Vanliga frågor och svar om Azure Cloud HSM

Hitta svar på vanliga frågor om Microsoft Azure Cloud HSM.

Allmänna frågor

Vad är Azure Cloud HSM?

Microsoft Azure Cloud HSM är en tjänst som tillhandahåller säker lagring för kryptografiska nycklar med hjälp av maskinvarusäkerhetsmoduler (HSM) som uppfyller säkerhetsstandarden FIPS 140-3 nivå 3. Det är en kundhanterad tjänst med en enda klientorganisation med hög tillgänglighet som uppfyller branschstandarder.

Azure Cloud HSM stöder olika program, inklusive PKCS#11, avlastning av Secure Sockets Layer (SSL) eller TLS-bearbetning (Transport Layer Security), certifikatutfärdare (CA) skydd av privata nycklar och transparent datakryptering (TDE). Det stöder också dokument- och kodsignering.

Azure Cloud HSM ger hög tillgänglighet och redundans genom att gruppera flera HSM:er i ett kluster och automatiskt synkronisera mellan tre HSM-instanser. HSM-klustret stöder belastningsutjämning av kryptografiska åtgärder. Periodiska HSM-säkerhetskopior hjälper till att säkerställa säker och enkel dataåterställning. Mer information finns i Vad är Azure Cloud HSM?.

Vad är en HSM?

En maskinvarusäkerhetsmodul (HSM) är en fysisk databehandlingsenhet som är utformad för att skydda och administrera kryptografiska nycklar. I HSM:er lagras och används nycklar på ett säkert sätt för kryptografiska åtgärder. Maskinvarumoduler som är motståndskraftiga mot manipulering och manipulering bidrar till att säkerställa konfidentialiteten och integriteten för dessa nycklar. Åtkomsten till nycklarna är begränsad till autentiserade och auktoriserade program, så nyckelmaterialet förblir alltid inom HSM:s skyddade gräns. Mer information finns i Skydda din Azure Cloud HSM-distribution.

Vilken maskinvara används för Azure Cloud HSM?

Azure Cloud HSM använder maskinvarusäkerhetsmoduler för Marvell LiquidSecurity. Mer information om tjänstspecifikationer finns i Azure Cloud HSM-tjänstbegränsningar.

Vilken programvara tillhandahålls med Azure Cloud HSM?

Microsoft tillhandahåller all programvara och alla verktyg för Azure Cloud HSM via sin SDK. Du kan ladda ned Azure Cloud HSM SDK från GitHub. Mer information om integreringsalternativ finns i Azure Cloud HSM-integreringsguider.

Behöver jag hantera den inbyggda programvaran på min HSM?

Nej, Microsoft övervakar den inbyggda programvaran på maskinvaran. En tredje part (HSM-tillverkaren) underhåller maskinvaran. NIST utvärderar den inbyggda programvaran och måste signera den för att säkerställa efterlevnad av FIPS 140-3 Nivå 3-standarder. Mer information om maskinvaruhantering finns i Vad är Azure Cloud HSM?.

Hur bestämmer jag om jag vill använda Azure Cloud HSM eller Azure Managed HSM?

Azure erbjuder flera lösningar för lagring och hantering av kryptografiska nycklar i molnet: Azure Key Vault (standard- och premiumerbjudanden), Azure Managed HSM, Azure Cloud HSM och Azure Payment HSM. Det kan vara överväldigande för kunderna att bestämma vilken lösning som är bäst för dem. Ett flödesschema, baserat på vanliga krav på hög nivå och viktiga hanteringsscenarier, är tillgängligt för att hjälpa kunderna att fatta det här beslutet. Se Så här väljer du rätt nyckelhanteringslösning.

Vilka användningsscenarier passar bäst för Azure Cloud HSM?

Azure Cloud HSM passar bäst för migreringsscenarier när du migrerar lokala program som redan använder HSM:er till Azure. Azure Cloud HSM är ett alternativ med låg friktion för att migrera till Azure med minimala ändringar i programmet.

Om kryptografiska åtgärder utförs i ett programs kod som körs i en virtuell Azure-dator eller webbapp kan en organisation använda Cloud HSM. I allmänhet kan krympförsluten programvara som körs i IaaS-modeller (infrastruktur som en tjänst) som stöder HSM som nyckelarkiv använda Cloud HSM. Den här programvaran innehåller:

• Active Directory Certificate Services (AD CS).
• SSL/TLS-avlastning för NGINX och Apache.
• Verktyg och program som används för dokumentsignering.
• Kodsignering.
• Java-program som kräver en Java Cryptography Extension-provider (JCE).
• Microsoft SQL Server TDE (IaaS) via Extensible Key Management (EKM).
• Oracle TDE.

Mer information om hur du implementerar dessa scenarier finns i Azure Cloud HSM-integreringsguider.

Kan Azure Cloud HSM vara värd för mina HSM:er åt mig?

Nej. Microsoft stöder inte "bring your own HSM". Azure Cloud HSM kan inte vara värd för några enheter som tillhandahålls av kunden. Mer information om tjänstarkitekturen finns i Vad är Azure Cloud HSM?.

Kan jag migrera mina nycklar i Azure Dedicated HSM till Azure Cloud HSM?

Ja, men det beror på din arkitektur och konfiguration. Om din dedikerade HSM-distribution har konfigurerats i en ha-gruppering (hög tillgänglighet) kan du inte migrera nycklar. Anledningen är att nyckelexport är inaktiverad för att tillåta nyckelkloning (HA-gruppering), och att ändra dessa attribut är en destruktiv process. Om din dedikerade HSM-distribution har konfigurerats i en HA-gruppering måste du skapa nya nycklar när du migrerar till Azure Cloud HSM. Mer information om nyckelhantering finns i Nyckelhantering i Azure Cloud HSM.

Kundregistrering

Har Azure Cloud HSM en penningpolitiken för registrering?

Nej, Azure Cloud HSM har ingen penningpolitik. Registrering av Azure Cloud HSM är öppen för alla kunder. Mer information om hur du kommer igång finns i registreringsguiden för Azure Cloud HSM.

Fakturering

Hur debiteras och faktureras jag för min användning av Azure Cloud HSM?

Du debiteras en timavgift för varje Azure Cloud HSM-kluster, som består av tre noder. När du har etablerat en Cloud HSM-resurs förblir den kontinuerligt aktiv (alltid på). Faktureringen startar när du etablerar en resurs i stället för när du har initierat HSM-resursen. Mer information om distributionsalternativ finns i Distribuera Azure Cloud HSM med hjälp av PowerShell eller Distribuera Azure Cloud HSM med hjälp av Azure-portalen.

Vilka extra kostnader kan jag medföra med Azure Cloud HSM-tjänsten?

Azure Cloud HSM kräver en nätverksinfrastruktur, till exempel ett virtuellt nätverk och en privat slutpunkt. Det kräver också resurser som virtuella datorer för enhetskonfiguration. Dessa resurser medför extra kostnader och ingår inte i prissättningen för Azure Cloud HSM-tjänsten. Mer information om nätverkskrav finns i Nätverkssäkerhet för Azure Cloud HSM.

Har Azure Cloud HSM-tjänsten en kostnadsfri nivå?

Nej, en kostnadsfri nivå är inte tillgänglig för Azure Cloud HSM. Mer information om tjänsterbjudanden finns i Vad är Azure Cloud HSM?.

Samverkan

Vilka operativsystem stöder Azure Cloud HSM SDK?

• Windows Server 2016, 2019 och 2022
• Linux (Ubuntu 20.04, Ubuntu 22.04, Ubuntu 24.04, RHEL 7, RHEL 8 och RHEL 9)
• CBL Mariner 2

Mer information om kompatibilitet och felsökning finns i Felsöka Azure Cloud HSM.

Hur hanterar jag Azure Cloud HSM?

Du hanterar din tjänstdistribution genom att komma åt ditt Azure Cloud HSM-kluster via Secure Shell (SSH) och Azure Cloud HSM SDK från GitHub. Mer information om hanteringsåtgärder finns i Användarhantering i Azure Cloud HSM.

Hur ansluter mitt program till Azure Cloud HSM?

Azure Cloud HSM SDK innehåller programvara och verktyg för att köra kryptografiska åtgärder i program. Azure Cloud HSM stöder olika gränssnitt, inklusive PKCS#11, OpenSSL, JCE, nyckellagringsprovider (KSP) och kryptografi-API: Nästa generation (CNG). De olika verktygen i SDK möjliggör sömlös interaktion med din HSM.

Du kan ladda ned Azure Cloud HSM SDK från GitHub. Mer information om anslutningsmetoder finns i Autentisering i Azure Cloud HSM.

Stöder Azure Cloud HSM lösenordsbaserad och PED-baserad autentisering?

Azure Cloud HSM stöder endast lösenordsbaserad autentisering. Det stöder inte autentisering via en PIN-inmatningsenhet (PED). Mer information om autentiseringsmetoder finns i Autentisering i Azure Cloud HSM.

Kan ett program ansluta till Azure Cloud HSM från ett annat virtuellt nätverk i en region eller mellan regioner?

Ja. Använd peering för virtuella nätverk i en region för att upprätta anslutningar mellan virtuella nätverk. För anslutningar mellan regioner använder du global peering för virtuella nätverk eller en VPN-gateway. Mer information om nätverkskonfigurationer finns i Nätverkssäkerhet för Azure Cloud HSM.

Fungerar Azure Cloud HSM med lokala HSM:er?

Nej. Även om Azure Cloud HSM inte samverkar direkt med lokala HSM:er kan du på ett säkert sätt överföra exporterbara nycklar mellan Azure Cloud HSM och de flesta kommersiella HSM:er med hjälp av någon av flera nyckelomslutningsmetoder som stöds. Mer information om nyckelhantering finns i Nyckelhantering i Azure Cloud HSM.

Kan jag använda nycklar som lagras i Azure Cloud HSM för att kryptera data som andra Azure-tjänster använder?

Nej. Azure Cloud HSM-kluster är endast tillgängliga inifrån ditt virtuella nätverk. Mer information om tjänstbegränsningar finns i Vad är Azure Cloud HSM?.

Kan jag använda Azure Cloud HSM med Microsoft Purview Customer Key, Azure Information Protection, Azure Data Lake Storage, Azure Disk Encryption eller Azure Storage-kryptering?

Nej. Azure Cloud HSM etableras direkt i ditt privata IP-adressutrymme, så att andra Azure- eller Microsoft-tjänster inte kan komma åt den. Mer information om tjänstfunktioner och begränsningar finns i Vad är Azure Cloud HSM?.

Kan jag importera nycklar från befintliga lokala HSM:er till Azure Cloud HSM?

Ja. Det finns flera metoder för BYOK (Bring Your Own Key) och lokala HSM:er som tillåter nyckelexport (nyckelomslutning). Mer information om viktiga importåtgärder finns i Nyckelhantering i Azure Cloud HSM.

Kan jag installera funktionsmoduler i Azure Cloud HSM?

Nej. Azure Cloud HSM-tjänsten stöder inte funktionsmoduler. Mer information om tjänstfunktioner finns i Azure Cloud HSM-tjänstbegränsningar.

Kan jag uppdatera certifikatet för partitionsägaren när jag har laddat upp det?

Nej. Du kan inte ändra partitionsägarcertifikatet när du har laddat upp det. Om du laddar upp PO.crt i fel måste du ta bort din Azure Cloud HSM-resurs och distribuera igen.

Verksamhetskontinuitet

Kan jag återställa en säkerhetskopia till Azure Cloud HSM-källresursen?

Nej. Du kan inte återställa en säkerhetskopia till dess Azure Cloud HSM-källresurs eftersom den är i ett aktiverat tillstånd. Mer information om säkerhetskopierings- och återställningsåtgärder finns i Säkerhetskopiering och återställning i Azure Cloud HSM.

Kan jag återställa en säkerhetskopia till en annan Azure Cloud HSM-målresurs som är i ett aktiverat tillstånd?

Nej. Azure Cloud HSM stöder inte återställning av en säkerhetskopia till dess HSM-källa eller någon Cloud HSM-resurs som redan har aktiverats. Annars kommer återställningsåtgärden att misslyckas och placera målmoln HSM-resursen i ett icke-funktionellt tillstånd. Mer information om återställningsprocessen finns i Riktlinjer för återställning för Azure Cloud HSM.

Kan jag återställa en säkerhetskopia till en annan Azure Cloud HSM-resurs i en annan region?

Ja. Du kan återställa en säkerhetskopia till en annan Azure Cloud HSM-resurs i vilken region som helst, om målets Cloud HSM-resurs inte är i ett aktiverat tillstånd. Mer information om återställning mellan regioner finns i Återställning mellan regioner för Azure Cloud HSM.

Kan jag skapa mer än en hanterad identitet per Azure Cloud HSM-kluster?

Nej. Endast en hanterad identitet tillåts per Azure Cloud HSM-kluster. Mer information om identitets- och åtkomsthantering finns i Tillämpa en hanterad identitet och skapa ett lagringskonto.

Kan jag tillämpa mer restriktiva läs-/skrivbehörigheter för min källa och mitt mål för säkerhetskopieringar?

Ja. Den minsta rollbaserade åtkomstkontrollrollen (RBAC) som krävs är Storage Blob Data Contributor. Du kan begränsa källan som skrivskyddad, men du behöver läs-/skrivbehörighet på målet. Mer information om åtkomstkontroll finns i Tillämpa en hanterad identitet och skapa ett lagringskonto.

Säkerhet och regelefterlevnad

Delar jag min Azure Cloud HSM-resurs med andra Azure-kunder?

Nej. Med Azure Cloud HSM har du exklusiv administrativ åtkomst till din HSM som en enda klientorganisation. Mer information om tjänstarkitekturen finns i Vad är Azure Cloud HSM?.

Kan Microsoft eller någon på Microsoft komma åt nycklar i min Azure Cloud HSM-resurs?

Nej. Microsoft har ingen åtkomst till de nycklar som lagras i kundallokerade HSM:er. Mer information om säkerhetskontroller finns i Skydda din Azure Cloud HSM-distribution.

Hur hanterar Microsoft HSM utan att ha åtkomst till mina krypteringsnycklar?

I arkitekturen för Azure Cloud HSM är uppdelning av uppgifter och rollbaserad åtkomstkontroll grundläggande principer. Microsoft har ingen kryptografisk kontroll över kundallokerade HSM:er eller kontroll över HSM:s användare, förutom dess egen begränsade roll som installationsanvändare.

Microsoft har begränsade behörigheter till HSM. Dessa behörigheter tillåter övervakning, underhåll av hälsa och tillgänglighet, krypterade säkerhetskopior och extrahering och publicering av oföränderliga granskningsloggar till kundens angivna lagring. Dessa behörigheter tillåter inte att Microsoft använder nycklar som ägs av kryptografianvändare för att utföra kryptografiska åtgärder. Mer information om driftloggning finns i Konfigurera och fråga händelseloggning för Azure Cloud HSM.

Lagrar Azure Cloud HSM kunddata?

Nej, Azure Cloud HSM behåller inte kunddata. Alla viktiga material och data finns i kundens HSM. Varje Azure Cloud HSM-kluster är exklusivt avsett för en enda kund som har administrativ kontroll. Mer information om dataskydd finns i Skydda din Azure Cloud HSM-distribution.

Har Azure Cloud HSM stöd för FIPS 140-3 Nivå 3?

Ja, Azure Cloud HSM erbjuder HSM:er som är verifierade för att uppfylla FIPS 140-3 Nivå 3-standarder. Procedurer för att verifiera HSM:s äkthet, inklusive kontroll av FIPS 140-3-nivå 3-certifieringen från NIST, finns i registreringsguiden. Mer information om efterlevnad finns i Vad är Azure Cloud HSM?.

Stöder Azure Cloud HSM eIDAS?

Ja. Azure Cloud HSM stöder eIDAS-efterlevnad enligt det österrikiska systemet genom att tillhandahålla säker nyckelhantering, kryptografiska åtgärder och FIPS 140-3 Level 3-validerad maskinvara för att uppfylla stränga krav för kvalificerade elektroniska signaturer och tätningar, för att säkerställa regelefterlevnad. Läs mer i QSCD-certifikatet. Mer information om säkerhetsstandarder finns i Skydda din Azure Cloud HSM-distribution.

Vad händer om någon manipulerar HSM-maskinvaran?

Azure Cloud HSM innehåller både fysiska och logiska mekanismer för identifiering av manipulering och svar som initierar nyckelborttagning (nollning) av maskinvaran. Dessa åtgärder är utformade för att upptäcka manipulering om den fysiska barriären komprometteras.

Dessutom skyddas HSM:er mot brute-force-inloggningsattacker. Systemet låser kryptografiansvariga (COs) efter ett visst antal misslyckade åtkomstförsök. På samma sätt resulterar upprepade misslyckade försök att få åtkomst till en HSM med autentiseringsuppgifter för kryptografianvändare (CU) till att användaren låses. En CO måste sedan låsa upp CU. Att låsa upp en CO kräver getChallenge och signerar utmaningen med PO.key via OpenSSL, följt av unlockCO och changePswd kommandon. Mer information om säkerhetsfunktioner finns i Skydda din Azure Cloud HSM-distribution.

Stöd

Hur får jag stöd för Azure Cloud HSM?

Microsoft underlättar all support för Azure Cloud HSM. Om du stöter på problem som rör maskinvara, programvara, HSM-konfiguration eller nätverksåtkomst skickar du en supportbegäran till Microsoft. Mer information om vanliga problem och lösningar finns i Felsöka Azure Cloud HSM.

Hur skyddas HSM:erna i Azure Cloud HSM?

Azure-datacenter har omfattande fysiska och procedurmässiga säkerhetskontroller. Dessutom finns HSM:erna i Azure Cloud HSM i ett område med begränsad åtkomst i datacentret, med fysiska åtkomstkontroller och videoövervakning för ökad säkerhet. Mer information om fysisk säkerhet finns i Skydda din Azure Cloud HSM-distribution.

Kan Microsoft återställa mina nycklar om jag förlorar autentiseringsuppgifterna till min HSM?

Nej. Microsoft har inte åtkomst till dina nycklar eller autentiseringsuppgifter och kan inte återställa dina nycklar om du förlorar dina autentiseringsuppgifter. Mer information om hantering av autentiseringsuppgifter finns i Användarhantering i Azure Cloud HSM.

Har Azure Cloud HSM schemalagda underhållsperioder?

Nej, även om Microsoft kan behöva utföra underhåll för nödvändiga uppgraderingar eller felaktig maskinvara. Vi meddelar kunderna i förväg om vi förväntar oss någon påverkan. Mer information om driftöverväganden finns i Skydda din Azure Cloud HSM-distribution.

Vad är serviceavtalet för Azure Cloud HSM?

Information om serviceavtal finns i Servicenivåavtal (SERVICEAVTAL) för onlinetjänster. Mer information om tjänstens tillförlitlighet finns i Vad är Azure Cloud HSM?.

Hitta svar på vanliga frågor om Microsoft Azure Cloud HSM.

Microsoft Azure Cloud HSM är en tjänst som tillhandahåller säker lagring för kryptografiska nycklar med hjälp av maskinvarusäkerhetsmoduler (HSM) som uppfyller säkerhetsstandarden FIPS 140-3 nivå 3. Det är en kundhanterad tjänst med en enda klientorganisation med hög tillgänglighet som uppfyller branschstandarder.

Azure Cloud HSM stöder olika program, inklusive PKCS#11, avlastning av Secure Sockets Layer (SSL) eller TLS-bearbetning (Transport Layer Security), certifikatutfärdare (CA) skydd av privata nycklar och transparent datakryptering (TDE). Det stöder också dokument- och kodsignering.

Azure Cloud HSM ger hög tillgänglighet och redundans genom att gruppera flera HSM:er i ett kluster och automatiskt synkronisera mellan tre HSM-instanser. HSM-klustret stöder belastningsutjämning av kryptografiska åtgärder. Periodiska HSM-säkerhetskopior hjälper till att säkerställa säker och enkel dataåterställning. Mer information finns i Vad är Azure Cloud HSM?.

En maskinvarusäkerhetsmodul (HSM) är en fysisk databehandlingsenhet som är utformad för att skydda och administrera kryptografiska nycklar. I HSM:er lagras och används nycklar på ett säkert sätt för kryptografiska åtgärder. Maskinvarumoduler som är motståndskraftiga mot manipulering och manipulering bidrar till att säkerställa konfidentialiteten och integriteten för dessa nycklar. Åtkomsten till nycklarna är begränsad till autentiserade och auktoriserade program, så nyckelmaterialet förblir alltid inom HSM:s skyddade gräns. Mer information finns i Skydda din Azure Cloud HSM-distribution.

Azure Cloud HSM använder maskinvarusäkerhetsmoduler för Marvell LiquidSecurity. Mer information om tjänstspecifikationer finns i Azure Cloud HSM-tjänstbegränsningar.

Microsoft tillhandahåller all programvara och alla verktyg för Azure Cloud HSM via sin SDK. Du kan ladda ned Azure Cloud HSM SDK från GitHub. Mer information om integreringsalternativ finns i Azure Cloud HSM-integreringsguider.

Nej, Microsoft övervakar den inbyggda programvaran på maskinvaran. En tredje part (HSM-tillverkaren) underhåller maskinvaran. NIST utvärderar den inbyggda programvaran och måste signera den för att säkerställa efterlevnad av FIPS 140-3 Nivå 3-standarder. Mer information om maskinvaruhantering finns i Vad är Azure Cloud HSM?.

Azure erbjuder flera lösningar för lagring och hantering av kryptografiska nycklar i molnet: Azure Key Vault (standard- och premiumerbjudanden), Azure Managed HSM, Azure Cloud HSM och Azure Payment HSM. Det kan vara överväldigande för kunderna att bestämma vilken lösning som är bäst för dem. Ett flödesschema, baserat på vanliga krav på hög nivå och viktiga hanteringsscenarier, är tillgängligt för att hjälpa kunderna att fatta det här beslutet. Se Så här väljer du rätt nyckelhanteringslösning.

Azure Cloud HSM passar bäst för migreringsscenarier när du migrerar lokala program som redan använder HSM:er till Azure. Azure Cloud HSM är ett alternativ med låg friktion för att migrera till Azure med minimala ändringar i programmet.

Om kryptografiska åtgärder utförs i ett programs kod som körs i en virtuell Azure-dator eller webbapp kan en organisation använda Cloud HSM. I allmänhet kan krympförsluten programvara som körs i IaaS-modeller (infrastruktur som en tjänst) som stöder HSM som nyckelarkiv använda Cloud HSM. Den här programvaran innehåller:

• Active Directory Certificate Services (AD CS).
• SSL/TLS-avlastning för NGINX och Apache.
• Verktyg och program som används för dokumentsignering.
• Kodsignering.
• Java-program som kräver en Java Cryptography Extension-provider (JCE).
• Microsoft SQL Server TDE (IaaS) via Extensible Key Management (EKM).
• Oracle TDE.

Mer information om hur du implementerar dessa scenarier finns i Azure Cloud HSM-integreringsguider.

Nej. Microsoft stöder inte "bring your own HSM". Azure Cloud HSM kan inte vara värd för några enheter som tillhandahålls av kunden. Mer information om tjänstarkitekturen finns i Vad är Azure Cloud HSM?.

Ja, men det beror på din arkitektur och konfiguration. Om din dedikerade HSM-distribution har konfigurerats i en ha-gruppering (hög tillgänglighet) kan du inte migrera nycklar. Anledningen är att nyckelexport är inaktiverad för att tillåta nyckelkloning (HA-gruppering), och att ändra dessa attribut är en destruktiv process. Om din dedikerade HSM-distribution har konfigurerats i en HA-gruppering måste du skapa nya nycklar när du migrerar till Azure Cloud HSM. Mer information om nyckelhantering finns i Nyckelhantering i Azure Cloud HSM.

Nej, Azure Cloud HSM har ingen penningpolitik. Registrering av Azure Cloud HSM är öppen för alla kunder. Mer information om hur du kommer igång finns i registreringsguiden för Azure Cloud HSM.

Du debiteras en timavgift för varje Azure Cloud HSM-kluster, som består av tre noder. När du har etablerat en Cloud HSM-resurs förblir den kontinuerligt aktiv (alltid på). Faktureringen startar när du etablerar en resurs i stället för när du har initierat HSM-resursen. Mer information om distributionsalternativ finns i Distribuera Azure Cloud HSM med hjälp av PowerShell eller Distribuera Azure Cloud HSM med hjälp av Azure-portalen.

Azure Cloud HSM kräver en nätverksinfrastruktur, till exempel ett virtuellt nätverk och en privat slutpunkt. Det kräver också resurser som virtuella datorer för enhetskonfiguration. Dessa resurser medför extra kostnader och ingår inte i prissättningen för Azure Cloud HSM-tjänsten. Mer information om nätverkskrav finns i Nätverkssäkerhet för Azure Cloud HSM.

Nej, en kostnadsfri nivå är inte tillgänglig för Azure Cloud HSM. Mer information om tjänsterbjudanden finns i Vad är Azure Cloud HSM?.

• Windows Server 2016, 2019 och 2022
• Linux (Ubuntu 20.04, Ubuntu 22.04, Ubuntu 24.04, RHEL 7, RHEL 8 och RHEL 9)
• CBL Mariner 2

Mer information om kompatibilitet och felsökning finns i Felsöka Azure Cloud HSM.

Du hanterar din tjänstdistribution genom att komma åt ditt Azure Cloud HSM-kluster via Secure Shell (SSH) och Azure Cloud HSM SDK från GitHub. Mer information om hanteringsåtgärder finns i Användarhantering i Azure Cloud HSM.

Azure Cloud HSM SDK innehåller programvara och verktyg för att köra kryptografiska åtgärder i program. Azure Cloud HSM stöder olika gränssnitt, inklusive PKCS#11, OpenSSL, JCE, nyckellagringsprovider (KSP) och kryptografi-API: Nästa generation (CNG). De olika verktygen i SDK möjliggör sömlös interaktion med din HSM.

Du kan ladda ned Azure Cloud HSM SDK från GitHub. Mer information om anslutningsmetoder finns i Autentisering i Azure Cloud HSM.

Azure Cloud HSM stöder endast lösenordsbaserad autentisering. Det stöder inte autentisering via en PIN-inmatningsenhet (PED). Mer information om autentiseringsmetoder finns i Autentisering i Azure Cloud HSM.

Ja. Använd peering för virtuella nätverk i en region för att upprätta anslutningar mellan virtuella nätverk. För anslutningar mellan regioner använder du global peering för virtuella nätverk eller en VPN-gateway. Mer information om nätverkskonfigurationer finns i Nätverkssäkerhet för Azure Cloud HSM.

Nej. Även om Azure Cloud HSM inte samverkar direkt med lokala HSM:er kan du på ett säkert sätt överföra exporterbara nycklar mellan Azure Cloud HSM och de flesta kommersiella HSM:er med hjälp av någon av flera nyckelomslutningsmetoder som stöds. Mer information om nyckelhantering finns i Nyckelhantering i Azure Cloud HSM.

Nej. Azure Cloud HSM-kluster är endast tillgängliga inifrån ditt virtuella nätverk. Mer information om tjänstbegränsningar finns i Vad är Azure Cloud HSM?.

Nej. Azure Cloud HSM etableras direkt i ditt privata IP-adressutrymme, så att andra Azure- eller Microsoft-tjänster inte kan komma åt den. Mer information om tjänstfunktioner och begränsningar finns i Vad är Azure Cloud HSM?.

Ja. Det finns flera metoder för BYOK (Bring Your Own Key) och lokala HSM:er som tillåter nyckelexport (nyckelomslutning). Mer information om viktiga importåtgärder finns i Nyckelhantering i Azure Cloud HSM.

Nej. Azure Cloud HSM-tjänsten stöder inte funktionsmoduler. Mer information om tjänstfunktioner finns i Azure Cloud HSM-tjänstbegränsningar.

Nej. Du kan inte ändra partitionsägarcertifikatet när du har laddat upp det. Om du laddar upp PO.crt i fel måste du ta bort din Azure Cloud HSM-resurs och distribuera igen.

Nej. Du kan inte återställa en säkerhetskopia till dess Azure Cloud HSM-källresurs eftersom den är i ett aktiverat tillstånd. Mer information om säkerhetskopierings- och återställningsåtgärder finns i Säkerhetskopiering och återställning i Azure Cloud HSM.

Nej. Azure Cloud HSM stöder inte återställning av en säkerhetskopia till dess HSM-källa eller någon Cloud HSM-resurs som redan har aktiverats. Annars kommer återställningsåtgärden att misslyckas och placera målmoln HSM-resursen i ett icke-funktionellt tillstånd. Mer information om återställningsprocessen finns i Riktlinjer för återställning för Azure Cloud HSM.

Ja. Du kan återställa en säkerhetskopia till en annan Azure Cloud HSM-resurs i vilken region som helst, om målets Cloud HSM-resurs inte är i ett aktiverat tillstånd. Mer information om återställning mellan regioner finns i Återställning mellan regioner för Azure Cloud HSM.

Nej. Endast en hanterad identitet tillåts per Azure Cloud HSM-kluster. Mer information om identitets- och åtkomsthantering finns i Tillämpa en hanterad identitet och skapa ett lagringskonto.

Ja. Den minsta rollbaserade åtkomstkontrollrollen (RBAC) som krävs är Storage Blob Data Contributor. Du kan begränsa källan som skrivskyddad, men du behöver läs-/skrivbehörighet på målet. Mer information om åtkomstkontroll finns i Tillämpa en hanterad identitet och skapa ett lagringskonto.

Nej. Med Azure Cloud HSM har du exklusiv administrativ åtkomst till din HSM som en enda klientorganisation. Mer information om tjänstarkitekturen finns i Vad är Azure Cloud HSM?.

Nej. Microsoft har ingen åtkomst till de nycklar som lagras i kundallokerade HSM:er. Mer information om säkerhetskontroller finns i Skydda din Azure Cloud HSM-distribution.

I arkitekturen för Azure Cloud HSM är uppdelning av uppgifter och rollbaserad åtkomstkontroll grundläggande principer. Microsoft har ingen kryptografisk kontroll över kundallokerade HSM:er eller kontroll över HSM:s användare, förutom dess egen begränsade roll som installationsanvändare.

Microsoft har begränsade behörigheter till HSM. Dessa behörigheter tillåter övervakning, underhåll av hälsa och tillgänglighet, krypterade säkerhetskopior och extrahering och publicering av oföränderliga granskningsloggar till kundens angivna lagring. Dessa behörigheter tillåter inte att Microsoft använder nycklar som ägs av kryptografianvändare för att utföra kryptografiska åtgärder. Mer information om driftloggning finns i Konfigurera och fråga händelseloggning för Azure Cloud HSM.

Nej, Azure Cloud HSM behåller inte kunddata. Alla viktiga material och data finns i kundens HSM. Varje Azure Cloud HSM-kluster är exklusivt avsett för en enda kund som har administrativ kontroll. Mer information om dataskydd finns i Skydda din Azure Cloud HSM-distribution.

Ja, Azure Cloud HSM erbjuder HSM:er som är verifierade för att uppfylla FIPS 140-3 Nivå 3-standarder. Procedurer för att verifiera HSM:s äkthet, inklusive kontroll av FIPS 140-3-nivå 3-certifieringen från NIST, finns i registreringsguiden. Mer information om efterlevnad finns i Vad är Azure Cloud HSM?.

Ja. Azure Cloud HSM stöder eIDAS-efterlevnad enligt det österrikiska systemet genom att tillhandahålla säker nyckelhantering, kryptografiska åtgärder och FIPS 140-3 Level 3-validerad maskinvara för att uppfylla stränga krav för kvalificerade elektroniska signaturer och tätningar, för att säkerställa regelefterlevnad. Läs mer i QSCD-certifikatet. Mer information om säkerhetsstandarder finns i Skydda din Azure Cloud HSM-distribution.

Azure Cloud HSM innehåller både fysiska och logiska mekanismer för identifiering av manipulering och svar som initierar nyckelborttagning (nollning) av maskinvaran. Dessa åtgärder är utformade för att upptäcka manipulering om den fysiska barriären komprometteras.

Dessutom skyddas HSM:er mot brute-force-inloggningsattacker. Systemet låser kryptografiansvariga (COs) efter ett visst antal misslyckade åtkomstförsök. På samma sätt resulterar upprepade misslyckade försök att få åtkomst till en HSM med autentiseringsuppgifter för kryptografianvändare (CU) till att användaren låses. En CO måste sedan låsa upp CU. Att låsa upp en CO kräver getChallenge och signerar utmaningen med PO.key via OpenSSL, följt av unlockCO och changePswd kommandon. Mer information om säkerhetsfunktioner finns i Skydda din Azure Cloud HSM-distribution.

Microsoft underlättar all support för Azure Cloud HSM. Om du stöter på problem som rör maskinvara, programvara, HSM-konfiguration eller nätverksåtkomst skickar du en supportbegäran till Microsoft. Mer information om vanliga problem och lösningar finns i Felsöka Azure Cloud HSM.

Azure-datacenter har omfattande fysiska och procedurmässiga säkerhetskontroller. Dessutom finns HSM:erna i Azure Cloud HSM i ett område med begränsad åtkomst i datacentret, med fysiska åtkomstkontroller och videoövervakning för ökad säkerhet. Mer information om fysisk säkerhet finns i Skydda din Azure Cloud HSM-distribution.

Nej. Microsoft har inte åtkomst till dina nycklar eller autentiseringsuppgifter och kan inte återställa dina nycklar om du förlorar dina autentiseringsuppgifter. Mer information om hantering av autentiseringsuppgifter finns i Användarhantering i Azure Cloud HSM.

Nej, även om Microsoft kan behöva utföra underhåll för nödvändiga uppgraderingar eller felaktig maskinvara. Vi meddelar kunderna i förväg om vi förväntar oss någon påverkan. Mer information om driftöverväganden finns i Skydda din Azure Cloud HSM-distribution.

Information om serviceavtal finns i Servicenivåavtal (SERVICEAVTAL) för onlinetjänster. Mer information om tjänstens tillförlitlighet finns i Vad är Azure Cloud HSM?.