Vanliga frågor och svar (FAQ)

En maskinvarusäkerhetsmodul (HSM) är en fysisk databehandlingsenhet som används för att skydda och hantera kryptografiska nycklar. Nycklar som lagras i HSM:er kan användas för kryptografiska åtgärder. Nyckelmaterialet förblir säkert i manipulationsresistenta, manipulationssäkra maskinvarumoduler. HSM tillåter endast autentiserade och auktoriserade program att använda nycklarna. Nyckelmaterialet lämnar aldrig HSM-skyddsgränsen.

Azure Dedicated HSM är en molnbaserad tjänst som tillhandahåller HSM:er i Azure-datacenter som är direkt anslutna till en kunds virtuella nätverk. Dessa HSM:er är dedikerade Thales Luna 7 HSM-nätverksinstallationer . De distribueras direkt till en kunds privata IP-adressutrymme och Microsoft har inte någon åtkomst till de kryptografiska funktionerna i HSM:erna. Endast kunden har fullständig administrativ och kryptografisk kontroll över dessa enheter. Kunderna ansvarar för hanteringen av enheten och kan hämta fullständiga aktivitetsloggar direkt från sina enheter. Dedikerade HSM:er hjälper kunder att uppfylla efterlevnads-/regelkrav som FIPS 140-2 Level 3, HIPAA, PCI-DSS och eIDAS och många andra.

Kunder måste ha en tilldelad Microsoft-kontohanterare och uppfylla det monetära kravet på fem miljoner USD (5 miljoner USD) eller högre i totala bekräftade Azure-intäkter årligen för att kvalificera sig för registrering och användning av Azure Dedicated HSM.

Microsoft har samarbetat med Thales för att leverera Azure Dedicated HSM-tjänsten. Den specifika enheten som används är Thales Luna 7 HSM-modellen A790. Den här enheten tillhandahåller inte bara FIPS 140-2 Level-3-validerad inbyggd programvara, utan erbjuder även låg latens, höga prestanda och hög kapacitet via 10 partitioner.

HSM:er används för att lagra kryptografiska nycklar som används för kryptografiska funktioner som TLS (säkerhet på transportnivå), kryptering av data, PKI (infrastruktur för offentliga nycklar), DRM (hantering av digitala rättigheter) och signeringsdokument.

Kunder kan etablera HSM:er i specifika regioner med hjälp av PowerShell eller kommandoradsgränssnittet. Kunden anger vilket virtuellt nätverk som HSM:erna ska anslutas till och när HSM:erna har etablerats blir de tillgängliga i det avsedda undernätet på tilldelade IP-adresser i kundens privata IP-adressutrymme. Kunder kan sedan ansluta till HSM:erna med hjälp av SSH för hantering och administration av installationen, konfigurera HSM-klientanslutningar, initiera HSM:er, skapa partitioner, definiera och tilldela roller som partitionsofficer, kryptografiofficer och kryptoanvändare. Sedan använder kunden Thales HSM-klientverktyg/SDK/programvara för att utföra kryptografiska åtgärder från sina program.

Thales tillhandahåller all programvara för HSM-enheten när den har etablerats av Microsoft. Programvaran är tillgänglig på Thales kundsupportportal. Kunder som använder den dedikerade HSM-tjänsten måste vara registrerade för Thales-support och ha ett kund-ID som ger åtkomst till och nedladdning av relevant programvara. Klientprogramvaran som stöds är version 7.2, som är kompatibel med den FIPS 140-2 Level 3-verifierade versionen av inbyggd programvara 7.0.3.

Följande objekt medför extra kostnad när du använder den dedikerade HSM-tjänsten.

• Det är möjligt att använda dedikerade lokala enheter för säkerhetskopiering med dedikerad HSM-tjänst, men detta medför en extra kostnad och bör hämtas direkt från Thales.
• Dedikerad HSM tillhandahålls med en licens på 10 partitioner. Om en kund behöver fler partitioner medför detta en extra kostnad för ytterligare licenser som direkt hämtas från Thales.
• Dedikerad HSM kräver nätverksinfrastruktur (VNET, VPN Gateway osv.) och resurser som virtuella datorer för enhetskonfiguration. Dessa ytterligare resurser medför extra kostnader och ingår inte i prissättningen för dedikerad HSM-tjänsten.

Nej. Dedikerad HSM i Azure tillhandahåller endast HSM:er med lösenordsbaserad autentisering.

Nej. Azure Dedicated HSM-tjänsten stöder inte funktionsmoduler.

Microsoft erbjuder endast Thales Luna 7 HSM-modellen A790 via den dedikerade HSM-tjänsten och kan inte vara värd för några enheter som tillhandahålls av kunden.

Azure Dedicated HSM-tjänsten använder Thales Luna 7 HSM. Dessa enheter stöder inte HSM-specifika funktioner (t.ex. PIN-kod eller EFT) eller certifieringar. Om du vill att Azure Dedicated HSM-tjänsten ska stödja HSM:er för betalning i framtiden kan du vidarebefordra feedbacken till din Microsoft-kontorepresentant.

Från och med oktober 2022 är Dedikerad HSM tillgängligt i de 22 regioner som anges nedan. Ytterligare regioner planeras och kan diskuteras via din Microsoft-kontorepresentant.

• East US
• USA, östra 2
• USA, västra
• USA, västra 2
• Kanada, östra
• Kanada, centrala
• USA, södra centrala
• Sydostasien
• Indien, centrala
• Södra Indien
• Japan, östra
• Japan, västra
• Europa, norra
• Europa, västra
• Storbritannien, södra
• Storbritannien, västra
• Australien, östra
• Australien, sydöstra
• Schweiz, norra
• Schweiz, västra
• US Gov, Virginia
• US Gov, Texas

Du använder HSM-klientverktyg/SDK/programvara från Thales för att utföra kryptografiska åtgärder från dina program. Programvaran är tillgänglig på Thales kundsupportportal. Kunder som använder den dedikerade HSM-tjänsten måste vara registrerade för Thales-support och ha ett kund-ID som ger åtkomst till och nedladdning av relevant programvara.

Ja, du måste använda VNET-peering inom en region för att upprätta anslutningar mellan virtuella nätverk. För anslutningar mellan regioner måste du använda VPN Gateway.

Ja, du kan synkronisera lokala HSM:er med dedikerad HSM. Punkt-till-punkt-VPN eller punkt-till-plats-anslutning kan användas för att upprätta anslutningar till ditt lokala nätverk.

Nej. Dedikerade HSM:er i Azure är endast tillgängliga inifrån ditt virtuella nätverk.

Ja, om du har lokala Thales Luna 7 HSM. Det finns flera metoder. Se Thales HSM-dokumentationen.

• Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
• Virtuell: VMware, Hyper-V, Xen, KVM

Om du vill ha hög tillgänglighet måste du konfigurera HSM-klientprogramkonfigurationen så att partitioner från varje HSM används. Läs dokumentationen om Thales HSM-klientprogramvara.

Azure Dedicated HSM använder Thales Luna 7 HSM-modell A790-enheter och de stöder lösenordsbaserad autentisering.

PKCS#11, Java (JCA/JCE), Microsoft CAPI och CNG, OpenSSL

Ja. Kontakta din Thales-representant för lämplig Thales-migreringsguide.

Nej. Azure Dedicated HSM-tjänsten stöder inte funktionsmoduler.

Azure Dedicated HSM är det lämpliga valet för företag som migrerar till lokala Azure-program som använder HSM:er. Dedikerade HSM:er är ett alternativ för att migrera ett program med minimala ändringar. Om kryptografiska åtgärder utförs i programmets kod som körs på en virtuell Azure-dator eller webbapp kan de använda dedikerad HSM. I allmänhet kan krympt omsluten programvara som körs i IaaS-modeller (infrastruktur som en tjänst) som stöder HSM som ett nyckelarkiv använda Dedicate HSM, till exempel traffic manager för nyckellös TLS, ADCS (Active Directory Certificate Services) eller liknande PKI-verktyg, verktyg/program som används för dokumentsignering, kodsignering eller en SQL Server (IaaS) konfigurerat med TDE (transparent databaskryptering) med huvudnyckel i en HSM med hjälp av en EKM-provider (utökningsbar nyckelhantering). Azure Key Vault är lämpligt för "infödda molnprogram" eller för kryptering i viloscenarier där kunddata bearbetas av PaaS (plattform som en tjänst) eller SaaS-scenarier (programvara som en tjänst), till exempel Office 365 kundnyckel, Azure Information Protection , Azure Disk Encryption, Azure Data Lake Store-kryptering med kundhanterad nyckel, Azure Storage-kryptering med kundhanterad nyckel och Azure SQL med kundhanterad nyckel.

Azure Dedicated HSM passar bäst för migreringsscenarier. Det innebär att om du migrerar lokala program till Azure som redan använder HSM:er. Detta ger ett alternativ med låg friktion för att migrera till Azure med minimala ändringar i programmet. Om kryptografiska åtgärder utförs i programmets kod som körs i en virtuell Azure-dator eller webbapp kan dedikerad HSM användas. I allmänhet kan krympd programvara som körs i IaaS-modeller (infrastruktur som en tjänst) som stöder HSM:er som ett nyckelarkiv använda Dedicate HSM, till exempel:

• Traffic Manager för nyckellös TLS
• ADCS (Active Directory Certificate Services)
• Liknande PKI-verktyg
• Verktyg/program som används för dokumentsignering
• Kodsignering
• SQL Server (IaaS) som konfigurerats med TDE (transparent databaskryptering) med huvudnyckel i en HSM med hjälp av en EKM-provider (utökningsbar nyckelhantering)

Nej. Dedikerad HSM etableras direkt i en kunds privata IP-adressutrymme så att den inte är tillgänglig för andra Azure- eller Microsoft-tjänster.

Ja. Varje HSM-installation är helt dedikerad till en enskild kund och ingen annan har administrativ kontroll när den har etablerats och administratörslösenordet har ändrats.

Microsoft har ingen administrativ eller kryptografisk kontroll över HSM. Microsoft har åtkomst på övervakningsnivå via seriell portanslutning för att hämta grundläggande telemetri, till exempel temperatur och komponenthälsa. På så sätt kan Microsoft tillhandahålla proaktiva meddelanden om hälsoproblem. Om det behövs kan kunden inaktivera det här kontot.

HSM-enheten levereras med en standardanvändare av administratören med sitt vanliga standardlösenord. Microsoft ville inte ha standardlösenord som används medan någon enhet finns i en pool som väntar på att etableras av kunder. Detta skulle inte uppfylla våra strikta säkerhetskrav. Därför anger vi ett starkt lösenord som ignoreras vid etableringstillfället. Vid etableringen skapar vi också en ny användare i administratörsrollen som kallas "klientadministratör". Den här användaren har standardlösenordet och kunderna ändrar detta som den första åtgärden när de först loggar in på den nyligen etablerade enheten. Den här processen säkerställer höga säkerhetsnivåer och upprätthåller vårt löfte om enbart administrativ kontroll för våra kunder. Det bör noteras att användaren "klientadministratör" kan användas för att återställa administratörsanvändarlösenordet om en kund föredrar att använda det kontot.

Nej. Microsoft har inte någon åtkomst till de nycklar som lagras i kundallokerad dedikerad HSM.

Nej. Azure Dedicated HSM är en baremetal HSM för lånetjänst. Vår tjänst lagrar inte kunddata. Alla viktiga material och data lagras i kundens HSM-installation. Varje HSM-installation är helt dedikerad till en enda kund som de har fullständig administrativ kontroll över.

Kunden har fullständig administrativ kontroll, inklusive uppgradering av programvara/inbyggd programvara om specifika funktioner krävs från olika versioner av inbyggd programvara. Innan du gör ändringar bör du kontakta Microsoft om din uppgradering genom att kontakta HSMRequest@microsoft.com

Du kan hantera dedikerade HSM:er genom att komma åt dem med hjälp av SSH.

Thales HSM-klientprogramvaran används för att hantera HSM:er och partitioner.

En kund har fullständig åtkomst till HSM-aktivitetsloggar via syslog och SNMP. En kund måste konfigurera en syslog-server eller SNMP-server för att ta emot loggarna eller händelserna från HSM:erna.

Ja. Du kan skicka loggar från HSM-installationen till en syslog-server

Ja. Konfiguration och installation av hög tillgänglighet utförs i HSM-klientprogramvaran som tillhandahålls av Thales. HSM:er från samma virtuella nätverk eller andra virtuella nätverk i samma region eller mellan regioner, eller lokala HSM:er som är anslutna till ett virtuellt nätverk med plats-till-plats eller punkt-till-punkt-VPN kan läggas till i samma konfiguration med hög tillgänglighet. Observera att detta endast synkroniserar nyckelmaterial och inte specifika konfigurationsobjekt, till exempel roller.

Ja. De måste uppfylla kraven på hög tillgänglighet för Thales Luna 7 HSM:er

Nej.

16 medlemmar i en HA-grupp har under-borta, full begränsning testning med utmärkta resultat.

Det finns ingen specifik drifttidsgaranti för den dedikerade HSM-tjänsten. Microsoft säkerställer åtkomst på nätverksnivå till enheten och därför gäller standardavtal för Azure-nätverk.

Azure-datacenter har omfattande fysiska och procedurmässiga säkerhetskontroller. Utöver det finns dedikerade HSM:er i ett ytterligare begränsat åtkomstområde i datacentret. Dessa områden har ytterligare fysiska åtkomstkontroller och videokameraövervakning för extra säkerhet.

Dedikerad HSM-tjänst använder Thales Luna 7 HSM-apparater . Dessa enheter stöder identifiering av fysisk och logisk manipulering. Om det någonsin inträffar en manipuleringshändelse nollställs HSM:erna automatiskt.

Vi rekommenderar starkt att du använder en lokal HSM-säkerhetskopieringsenhet för att utföra regelbunden regelbunden säkerhetskopiering av HSM:erna för haveriberedskap. Du måste använda en peer-to-peer- eller plats-till-plats-VPN-anslutning till en lokal arbetsstation som är ansluten till en HSM-säkerhetskopieringsenhet.

Support tillhandahålls av både Microsoft och Thales. Om du har problem med maskinvaran eller nätverksåtkomsten kan du skicka en supportbegäran till Microsoft och om du har problem med HSM-konfiguration, programvara och programutveckling skickar du en supportbegäran till Thales. Om du har ett obestämt problem kan du skicka en supportbegäran till Microsoft och sedan kan Thales kontaktas efter behov.

När du har registrerat dig för tjänsten tillhandahålls ett Thales-kund-ID som tillåter registrering i Thales kundsupportportal. Detta ger åtkomst till all programvara och dokumentation samt aktiverar supportförfrågningar direkt med Thales.

Microsoft har inte möjlighet att ansluta till HSM:er som allokerats till kunder. Kunder måste uppgradera och korrigera sina HSM:er.

HSM har ett alternativ för omstart av kommandoraden, men vi har problem där omstarten slutar svara tillfälligt och därför rekommenderas att den säkraste omstarten som du skickar en supportbegäran till Microsoft om att enheten ska startas om fysiskt.

Ja, dedikerad HSM etablerar Thales Luna 7 HSM:er som är FIPS 140-2 Level-3-verifierade .

Dedikerad HSM-tjänsten tillhandahåller Thales Luna 7 HSM-apparater. De stöder en mängd olika typer av kryptografiska nyckeltyper och algoritmer, inklusive: Stöd för Full Suite B

• Asymmetriska:
  • RSA
  • DSA
  • Diffie-Hellman
  • Elliptisk kurva
  • Kryptografi (ECDSA, ECDH, Ed25519, ECIES) med namngivna, användardefinierade och Brainpool-kurvor, KCDSA
• Symmetrisk:
  • AES-GCM
  • Triple DES
  • DES
  • ARIA, FRÖ
  • RC2
  • RC4
  • RC5
  • CAST
  • Hash/Message Digest/HMAC: SHA-1, SHA-2, SM3
  • Nyckelhärledning: SP 800-108 Counter Mode
  • Nyckelomslutning: SP 800-38F
  • Slumptalsgenerering: FIPS 140-2 godkänd DRBG (SP 800-90 CTR-läge), som följer BSI DRG.4

Ja. Dedikerad HSM-tjänsten tillhandahåller Thales Luna 7 HSM-modell A790-apparater som är FIPS 140-2 Level-3-verifierade .

Den dedikerade HSM-tjänsten tillhandahåller Thales Luna 7 HSM-apparater. Dessa enheter är FIPS 140-2 Level 3-verifierade HSM:er. Standarddistribuerad konfiguration, operativsystem och inbyggd programvara är också FIPS-verifierade. Du behöver inte vidta några åtgärder för FIPS 140-2 Level 3-efterlevnad.

Innan du begär avetablering måste en kund ha nollställt HSM med hjälp av HSM-klientverktyg från Thales.

Dedikerad HSM tillhandahåller Thales Luna 7 HSM. Här är en sammanfattning av maximal prestanda för vissa åtgärder:

• RSA-2048: 10 000 transaktioner per sekund
• ECC P256: 20 000 transaktioner per sekund
• AES-GCM: 17 000 transaktioner per sekund

Thales Luna 7 HSM-modellen A790 som används innehåller en licens för 10 partitioner i kostnaden för tjänsten. Enheten har en gräns på 100 partitioner och att lägga till partitioner upp till den här gränsen skulle medföra extra licenskostnader och kräva installation av en ny licensfil på enheten.

Det maximala antalet nycklar är en funktion av det tillgängliga minnet. Thales Luna 7-modellen A790 som används har 32 MB minne. Följande tal gäller även för nyckelpar om du använder asymmetriska nycklar.

• RSA-2048 - 19 000
• ECC-P256 - 91 000

Kapaciteten varierar beroende på specifika nyckelattribut som anges i mallen för nyckelgenerering och antalet partitioner.