Läs på engelska Redigera

Dela via


Vanliga frågor och svar

Hitta svar på vanliga frågor om Microsoft Azure Dedicated HSM.

Grunderna

Vad är en maskinvarusäkerhetsmodul (HSM)?

En maskinvarusäkerhetsmodul (HSM) är en fysisk databehandlingsenhet som används för att skydda och hantera kryptografiska nycklar. Nycklar som lagras i HSM:er kan användas för kryptografiska åtgärder. Nyckelmaterialet förblir säkert i manipuleringsbeständiga, manipuleringssäkra maskinvarumoduler. HSM tillåter endast autentiserade och auktoriserade program att använda nycklarna. Nyckelmaterialet lämnar aldrig HSM:s skyddsgräns.

Vad är Azure Dedicated HSM-erbjudandet?

Azure Dedicated HSM är en molnbaserad tjänst som tillhandahåller HSM:er i Azure-datacenter som är direkt anslutna till kundens virtuella nätverk. Dessa HSM:er är dedikerade Thales Luna 7 HSM-nätverksinstallationer . De distribueras direkt till en kunds privata IP-adressutrymme och Microsoft har inte någon åtkomst till de kryptografiska funktionerna i HSM:erna. Endast kunden har fullständig administrativ och kryptografisk kontroll över dessa enheter. Kunderna ansvarar för hanteringen av enheten och kan få fullständiga aktivitetsloggar direkt från sina enheter. Dedikerade HSM:er hjälper kunder att uppfylla efterlevnads-/regelkrav som FIPS 140-2 Level 3, HIPAA, PCI-DSS och eIDAS och många andra.

Vilka är registrerings- och användningsbegränsningarna för dedikerad HSM?

Kunder måste ha en tilldelad Microsoft Account Manager och uppfylla det ekonomiska kravet på 5 miljoner USD (5 miljoner USD) eller högre i totala incheckade Azure-intäkter årligen för att kvalificera sig för registrering och användning av Azure Dedicated HSM.

Vilken maskinvara används för dedikerad HSM?

Microsoft samarbetade med Thales för att leverera Azure Dedicated HSM-tjänsten. Den specifika enhet som används är Thales Luna 7 HSM-modellen A790. Den här enheten tillhandahåller inte bara FIPS 140-2 Level-3-validerad inbyggd programvara, utan erbjuder även låg svarstid, höga prestanda och hög kapacitet via 10 partitioner.

Vad används HSM till?

HSM:er används för att lagra kryptografiska nycklar som används för kryptografiska funktioner som TLS (säkerhet på transportnivå), kryptering av data, PKI (infrastruktur för offentlig nyckel), DRM (hantering av digitala rättigheter) och signeringsdokument.

Hur fungerar Dedikerad HSM?

Kunder kan etablera HSM:er i specifika regioner med hjälp av PowerShell eller kommandoradsgränssnitt. Kunden anger vilket virtuellt nätverk HSM:erna är anslutna till och när de har etablerats är HSM:erna tillgängliga i det avsedda undernätet på tilldelade IP-adresser i kundens privata IP-adressutrymme. Sedan kan kunder ansluta till HSM:erna med hjälp av SSH för hantering och administration av installationer, konfigurera HSM-klientanslutningar, initiera HSM:er, skapa partitioner, definiera och tilldela roller som partitionsansvarig, kryptoofficer och kryptoanvändare. Sedan använder kunden Thales HSM-klientverktyg/SDK/programvara för att utföra kryptografiska åtgärder från sina program.

Vilken programvara tillhandahålls med den dedikerade HSM-tjänsten?

Thales tillhandahåller all programvara för HSM-enheten när den har etablerats av Microsoft. Programvaran finns på Thales kundsupportportal. Kunder som använder den dedikerade HSM-tjänsten måste vara registrerade för Thales-supporten och ha ett kund-ID som ger åtkomst till och nedladdning av relevant programvara. Klientprogramvaran som stöds är version 7.2, som är kompatibel med den FIPS 140-2 Level 3-verifierade inbyggda programvaran version 7.0.3.

Vilka extra kostnader kan uppstå för dedikerad HSM-tjänsten?

Följande objekt medför extra kostnad när du använder den dedikerade HSM-tjänsten.

  • Användning av dedikerad lokal säkerhetskopieringsenhet är möjlig att använda med dedikerad HSM-tjänst, men medför en extra kostnad och bör hämtas direkt från Thales.
  • Dedikerad HSM tillhandahålls med en 10-partitionslicens. En kund kan begära fler partitioner och betala för fler licenser som hämtas direkt från Thales.
  • Dedikerad HSM kräver nätverksinfrastruktur (virtuellt nätverk, VPN Gateway osv.) och resurser som virtuella datorer för enhetskonfiguration. Dessa resurser medför extra kostnader och ingår inte i prissättningen för dedikeradE HSM-tjänster.

Erbjuder Azure Dedicated HSM lösenordsbaserad och PED-baserad autentisering?

Nej. Azure Dedicated HSM tillhandahåller endast HSM:er med lösenordsbaserad autentisering.

Har Azure Dedicated HSM stöd för funktionsmoduler?

Nej. Azure Dedicated HSM-tjänsten stöder inte funktionsmoduler.

Kommer Azure Dedicated HSM att vara värd för mina HSM:er åt mig?

Microsoft erbjuder endast Thales Luna 7 HSM-modellen A790 via den dedikerade HSM-tjänsten och kan inte vara värd för några enheter som tillhandahålls av kunden.

Har Azure Dedicated HSM stöd för funktioner för betalning (PIN/EFT)?

Azure Dedicated HSM-tjänsten använder Thales Luna 7 HSM. Dessa enheter stöder inte HSM-specifika funktioner för betalning (till exempel PIN-kod eller EFT) eller certifieringar. Om du vill att Azure Dedicated HSM-tjänsten ska stödja HSM-betalningsdatorer i framtiden kan du vidarebefordra feedbacken till din Microsoft-kontorepresentant.

Vilka Azure-regioner är Dedikerad HSM tillgängligt i?

Från och med oktober 2022 är Dedikerad HSM tillgängligt i 22 regioner. Ytterligare regioner planeras och kan diskuteras via din Microsoft-kontorepresentant.

  • East US
  • USA, östra 2
  • USA, västra
  • USA, västra 2
  • Östra Kanada
  • Kanada, centrala
  • USA, södra centrala
  • Sydostasien
  • Indien, centrala
  • Indien, syd
  • Japan, östra
  • Japan, västra
  • Europa, norra
  • Europa, västra
  • Storbritannien, södra
  • Storbritannien, västra
  • Australien, östra
  • Australien, sydöstra
  • Schweiz, norra
  • Schweiz, västra
  • US Gov, Virginia
  • US Gov, Texas

Samverkan

Hur ansluter mitt program till en dedikerad HSM?

Du använder Thales HSM-klientverktyg/SDK/programvara för att utföra kryptografiska åtgärder från dina program. Programvaran finns på Thales kundsupportportal. Kunder som använder den dedikerade HSM-tjänsten måste vara registrerade för Thales-supporten och ha ett kund-ID som ger åtkomst till och nedladdning av relevant programvara.

Kan ett program ansluta till dedikerad HSM från ett annat virtuellt nätverk i eller mellan regioner?

Ja, du måste använda peering för virtuella nätverk i en region för att upprätta anslutningar mellan virtuella nätverk. För anslutningar mellan regioner måste du använda VPN Gateway.

Kan jag synkronisera dedikerad HSM med lokala HSM:er?

Ja, du kan synkronisera lokala HSM:er med dedikerad HSM. Punkt-till-punkt-VPN eller punkt-till-plats-anslutning kan användas för att upprätta anslutningar med ditt lokala nätverk.

Kan jag kryptera data som används av andra Azure-tjänster med hjälp av nycklar som lagras i Dedikerad HSM?

Nej. Dedikerade HSM:er i Azure är endast tillgängliga inifrån ditt virtuella nätverk.

Kan jag importera nycklar från en befintlig lokal HSM till dedikerad HSM?

Ja, om du har lokala Thales Luna 7 HSM. Det finns flera metoder. Se Thales HSM-dokumentationen.

Vilka operativsystem stöder dedikerad HSM-klientprogramvara?

  • Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
  • Virtuell: VMware, Hyper-V, Xen, KVM

Hur konfigurerar jag mitt klientprogram för att skapa en konfiguration med hög tillgänglighet med flera partitioner från flera HSM:er?

Om du vill ha hög tillgänglighet måste du konfigurera konfigurationen av HSM-klientprogrammet för att använda partitioner från varje HSM. Se dokumentationen om Thales HSM-klientprogramvara.

Vilka autentiseringsmekanismer stöds av dedikerad HSM?

Azure Dedicated HSM använder Thales Luna 7 HSM-modell A790-enheter och de stöder lösenordsbaserad autentisering.

Vilka SDK:er, API:er och klientprogramvara är tillgängliga att använda med dedikerad HSM?

PKCS#11, Java (JCA/JCE), Microsoft CAPI och CNG, OpenSSL

Kan jag importera/migrera nycklar från Luna 5/6 HSM till dedikerade Azure-HSM:er?

Ja. Kontakta din Thales-representant för lämplig Thales-migreringsguide.

Kan jag installera funktionsmoduler på dedikerade HSM:er i Azure?

Nej. Azure Dedicated HSM-tjänsten stöder inte funktionsmoduler.

Använda din HSM

Hur bestämmer jag om jag vill använda Azure Key Vault eller Azure Dedicated HSM?

Azure Dedicated HSM är det lämpliga valet för företag som migrerar till lokala Azure-program som använder HSM. Dedikerade HSM:er kan migrera ett program med minimala ändringar. Om kryptografiska åtgärder utförs i programmets kod som körs på en virtuell Azure-dator eller en webbapp kan de använda dedikerad HSM. I allmänhet kan krympförsluten programvara som körs i IaaS-modeller (infrastruktur som en tjänst) som stöder HSM som nyckelarkiv använda Dedicate HSM, till exempel traffic manager för nyckellös TLS, ADCS (Active Directory Certificate Services) eller liknande PKI-verktyg, verktyg/program som används för dokumentsignering, kodsignering eller en SQL Server (IaaS) konfigurerad med TDE (transparent databaskryptering) med primärnyckel i en HSM med hjälp av en EKM-provider (utökningsbar nyckelhantering). Azure Key Vault är lämpligt för "born-in-cloud"-program eller för kryptering i viloscenarier där kunddata bearbetas av PaaS (plattform som en tjänst) eller SaaS-scenarier (programvara som en tjänst), till exempel Office 365-kundnyckel, Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store-kryptering med kundhanterad nyckel, Azure Storage-kryptering med kundhanterad nyckel. och Azure SQL med kundhanterad nyckel.

Vilka användningsscenarier passar bäst för Azure Dedicated HSM?

Azure Dedicated HSM passar bäst för migreringsscenarier där du migrerar lokala program till Azure som redan använder HSM:er, vilket ger en metod med låg friktion för migrering till Azure med minimala ändringar i programmet. Om kryptografiska åtgärder utförs i programmets kod som körs i en virtuell Azure-dator eller webbapp kan dedikerad HSM användas. I allmänhet kan krympförsluten programvara som körs i IaaS-modeller (infrastruktur som en tjänst) som stöder HSM som ett nyckelarkiv använda Dedicate HSM, till exempel:

  • Traffic Manager för nyckellös TLS
  • ADCS (Active Directory Certificate Services)
  • Liknande PKI-verktyg
  • Verktyg/program som används för dokumentsignering
  • Kodsignering
  • SQL Server (IaaS) som konfigurerats med TDE (transparent databaskryptering) med primärnyckel i en HSM med hjälp av en EKM-provider (utökningsbar nyckelhantering)

Kan Dedikerad HSM användas med Kundnyckel i Office 365, Azure Information Protection, Azure Data Lake Store, Disk Encryption, kryptering för Azure Storage eller Azure SQL TDE?

Nej. Dedikerad HSM etableras direkt i kundens privata IP-adressutrymme så att den inte är tillgänglig för andra Azure- eller Microsoft usluge.

Administration, åtkomst och kontroll

Får kunden fullständig exklusiv kontroll över HSM:erna med dedikerad HSM?

Ja. Varje HSM-installation är helt dedikerad till en enskild kund och ingen annan har administrativ kontroll när den har etablerats och administratörslösenordet har ändrats.

Vilken åtkomstnivå har Microsoft till min HSM?

Microsoft har ingen administrativ eller kryptografisk kontroll över HSM. Microsoft har övervakningsnivååtkomst via seriell portanslutning för att hämta grundläggande telemetri, till exempel temperatur och komponenthälsa, så att Microsoft kan tillhandahålla proaktiva meddelanden om hälsoproblem. Om det behövs kan kunden inaktivera det här kontot.

Vad är det "klientadministratörskonto" som Microsoft använder? Jag är van vid att administratörsanvändaren är "administratör" på Thales Luna HSM:er

HSM-enheten levereras med en standardanvändare av administratören med sitt vanliga standardlösenord. Microsoft ville inte ha standardlösenord som används medan någon enhet finns i en pool och väntar på att kunder ska etablera sig. Detta skulle inte uppfylla våra strikta säkerhetskrav. Därför anger vi ett starkt lösenord som tas bort vid etableringstillfället. Vid etableringen skapar vi också en ny användare i administratörsrollen "klientadministratör". Användaren "klientadministratör" har standardlösenordet, som kunderna ändrar som den första åtgärden när de först loggar in på den nyligen etablerade enheten. Den här processen säkerställer höga säkerhetsgrader och upprätthåller vårt löfte om enbart administrativ kontroll för våra kunder. Det bör noteras att användaren "klientadministratör" kan användas för att återställa administratörsanvändarlösenordet om en kund föredrar att använda det kontot.

Kan Microsoft eller någon på Microsoft komma åt nycklar i min dedikerade HSM?

Nej. Microsoft har ingen åtkomst till de nycklar som lagras i kundallokerad dedikerad HSM.

Lagrar Azure Dedicated HSM kunddata?

Nej. Azure Dedicated HSM är en baremetal HSM för lånetjänst. Vår tjänst lagrar inte kunddata. Alla viktiga material och data lagras i kundens HSM-installation. Varje HSM-installation är helt dedikerad till en enda kund, för vilken de har fullständig administrativ kontroll.

Kan jag uppgradera programvara/inbyggd programvara på HSM:er som tilldelats mig?

Kunden har fullständig administrativ kontroll, inklusive uppgradering av programvara/inbyggd programvara om specifika funktioner krävs från olika versioner av inbyggd programvara. Innan du gör ändringar bör du kontakta Thales Support om ditt scenario för uppgradering av programvara/inbyggd programvara.

Hur hanterar jag dedikerad HSM?

Du kan hantera dedikerade HSM:er genom att komma åt dem med hjälp av SSH.

Hur hanterar jag partitioner på dedikerad HSM?

Thales HSM-klientprogramvaran används för att hantera HSM:er och partitioner.

Hur övervakar jag min HSM?

En kund har fullständig åtkomst till HSM-aktivitetsloggar via syslog och SNMP. En kund måste konfigurera en syslog-server eller SNMP-server för att ta emot loggarna eller händelserna från HSM:erna.

Kan jag få fullständig åtkomstlogg för alla HSM-åtgärder från Dedikerad HSM?

Ja. Du kan skicka loggar från HSM-installationen till en syslog-server

Hög tillgänglighet

Går det att konfigurera hög tillgänglighet i samma region eller i flera regioner?

Ja. Konfiguration och installation av hög tillgänglighet utförs i HSM-klientprogramvaran som tillhandahålls av Thales. HSM:er från samma virtuella nätverk eller andra virtuella nätverk i samma region eller mellan regioner, eller lokala HSM:er som är anslutna till ett virtuellt nätverk med plats-till-plats eller punkt-till-punkt-VPN kan läggas till i samma konfiguration med hög tillgänglighet. Observera att detta endast synkroniserar nyckelmaterial och inte specifika konfigurationsobjekt, till exempel roller.

Kan jag lägga till HSM:er från mitt lokala nätverk till en grupp med hög tillgänglighet med Azure Dedicated HSM?

Ja. De måste uppfylla kraven på hög tillgänglighet för Thales Luna 7 HSM:er

Kan jag lägga till Luna 5/6 HSM från lokala nätverk till en grupp med hög tillgänglighet med Azure Dedicated HSM?

Nej.

Hur många HSM:er kan jag lägga till i samma konfiguration med hög tillgänglighet från ett enda program?

Sexton medlemmar i en HA-grupp har under-borta, full begränsning testning med utmärkta resultat.

Support

Vad är serviceavtalet för dedikerad HSM-tjänst?

Det finns ingen specifik drifttidsgaranti för den dedikerade HSM-tjänsten. Microsoft säkerställer åtkomst på nätverksnivå till enheten och därför gäller standardavtal för Azure-nätverk.

Hur skyddas HSM:erna i Azure Dedicated HSM?

Azure-datacenter har omfattande fysiska och procedurmässiga säkerhetskontroller. Utöver det finns dedikerade HSM:er i ett ytterligare begränsat åtkomstområde i datacentret. Dessa områden har fler fysiska åtkomstkontroller och videokameraövervakning för extra säkerhet.

Vad händer om det finns en säkerhetsöverträdelse eller maskinvarumanipuleringshändelse?

Dedikerad HSM-tjänsten använder Thales Luna 7 HSM-apparater . Dessa enheter stöder identifiering av fysisk och logisk manipulering. Om det någonsin inträffar en manipulationshändelse nollställs HSM:erna automatiskt.

Hur ser jag till att nycklar i mina dedikerade HSM:er inte går förlorade på grund av fel eller en skadlig insiderattack?

Vi rekommenderar starkt att du använder en lokal HSM-säkerhetskopieringsenhet för att utföra regelbunden regelbunden säkerhetskopiering av HSM:erna för haveriberedskap. Du måste använda en peer-to-peer- eller plats-till-plats-VPN-anslutning till en lokal arbetsstation som är ansluten till en HSM-säkerhetskopieringsenhet.

Hur får jag stöd för dedikerad HSM?

Support tillhandahålls av både Microsoft och Thales. Om du har problem med maskinvaru- eller nätverksåtkomsten kan du skicka en supportbegäran till Microsoft och om du har problem med HSM-konfiguration, programvara och programutveckling skapar du en supportbegäran med Thales. Om du har ett obestämt problem kan du skapa en supportbegäran med Microsoft och sedan kan Thales anlitas efter behov.

Hur får jag klientprogramvaran, dokumentationen och åtkomsten till integreringsvägledning för Thales Luna 7 HSM?

När du har registrerat dig för tjänsten får du ett Thales-kund-ID som tillåter registrering i Thales kundsupportportal, vilket ger åtkomst till all programvara och dokumentation samt supportförfrågningar direkt med Thales.

Vem ansvarar för uppgradering/uppdatering av operativsystem/inbyggd programvara om det finns en säkerhetsrisk och en korrigering som släppts av Thales?

Microsoft har inte möjlighet att ansluta till HSM:er som allokerats till kunder. Kunder måste uppgradera och korrigera sina HSM:er.

Vad händer om jag behöver starta om min HSM?

HSM har ett alternativ för omstart av kommandoraden, men vi har problem där omstarten slutar svara tillfälligt och därför rekommenderas det för den säkraste omstarten att du skickar en supportbegäran till Microsoft om att enheten ska startas om fysiskt.

Kryptografi och standarder

Är det säkert att lagra krypteringsnycklar för mina viktigaste data i Dedikerad HSM?

Ja, Dedikerad HSM etablerar Thales Luna 7 HSM:er som är FIPS 140-2 Level-3 verifierade.

Dedikerad HSM stöder vilka kryptografiska nycklar och algoritmer?

DedikeradE HSM-tjänster etablerar Thales Luna 7 HSM-apparater. De har stöd för en mängd olika typer av kryptografiska nyckeltyper och algoritmer, inklusive: Fullständigt stöd för Suite B

  • Asymmetrisk:
    • RSA
    • DSA
    • Diffie-Hellman
    • Elliptisk kurva
    • Kryptografi (ECDSA, ECDH, Ed25519, ECIES) med namngivna, användardefinierade och Brainpool-kurvor, KCDSA
  • Symmetrisk:
    • AES-GCM
    • Trippel DES
    • DES
    • ARIA, SEED
    • RC2
    • RC4
    • RC5
    • CAST
    • Hash/Message Digest/HMAC: SHA-1, SHA-2, SM3
    • Nyckelhärledning: SP 800-108 Counter Mode
    • Nyckelomslutning: SP 800-38F
    • Slumptalsgenerering: FIPS 140-2 godkänd DRBG (SP 800-90 CTR-läge), som uppfyller BSI DRG.4

Verifieras dedikerad HSM FIPS 140-2 nivå 3?

Ja. DedikeradE HSM-tjänster etablerar Thales Luna 7 HSM-modell A790-apparater som är FIPS 140-2 Level-3-verifierade .

Vad behöver jag göra för att se till att jag använder dedikerad HSM i FIPS 140-2-nivå 3-verifierat läge?

Den dedikerade HSM-tjänsten tillhandahåller Thales Luna 7 HSM-apparater. Dessa enheter är FIPS 140-2 Level 3-verifierade HSM:er. Standarddistribuerad konfiguration, operativsystem och inbyggd programvara är också FIPS-verifierade. Du behöver inte vidta några åtgärder för FIPS 140-2 Nivå 3-efterlevnad.

Hur ser en kund till att allt nyckelmaterial raderas när en HSM avetableras?

Innan du begär avetablering måste en kund ha nollställt HSM med thales tillhandahållna HSM-klientverktyg.

Prestanda och skalning

Hur många kryptografiska åtgärder stöds per sekund med dedikerad HSM?

Dedikerad HSM etablerar Thales Luna 7 HSM. Här är en sammanfattning av maximal prestanda för vissa åtgärder:

  • RSA-2048: 10 000 transaktioner per sekund
  • ECC P256: 20 000 transaktioner per sekund
  • AES-GCM: 17 000 transaktioner per sekund

Hur många partitioner kan skapas i dedikerad HSM?

Thales Luna 7 HSM-modellen A790 som används innehåller en licens för 10 partitioner i kostnaden för tjänsten. Enheten har en gräns på 100 partitioner och att lägga till partitioner upp till den här gränsen skulle medföra extra licenskostnader och kräva installation av en ny licensfil på enheten.

Hur många nycklar kan stödjas i Dedikerad HSM?

Det maximala antalet nycklar är en funktion av det tillgängliga minnet. Thales Luna 7-modellen A790 som används har 32 MB minne. Följande tal gäller även för nyckelpar om du använder asymmetriska nycklar.

  • RSA-2048 - 19 000
  • ECC-P256 - 91 000

Kapaciteten varierar beroende på specifika nyckelattribut som anges i nyckelgenereringsmallen och antalet partitioner.