов. Если клиенту требуется больше разделов, это приведет к дополнительным затратам на добавочные лицензии, которые должны обеспечиваться непосредственно из Thales.
• Выделенный HSM-модуль требует наличия сетевой инфраструктуры (виртуальной сети, VPN-шлюза и т. д.) и ресурсов, таких как виртуальные машины для настройки устройств. Эти дополнительные ресурсы приводят к дополнительным затратам, которые не включены в стоимость выделенной службы HSM.

Нет. Выделенный модуль HSM Azure предоставляет только HSM с проверкой подлинности на основе пароля.

Нет. Служба выделенных устройств HSM Azure не поддерживает функциональные модули.

Через службу выделенных устройств HSM, корпорация Майкрософт предлагает только Thales Luna 7 HSM модели A790 и не может размещать никаких пользовательских устройств.

Служба выделенных устройств HSM Azure использует устройства Thales Luna 7 HSM. Эти устройства не поддерживают функции оплаты непосредственно HSM (такие как PIN-код или ETF) или сертификации. Если вы хотите, чтобы служба выделенных устройств HSM Azure поддерживала оплату HSM в будущем, передайте ваш отзыв представителю Майкрософт, который предоставил вам учетную запись.

По состоянию на октябрь 2022 г. выделенный модуль HSM доступен в 22 регионах, перечисленных ниже. Планируется пополнение этого списка другими регионами, его можно обсудить через представителя Майкрософт, который предоставил вам учетную запись.

• Восточная часть США
• восточная часть США 2
• Западная часть США
• западная часть США 2
• Восточная Канада
• Центральная Канада
• Центрально-южная часть США
• Юго-Восточная Азия
• Центральная Индия
• Южная Индия
• Восточная Япония
• Западная Япония
• Северная Европа
• Западная Европа
• южная часть Соединенного Королевства
• западная часть Соединенного Королевства
• Восточная Австралия
• Юго-Восточная часть Австралии
• Северная Швейцария
• Западная Швейцария
• US Gov (Вирджиния)
• US Gov (Техас)

Для выполнения криптографических операций из своих приложений вы используете программное обеспечение/пакет SDK/клиентские средства HSM, которые предоставляются компанией Thales. Программное обеспечение доступно на портале поддержки пользователей Thales. Для получения поддержки от Thales клиенты, использующие службу выделенных устройств HSM, должны зарегистрироваться и получить идентификатор клиента, позволяющий найти и скачать соответствующее ПО.

Да. Чтобы установить подключение между виртуальными сетями, необходимо использовать пиринг виртуальных сетей в рамках региона. Для межрегионального подключения следует использовать VPN-шлюз.

Да. Локальные модули HSM можно синхронизировать со службой выделенных устройств HSM. VPN-подключение типа "точка — точка" или "точка — сеть" можно использовать для соединения с локальной сетью.

Нет. Выделенные устройства HSM Azure доступны только изнутри виртуальной сети.

Да, если вы располагаете локальными HSM-модулями Thales Luna 7 HSM. Это можно сделать несколькими способами. См. Документация по HSM-модулям Thales.

• Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
• Виртуальные машины: VMware, hyperv, Xen, KVM

Чтобы обеспечить высокий уровень доступности, необходимо настроить конфигурацию клиентских приложений HSM на использование разделов с каждого устройства HSM. Обратитесь к документации по клиентскому программному обеспечению HSM-модулей Thales.

Служба выделенных устройств HSM использует устройства Thales Luna 7 HSM, модель A790 и поддерживает проверку подлинности на основе паролей.

PKCS#11, Java (JCA/JCE), Microsoft CAPI и CNG, OpenSSL

Да. Для того чтобы получить соответствующее руководство Thales по миграции, обратитесь к представителю компании Thales.

Нет. Служба выделенных устройств HSM Azure не поддерживает модули функциональных возможностей.

Служба выделенных устройств HSM Azure — подходящий вариант для предприятий, переходящих на локальные приложения Azure, которые используют устройства HSM. Выделенные устройства HSM позволяют перенести приложение с минимальными изменениями. Если криптографические операции выполняются в коде приложения, выполняющемся в веб-приложении или на виртуальной машине Azure, то можно использовать выделенное устройство HSM. Как правило, программное обеспечение с оболочкой со сжатием, работающее в моделях IaaS (инфраструктура как услуга), которые поддерживают HSM в качестве хранилища ключей, может использовать модуль HSM, например диспетчер трафика для tls без ключей, ADCS (службы сертификатов Active Directory) или аналогичные инструменты PKI, средства и приложения, используемые для подписывания документов, подписывания кода или SQL Server (IaaS), настроенные с TDE (прозрачное шифрование базы данных) с master ключ в HSM с помощью поставщика расширенного управления ключами (расширенного управления ключами). Azure Key Vault подходит для приложений, изначально созданных в облаке, или для сценариев шифрования хранимых данных клиентов, которые обрабатываются решениями PaaS (платформа как услуга) или SaaS (программное обеспечение как услуга), например при помощи ключа клиента в Office 365, Azure Information Protection, шифрования дисков Azure, шифрования Azure Data Lake Store с ключом под управлением клиента, шифрования службы хранилища Azure с ключом под управлением клиента и Azure SQL с ключом под управлением клиента.

Служба выделенных устройств HSM Azure лучше всего подходит для сценариев миграции. Это означает, что вы переносите локальные приложения Azure, уже использующие устройства HSM. Таким образом, вы можете без проблем выполнить миграцию в Azure с минимальными изменениями приложения. Если криптографические операции выполняются в коде приложения, работающем в веб-приложении или на виртуальной машине Azure, то можно использовать выделенное устройство HSM. Как правило, программное обеспечение со сжатием, работающее в моделях IaaS (инфраструктура как услуга), которые поддерживают HSM в качестве хранилища ключей, может использовать модуль HSM, например:

• Диспетчер трафика для протокола TLS без ключей
• ADCS (службы сертификатов Active Directory);
• подобные средства PKI;
• инструменты и приложения, используемые для подписания документов;
• подписывание кода;
• сервер SQL Server (IaaS), на котором настроено TDE (прозрачное шифрование баз данных) с главным ключом на устройстве HSM, использующем поставщика EKM (расширенного управления ключами).

Нет. Выделенное устройство HSM подготавливается непосредственно в частном пространстве IP-адреса клиента, поэтому оно недоступно из других служб Azure или Майкрософт.

Да. Каждое устройство HSM полностью выделяется для одного клиента. Ни у кого больше нет административного контроля после подготовки и изменения пароля администратора.

Корпорация Майкрософт не располагает правами административного или криптографического контроля над устройством HSM. Однако у нее есть доступ на уровне мониторинга при помощи подключения через последовательный порт для получения основных данных телеметрии, например температуры и работоспособности компонентов. Это позволяет корпорации Майкрософт предоставлять упреждающие уведомления о проблемах с работоспособностью. При необходимости эту опцию клиент может отключить.

Устройство HSM поставляется по умолчанию с правами "администратор", предоставляемыми пользователю и, по умолчанию, с обычным паролем. Корпорация Майкрософт не хочет использовать пароли по умолчанию, пока какое-либо устройство находится в пуле, ожидая подготовки со стороны клиентов. Это не соответствует нашим требованиям к безопасности. По этой причине мы устанавливаем надежный пароль, который на время подготовки сбрасывается. Кроме того, во время подготовки мы создадим нового пользователя в роли администратора с именем "администратор клиента". У этого пользователя имеется пароль по умолчанию, и клиенты могут его поменять. Это первое действие при первом входе во вновь подготовленное устройство. Данный процесс обеспечивает высокий уровень безопасности и поддерживает наше обещание исключительных прав на административный контроль для наших клиентов. Следует отметить, что вход пользователя под правами "администратор клиента" можно использовать для переустановки пароля администратора, если пользователь предпочитает в дальнейшем пользоваться данной учетной записью.

Нет. У корпорации Майкрософт нет доступа к ключам, хранящимся на выделенном устройстве HSM пользователя.

Нет. Выделенный модуль HSM Azure — это простой модуль HSM для аренды. Наша служба не хранит данные клиентов. Все ключевые материалы и данные хранятся в (модуль) HSM клиентов. Каждый (модуль) HSM полностью предназначен для одного клиента, который имеет полный административный контроль.

Клиент имеет полный административный контроль, включающий возможность обновления программного обеспечения, на тот случай если потребуются определенные функции из других версий ПО. Перед внесением изменений обратитесь в Майкрософт за обновлением, контакт для обращения: HSMRequest@microsoft.com

Вы можете управлять выделенными устройствами HSM, получая к ним доступ по протоколу SSH.

Для управления устройствами HSM и разделами используется клиентское программное обеспечение HSM Thales.

У клиента есть полный доступ к журналам действий HSM через системный журнал и SNMP. Клиенту потребуется настроить сервер системных журналов или сервер SNMP для получения журналов или событий с устройств HSM.

Да. Вы можете отправлять журналы с устройства HSM на сервер системных журналов

Да. Настройка высокого уровня доступности выполняется в клиентском программном обеспечении HSM, предоставляемом компанией Thales. Устройства HSM из той же виртуальной сети либо других виртуальных сетей в том же регионе или в разных регионах либо локальные устройства HSM, подключенные к виртуальной сети с использованием VPN-подключения типа "сеть — сеть" или "точка — точка", можно добавлять в одну конфигурацию высокого уровня доступности. Следует отметить, что это синхронизирует только материал ключа, а не конкретные элементы конфигурации, например такие как роли.

Да. Они должны соответствовать требованиям высокого уровня доступности для Thales Luna 7 HSM

Нет.

16 членов группы высокой доступности, которые прошли полноценное тестирование с отличными результатами.

Для выделенной службы HSM не предусмотрена специальная гарантия бесперебойной работы. Корпорация Майкрософт обеспечивает доступ к устройству на уровне сети, поэтому действуют стандартные соглашения об уровне обслуживания для сетей Azure.

Центры обработки данных Azure включают функциональные физические и процедурные средства управления. Кроме того, выделенные устройства HSM размещаются в специальной области с ограниченным доступом в центре обработки данных. Эти области содержат дополнительные физические средства управления доступом и системы видеонаблюдения для повышенной безопасности.

Выделенная служба HSM использует устройства HSM Thales Luna 7 HSM. Эти устройства поддерживают функцию обнаружения физического и логического незаконных вмешательств. В случае незаконного изменения устройства HSM автоматически обнуляются.

Настоятельно рекомендуем использовать локальное устройство резервного копирования HSM, чтобы выполнять регулярное резервное копирование устройств HSM для аварийного восстановления. Вам потребуется использовать VPN-подключение (одноранговое или типа "сеть — сеть") к локальной рабочей станции, подключенной к устройству резервного копирования HSM.

Поддержка предоставляется как в Microsoft, так и в Thales. Если у вас возникли проблемы с оборудованием или сетевым доступом, отправьте запрос в службу поддержки корпорации Майкрософт и при возникновении проблем с конфигурацией HSM, программным обеспечением и разработкой приложений создайте запрос в службу поддержки с помощью Thales. Если у вас возникла неопределенная ошибка, отправьте запрос в службу поддержки корпорации Майкрософт, а затем он будет передан, как требуется в Thales.

После регистрации для службы будет предоставлен идентификатор клиента Thales, позволяющий регистрироваться на портале поддержки клиентов Thales. Это обеспечит доступ ко всему программному обеспечению и документации, включая возможность отправки запросов на поддержку непосредственно в Thales.

Корпорация Майкрософт не может подключаться к устройствам HSM, выделенным для клиентов. Клиенты должны самостоятельно обновлять и исправлять свои устройства HSM.

Модуль HSM имеет параметр перезагрузки из командной строки, однако возникают проблемы, когда перезагрузка периодически перестает отвечать, и по этой причине рекомендуется обеспечить надежную перезагрузку, которая вызывает запрос в службу поддержки Майкрософт, чтобы устройство было перезагружено физически.

Да, выделенное устройство Thales Luna 7 HSM прошло проверку согласно FIPS 140-2 Уровень 3.

Выделенная служба HSM подготавливает устройства HSM Thales Luna 7 HSM. Они поддерживают широкий ассортимент типов криптографических ключей и алгоритмов, включая полную поддержку Suite B.

• Асимметричные:
  • RSA
  • DSA
  • алгоритм Диффи-Хелмана;
  • эллиптическая кривая;
  • криптография (ECDSA, ECDH, Ed25519, ECIES) с именованными и пользовательскими кривыми, Brainpool, KCDSA.
• Симметричные:
  • AES-GCM;
  • Triple DES
  • DES
  • ARIA, SEED;
  • RC2
  • RC4;
  • RC5;
  • CAST
  • Хэш или HMAC: SHA-1, SHA-2, SM3
  • Формирование ключа: режим счетчика SP 800-108
  • Упаковка ключа: SP 800-38F
  • Генерация случайных чисел: DRBG согласно FIPS 140-2 (режим SP 800-90 CTR), соответствие требованиям BSI DRG.4

Да. Выделенная служба HSM подготавливает устройства Thales Luna 7 HSM, модель A790, которые прошли проверку по стандарту FIPS 140-2 Уровень 3.

Выделенная служба HSM подготавливает устройства Thales Luna 7 HSM. Эти устройства отвечают стандартам FIPS 140-2 Уровень 3. Стандартная развертываемая конфигурация, операционная система и встроенное ПО также соответствуют требованиям FIPS. Вам не нужно предпринимать никаких действий, чтобы обеспечить соответствие требованиям FIPS 140-2 уровня 3.

Прежде чем запрашивать отзыв, клиент должен обнулить устройство HSM с помощью предоставленных компанией Thales клиентских средств HSM.

Выделенная служба HSM подготавливает устройства Thales Luna 7 HSM. Ниже представлена сводка по максимальной производительности для некоторых операций.

• RSA-2048: 10 000 транзакций в секунду
• ECC P256: 20 000 транзакций в секунду
• AES-GCM: 17 000 транзакций в секунду

Используемый HSM-модуль Thales Luna 7 модель A790 включает в себя лицензию на 10 разделов, цена которой входит в стоимость службы. Устройство имеет ограничение в 100 разделов, и добавление разделов, до этого ограничения, приведет к дополнительным затратам на лицензирование и потребует установки нового файла лицензии на устройстве.

Максимальное число ключей на прямую зависит от доступной памяти. Модель Thales Luna 7 HSM, используемая A790, имеет 32 МБ памяти. Если используются ассиметричные ключи, данные числа применяются к парам ключей.

• RSA-2048 — 19 000
• ECC-P256 — 91 000

Емкость зависит от конкретных ключевых атрибутов, заданных в шаблоне генерации ключей, и количества разделов.