Hitta svar på vanliga frågor om Microsoft Azure Dedicated HSM.
En maskinvarusäkerhetsmodul (HSM) är en fysisk databehandlingsenhet som används för att skydda och hantera kryptografiska nycklar. Nycklar som lagras i HSM:er kan användas för kryptografiska åtgärder. Nyckelmaterialet förblir säkert i manipuleringsbeständiga, manipuleringssäkra maskinvarumoduler. HSM tillåter endast autentiserade och auktoriserade program att använda nycklarna. Nyckelmaterialet lämnar aldrig HSM:s skyddsgräns.
Azure Dedicated HSM är en molnbaserad tjänst som tillhandahåller HSM:er i Azure-datacenter som är direkt anslutna till kundens virtuella nätverk. Dessa HSM:er är dedikerade Thales Luna 7 HSM-nätverksinstallationer . De distribueras direkt till en kunds privata IP-adressutrymme och Microsoft har inte någon åtkomst till de kryptografiska funktionerna i HSM:erna. Endast kunden har fullständig administrativ och kryptografisk kontroll över dessa enheter. Kunderna ansvarar för hanteringen av enheten och kan få fullständiga aktivitetsloggar direkt från sina enheter. Dedikerade HSM:er hjälper kunder att uppfylla efterlevnads-/regelkrav som FIPS 140-2 Level 3, HIPAA, PCI-DSS och eIDAS och många andra.
Kunder måste ha en tilldelad Microsoft Account Manager och uppfylla det ekonomiska kravet på 5 miljoner USD (5 miljoner USD) eller högre i totala incheckade Azure-intäkter årligen för att kvalificera sig för registrering och användning av Azure Dedicated HSM.
Microsoft samarbetade med Thales för att leverera Azure Dedicated HSM-tjänsten. Den specifika enhet som används är Thales Luna 7 HSM-modellen A790. Den här enheten tillhandahåller inte bara FIPS 140-2 Level-3-validerad inbyggd programvara, utan erbjuder även låg svarstid, höga prestanda och hög kapacitet via 10 partitioner.
HSM:er används för att lagra kryptografiska nycklar som används för kryptografiska funktioner som TLS (säkerhet på transportnivå), kryptering av data, PKI (infrastruktur för offentlig nyckel), DRM (hantering av digitala rättigheter) och signeringsdokument.
Kunder kan etablera HSM:er i specifika regioner med hjälp av PowerShell eller kommandoradsgränssnitt. Kunden anger vilket virtuellt nätverk HSM:erna är anslutna till och när de har etablerats är HSM:erna tillgängliga i det avsedda undernätet på tilldelade IP-adresser i kundens privata IP-adressutrymme. Sedan kan kunder ansluta till HSM:erna med hjälp av SSH för hantering och administration av installationer, konfigurera HSM-klientanslutningar, initiera HSM:er, skapa partitioner, definiera och tilldela roller som partitionsansvarig, kryptoofficer och kryptoanvändare. Sedan använder kunden Thales HSM-klientverktyg/SDK/programvara för att utföra kryptografiska åtgärder från sina program.
Thales tillhandahåller all programvara för HSM-enheten när den har etablerats av Microsoft. Programvaran finns på Thales kundsupportportal. Kunder som använder den dedikerade HSM-tjänsten måste vara registrerade för Thales-supporten och ha ett kund-ID som ger åtkomst till och nedladdning av relevant programvara. Klientprogramvaran som stöds är version 7.2, som är kompatibel med den FIPS 140-2 Level 3-verifierade inbyggda programvaran version 7.0.3.
Följande objekt medför extra kostnad när du använder den dedikerade HSM-tjänsten.
- Användning av dedikerad lokal säkerhetskopieringsenhet är möjlig att använda med dedikerad HSM-tjänst, men medför en extra kostnad och bör hämtas direkt från Thales.
- Dedikerad HSM tillhandahålls med en 10-partitionslicens. En kund kan begära fler partitioner och betala för fler licenser som hämtas direkt från Thales.
- Dedikerad HSM kräver nätverksinfrastruktur (virtuellt nätverk, VPN Gateway osv.) och resurser som virtuella datorer för enhetskonfiguration. Dessa resurser medför extra kostnader och ingår inte i prissättningen för dedikeradE HSM-tjänster.
Nej. Azure Dedicated HSM tillhandahåller endast HSM:er med lösenordsbaserad autentisering.
Nej. Azure Dedicated HSM-tjänsten stöder inte funktionsmoduler.
Microsoft erbjuder endast Thales Luna 7 HSM-modellen A790 via den dedikerade HSM-tjänsten och kan inte vara värd för några enheter som tillhandahålls av kunden.
Azure Dedicated HSM-tjänsten använder Thales Luna 7 HSM. Dessa enheter stöder inte HSM-specifika funktioner för betalning (till exempel PIN-kod eller EFT) eller certifieringar. Om du vill att Azure Dedicated HSM-tjänsten ska stödja HSM-betalningsdatorer i framtiden kan du vidarebefordra feedbacken till din Microsoft-kontorepresentant.
Från och med oktober 2022 är Dedikerad HSM tillgängligt i 22 regioner. Ytterligare regioner planeras och kan diskuteras via din Microsoft-kontorepresentant.
- East US
- USA, östra 2
- USA, västra
- USA, västra 2
- Östra Kanada
- Kanada, centrala
- USA, södra centrala
- Sydostasien
- Indien, centrala
- Indien, syd
- Japan, östra
- Japan, västra
- Europa, norra
- Europa, västra
- Storbritannien, södra
- Storbritannien, västra
- Australien, östra
- Australien, sydöstra
- Schweiz, norra
- Schweiz, västra
- US Gov, Virginia
- US Gov, Texas
Du använder Thales HSM-klientverktyg/SDK/programvara för att utföra kryptografiska åtgärder från dina program. Programvaran finns på Thales kundsupportportal. Kunder som använder den dedikerade HSM-tjänsten måste vara registrerade för Thales-supporten och ha ett kund-ID som ger åtkomst till och nedladdning av relevant programvara.
Kan ett program ansluta till dedikerad HSM från ett annat virtuellt nätverk i eller mellan regioner?
Ja, du måste använda peering för virtuella nätverk i en region för att upprätta anslutningar mellan virtuella nätverk. För anslutningar mellan regioner måste du använda VPN Gateway.
Ja, du kan synkronisera lokala HSM:er med dedikerad HSM. Punkt-till-punkt-VPN eller punkt-till-plats-anslutning kan användas för att upprätta anslutningar med ditt lokala nätverk.
Kan jag kryptera data som används av andra Azure-tjänster med hjälp av nycklar som lagras i Dedikerad HSM?
Nej. Dedikerade HSM:er i Azure är endast tillgängliga inifrån ditt virtuella nätverk.
- Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
- Virtuell: VMware, Hyper-V, Xen, KVM
Hur konfigurerar jag mitt klientprogram för att skapa en konfiguration med hög tillgänglighet med flera partitioner från flera HSM:er?
Om du vill ha hög tillgänglighet måste du konfigurera konfigurationen av HSM-klientprogrammet för att använda partitioner från varje HSM. Se dokumentationen om Thales HSM-klientprogramvara.
Azure Dedicated HSM använder Thales Luna 7 HSM-modell A790-enheter och de stöder lösenordsbaserad autentisering.
PKCS#11, Java (JCA/JCE), Microsoft CAPI och CNG, OpenSSL
Ja. Kontakta din Thales-representant för lämplig Thales-migreringsguide.
Nej. Azure Dedicated HSM-tjänsten stöder inte funktionsmoduler.
Azure Dedicated HSM är det lämpliga valet för företag som migrerar till lokala Azure-program som använder HSM. Dedikerade HSM:er kan migrera ett program med minimala ändringar. Om kryptografiska åtgärder utförs i programmets kod som körs på en virtuell Azure-dator eller en webbapp kan de använda dedikerad HSM. I allmänhet kan krympförsluten programvara som körs i IaaS-modeller (infrastruktur som en tjänst) som stöder HSM som nyckelarkiv använda Dedicate HSM, till exempel traffic manager för nyckellös TLS, ADCS (Active Directory Certificate Services) eller liknande PKI-verktyg, verktyg/program som används för dokumentsignering, kodsignering eller en SQL Server (IaaS) konfigurerad med TDE (transparent databaskryptering) med primärnyckel i en HSM med hjälp av en EKM-provider (utökningsbar nyckelhantering). Azure Key Vault är lämpligt för "born-in-cloud"-program eller för kryptering i viloscenarier där kunddata bearbetas av PaaS (plattform som en tjänst) eller SaaS-scenarier (programvara som en tjänst), till exempel Office 365-kundnyckel, Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store-kryptering med kundhanterad nyckel, Azure Storage-kryptering med kundhanterad nyckel. och Azure SQL med kundhanterad nyckel.
Azure Dedicated HSM passar bäst för migreringsscenarier där du migrerar lokala program till Azure som redan använder HSM:er, vilket ger en metod med låg friktion för migrering till Azure med minimala ändringar i programmet. Om kryptografiska åtgärder utförs i programmets kod som körs i en virtuell Azure-dator eller webbapp kan dedikerad HSM användas. I allmänhet kan krympförsluten programvara som körs i IaaS-modeller (infrastruktur som en tjänst) som stöder HSM som ett nyckelarkiv använda Dedicate HSM, till exempel:
- Traffic Manager för nyckellös TLS
- ADCS (Active Directory Certificate Services)
- Liknande PKI-verktyg
- Verktyg/program som används för dokumentsignering
- Kodsignering
- SQL Server (IaaS) som konfigurerats med TDE (transparent databaskryptering) med primärnyckel i en HSM med hjälp av en EKM-provider (utökningsbar nyckelhantering)
Kan Dedikerad HSM användas med Kundnyckel i Office 365, Azure Information Protection, Azure Data Lake Store, Disk Encryption, kryptering för Azure Storage eller Azure SQL TDE?
Nej. Dedikerad HSM etableras direkt i kundens privata IP-adressutrymme så att den inte är tillgänglig för andra Azure- eller Microsoft usluge.
Ja. Varje HSM-installation är helt dedikerad till en enskild kund och ingen annan har administrativ kontroll när den har etablerats och administratörslösenordet har ändrats.
Microsoft har ingen administrativ eller kryptografisk kontroll över HSM. Microsoft har övervakningsnivååtkomst via seriell portanslutning för att hämta grundläggande telemetri, till exempel temperatur och komponenthälsa, så att Microsoft kan tillhandahålla proaktiva meddelanden om hälsoproblem. Om det behövs kan kunden inaktivera det här kontot.
Vad är det "klientadministratörskonto" som Microsoft använder? Jag är van vid att administratörsanvändaren är "administratör" på Thales Luna HSM:er
HSM-enheten levereras med en standardanvändare av administratören med sitt vanliga standardlösenord. Microsoft ville inte ha standardlösenord som används medan någon enhet finns i en pool och väntar på att kunder ska etablera sig. Detta skulle inte uppfylla våra strikta säkerhetskrav. Därför anger vi ett starkt lösenord som tas bort vid etableringstillfället. Vid etableringen skapar vi också en ny användare i administratörsrollen "klientadministratör". Användaren "klientadministratör" har standardlösenordet, som kunderna ändrar som den första åtgärden när de först loggar in på den nyligen etablerade enheten. Den här processen säkerställer höga säkerhetsgrader och upprätthåller vårt löfte om enbart administrativ kontroll för våra kunder. Det bör noteras att användaren "klientadministratör" kan användas för att återställa administratörsanvändarlösenordet om en kund föredrar att använda det kontot.
Nej. Microsoft har ingen åtkomst till de nycklar som lagras i kundallokerad dedikerad HSM.
Nej. Azure Dedicated HSM är en baremetal HSM för lånetjänst. Vår tjänst lagrar inte kunddata. Alla viktiga material och data lagras i kundens HSM-installation. Varje HSM-installation är helt dedikerad till en enda kund, för vilken de har fullständig administrativ kontroll.
Kunden har fullständig administrativ kontroll, inklusive uppgradering av programvara/inbyggd programvara om specifika funktioner krävs från olika versioner av inbyggd programvara. Innan du gör ändringar bör du kontakta Thales Support om ditt scenario för uppgradering av programvara/inbyggd programvara.
Du kan hantera dedikerade HSM:er genom att komma åt dem med hjälp av SSH.
Thales HSM-klientprogramvaran används för att hantera HSM:er och partitioner.
En kund har fullständig åtkomst till HSM-aktivitetsloggar via syslog och SNMP. En kund måste konfigurera en syslog-server eller SNMP-server för att ta emot loggarna eller händelserna från HSM:erna.
Ja. Du kan skicka loggar från HSM-installationen till en syslog-server
Ja. Konfiguration och installation av hög tillgänglighet utförs i HSM-klientprogramvaran som tillhandahålls av Thales. HSM:er från samma virtuella nätverk eller andra virtuella nätverk i samma region eller mellan regioner, eller lokala HSM:er som är anslutna till ett virtuellt nätverk med plats-till-plats eller punkt-till-punkt-VPN kan läggas till i samma konfiguration med hög tillgänglighet. Observera att detta endast synkroniserar nyckelmaterial och inte specifika konfigurationsobjekt, till exempel roller.
Kan jag lägga till HSM:er från mitt lokala nätverk till en grupp med hög tillgänglighet med Azure Dedicated HSM?
Ja. De måste uppfylla kraven på hög tillgänglighet för Thales Luna 7 HSM:er
Kan jag lägga till Luna 5/6 HSM från lokala nätverk till en grupp med hög tillgänglighet med Azure Dedicated HSM?
Nej.
Hur många HSM:er kan jag lägga till i samma konfiguration med hög tillgänglighet från ett enda program?
Sexton medlemmar i en HA-grupp har under-borta, full begränsning testning med utmärkta resultat.
Det finns ingen specifik drifttidsgaranti för den dedikerade HSM-tjänsten. Microsoft säkerställer åtkomst på nätverksnivå till enheten och därför gäller standardavtal för Azure-nätverk.
Azure-datacenter har omfattande fysiska och procedurmässiga säkerhetskontroller. Utöver det finns dedikerade HSM:er i ett ytterligare begränsat åtkomstområde i datacentret. Dessa områden har fler fysiska åtkomstkontroller och videokameraövervakning för extra säkerhet.
Dedikerad HSM-tjänsten använder Thales Luna 7 HSM-apparater . Dessa enheter stöder identifiering av fysisk och logisk manipulering. Om det någonsin inträffar en manipulationshändelse nollställs HSM:erna automatiskt.
Hur ser jag till att nycklar i mina dedikerade HSM:er inte går förlorade på grund av fel eller en skadlig insiderattack?
Vi rekommenderar starkt att du använder en lokal HSM-säkerhetskopieringsenhet för att utföra regelbunden regelbunden säkerhetskopiering av HSM:erna för haveriberedskap. Du måste använda en peer-to-peer- eller plats-till-plats-VPN-anslutning till en lokal arbetsstation som är ansluten till en HSM-säkerhetskopieringsenhet.
Support tillhandahålls av både Microsoft och Thales. Om du har problem med maskinvaru- eller nätverksåtkomsten kan du skicka en supportbegäran till Microsoft och om du har problem med HSM-konfiguration, programvara och programutveckling skapar du en supportbegäran med Thales. Om du har ett obestämt problem kan du skapa en supportbegäran med Microsoft och sedan kan Thales anlitas efter behov.
Hur får jag klientprogramvaran, dokumentationen och åtkomsten till integreringsvägledning för Thales Luna 7 HSM?
När du har registrerat dig för tjänsten får du ett Thales-kund-ID som tillåter registrering i Thales kundsupportportal, vilket ger åtkomst till all programvara och dokumentation samt supportförfrågningar direkt med Thales.
Vem ansvarar för uppgradering/uppdatering av operativsystem/inbyggd programvara om det finns en säkerhetsrisk och en korrigering som släppts av Thales?
Microsoft har inte möjlighet att ansluta till HSM:er som allokerats till kunder. Kunder måste uppgradera och korrigera sina HSM:er.
HSM har ett alternativ för omstart av kommandoraden, men vi har problem där omstarten slutar svara tillfälligt och därför rekommenderas det för den säkraste omstarten att du skickar en supportbegäran till Microsoft om att enheten ska startas om fysiskt.
Ja, Dedikerad HSM etablerar Thales Luna 7 HSM:er som är FIPS 140-2 Level-3 verifierade.
DedikeradE HSM-tjänster etablerar Thales Luna 7 HSM-apparater. De har stöd för en mängd olika typer av kryptografiska nyckeltyper och algoritmer, inklusive: Fullständigt stöd för Suite B
- Asymmetrisk:
- RSA
- DSA
- Diffie-Hellman
- Elliptisk kurva
- Kryptografi (ECDSA, ECDH, Ed25519, ECIES) med namngivna, användardefinierade och Brainpool-kurvor, KCDSA
- Symmetrisk:
- AES-GCM
- Trippel DES
- DES
- ARIA, SEED
- RC2
- RC4
- RC5
- CAST
- Hash/Message Digest/HMAC: SHA-1, SHA-2, SM3
- Nyckelhärledning: SP 800-108 Counter Mode
- Nyckelomslutning: SP 800-38F
- Slumptalsgenerering: FIPS 140-2 godkänd DRBG (SP 800-90 CTR-läge), som uppfyller BSI DRG.4
Ja. DedikeradE HSM-tjänster etablerar Thales Luna 7 HSM-modell A790-apparater som är FIPS 140-2 Level-3-verifierade .
Vad behöver jag göra för att se till att jag använder dedikerad HSM i FIPS 140-2-nivå 3-verifierat läge?
Den dedikerade HSM-tjänsten tillhandahåller Thales Luna 7 HSM-apparater. Dessa enheter är FIPS 140-2 Level 3-verifierade HSM:er. Standarddistribuerad konfiguration, operativsystem och inbyggd programvara är också FIPS-verifierade. Du behöver inte vidta några åtgärder för FIPS 140-2 Nivå 3-efterlevnad.
Innan du begär avetablering måste en kund ha nollställt HSM med thales tillhandahållna HSM-klientverktyg.
Dedikerad HSM etablerar Thales Luna 7 HSM. Här är en sammanfattning av maximal prestanda för vissa åtgärder:
- RSA-2048: 10 000 transaktioner per sekund
- ECC P256: 20 000 transaktioner per sekund
- AES-GCM: 17 000 transaktioner per sekund
Thales Luna 7 HSM-modellen A790 som används innehåller en licens för 10 partitioner i kostnaden för tjänsten. Enheten har en gräns på 100 partitioner och att lägga till partitioner upp till den här gränsen skulle medföra extra licenskostnader och kräva installation av en ny licensfil på enheten.
Det maximala antalet nycklar är en funktion av det tillgängliga minnet. Thales Luna 7-modellen A790 som används har 32 MB minne. Följande tal gäller även för nyckelpar om du använder asymmetriska nycklar.
- RSA-2048 - 19 000
- ECC-P256 - 91 000
Kapaciteten varierar beroende på specifika nyckelattribut som anges i nyckelgenereringsmallen och antalet partitioner.