查找有关 Microsoft Azure 专用 HSM 的常见问题的解答。
硬件安全模块 (HSM) 是用于保护和管理加密密钥的物理计算设备。 HSM 中存储的密钥可用于加密操作。 密钥材料安全保存在防篡改的硬件模块中。 HSM 仅允许经过身份验证和授权的应用程序使用密钥。 密匙材料永远不会离开 HSM 保护边界。
Azure 专用 HSM 是一种基于云的服务,提供由可直接连接到客户虚拟网络的 Azure 数据中心托管的 HSM。 这些 HSM 是专用的 Thales Luna 7 HSM 网络设备。 它们直接部署到客户的专用 IP 地址空间,Microsoft 没有任何权限访问 HSM 的加密功能。 只有客户才对这些设备拥有完全的管理和加密控制权。 客户负责设备的管理,他们可以直接从设备获取完整的活动日志。 专用 HSM 可帮助客户满足合规性/法规要求,例如 FIPS 140-2 级别 3、HIPAA、PCI-DSS、eIDAS 等。
客户必须拥有指定的 Microsoft 客户经理,并满足 Azure 总承诺收入至少每年达 500 万美元 ($5M) 这一货币要求,才有资格加入和使用 Azure 专用 HSM。
Microsoft 与 Thales 合作提供 Azure 专用 HSM 服务。 使用的特定设备是 Thales Luna 7 HSM 型号 A790。 此设备不仅提供经过 FIPS 140-2 级别 3 验证的固件,而且还通过 10 个分区提供低延迟、高性能和高容量。
HSM 用于存储 TLS(传输层安全性)、加密数据、PKI(公钥基础结构)、DRM(数字版权管理)等加密功能所用的加密密钥,以及用于对文件进行签名。
客户可以使用 PowerShell 或命令行接口在特定区域内预配 HSM。 客户指定要将 HSM 连接到哪个虚拟网络;预配后,可以通过客户专用 IP 地址空间中分配的 IP 地址在指定的子网中使用 HSM。 然后,客户可以使用 SSH 连接到 HSM 进行设备管理和控制、建立 HSM 客户端连接、初始化 HSM、创建分区以及定义和分配角色(例如分区管理人员、加密管理人员和加密用户)。 接下来,客户使用 Thales 提供的 HSM 客户端工具/SDK/软件从其应用程序执行加密操作。
经过 Microsoft 预配后,Thales 将提供 HSM 设备的所有软件。 在 Thales 客户支持门户中可以获取这些软件。 使用专用 HSM 服务的客户需要注册 Thales 支持并获取一个客户 ID,这样才能访问和下载相关软件。 支持的客户端软件是与 FIPS 140-2 级别 3 验证的固件版本 7.0.3 兼容的版本 7.2。
使用专用 HSM 服务时,以下各项会产生额外的成本。
- 将专用本地备份设备与专用 HSM 服务配合使用是可行的,但会产生额外的成本,应直接从 Thales 外购该设备。
- 专用 HSM 附带 10 个分区许可证。 客户可以请求更多分区,并为直接源自 Thales 的更多许可证支付费用。
- 专用 HSM 需要为设备配置使用网络基础结构(虚拟网络、VPN 网关等)和资源(例如虚拟机)。 这些资源会产生额外成本,且未包括在专用 HSM 服务的定价中。
否。 Azure 专用 HSM 仅为 HSM 提供了基于密码的身份验证。
否。 Azure 专用 HSM 服务不支持功能模块。
Microsoft 仅通过专用 HSM 服务提供 Thales Luna 7 HSM 型号 A790,而不能托管客户提供的任何设备。
Azure 专用 HSM 服务使用 Thales Luna 7 HSM。 这些设备不支持付款 HSM 特定的功能(例如 PIN 或 EFT)或认证。 如果你希望 Azure 专用 HSM 服务将来支持付款 HSM,请向 Microsoft 客户代表提供反馈。
截至 2022 年 10 月,专用 HSM 在 22 个区域中可用。 我们已规划更多支持区域,有关事宜可与 Microsoft 客户代表商讨。
- 美国东部
- 美国东部 2
- 美国西部
- 美国西部 2
- 加拿大东部
- 加拿大中部
- 美国中南部
- 东南亚
- 印度中部
- 印度南部
- 日本东部
- 日本西部
- 北欧
- 西欧
- 英国南部
- 英国西部
- 澳大利亚东部
- 澳大利亚东南部
- 瑞士北部
- 瑞士西部
- US Gov 弗吉尼亚州
- US Gov 德克萨斯州
可以使用 Thales 提供的 HSM 客户端工具/SDK/软件从应用程序执行加密操作。 在 Thales 客户支持门户中可以获取这些软件。 使用专用 HSM 服务的客户需要注册 Thales 支持并获取一个客户 ID,这样才能访问和下载相关软件。
是的,可将本地 HSM 与专用 HSM 同步。 可以使用点到点 VPN 或点到站点连接来与本地网络建立连接。
否。 只能从虚拟网络内部访问 Azure 专用 HSM。
如果你有本地的 Thales Luna 7 HSM,则可以。 可以使用多种方法, 请参阅 Thales HSM 文档。
- Windows、Linux、Solaris、AIX、HP-UX、FreeBSD
- 虚拟:VMware、Hyper-V、Xen、KVM
若要获得高可用性,需将 HSM 客户端应用程序配置设置为使用每个 HSM 中的分区。 请参阅 Thales HSM 客户端软件文档。
Azure 专用 HSM 使用 Thales Luna 7 HSM 型号 A790 设备,支持基于密码的身份验证。
PKCS#11、Java (JCA/JCE)、Microsoft CAPI、CNG 和 OpenSSL
是的。 请联系 Thales 代表以获取相应的 Thales 迁移指南。
否。 Azure 专用 HSM 服务不支持功能模块。
对于想要迁移到使用 HSM 的 Azure 本地应用程序的企业而言,Azure 专用 HSM 是适当的选择。 使用专用 HSM 提供的某个选项,只需进行极少量的更改即可迁移应用程序。 如果在 Azure VM 或 Web 应用上运行的应用程序代码中执行加密操作,则客户可以使用专用 HSM。 一般而言,在支持使用 HSM 作为密钥存储的 IaaS(基础结构即服务)模型中运行的套装软件可以使用专用 HSM,例如,适用于无密钥 TLS 的流量管理器、ADCS(Active Directory 证书服务)或类似 PKI 工具、用于文档签名或代码签名的工具/应用程序,或者配置为使用 EKM(可扩展密钥管理)提供程序通过 HSM 中的主密钥进行 TDE(透明数据库加密)的 SQL Server (IaaS)。 Azure 密钥保管库适合用于云原生的应用程序或静态加密方案,其中,客户数据由 PaaS(平台即服务)或 SaaS(软件即服务)方案处理,这些方案包括 Office 365 客户密钥、Azure 信息保护、Azure 磁盘加密、使用客户管理的密钥进行的 Azure Data Lake Store 加密、使用客户管理的密钥进行的 Azure 存储加密,以及使用客户管理的密钥的 Azure SQL。
Azure 专用 HSM 最适合用于将本地应用程序迁移到已使用 HSM 的 Azure 的迁移方案,它为迁移到 Azure 提供了一种低摩擦方法,只需对应用程序进行少量更改。 如果在 Azure VM 或 Web 应用上运行的应用程序代码中执行加密操作,则可以使用专用 HSM。 一般而言,在支持使用 HSM 作为密钥存储的 IaaS(基础结构即服务)模型中运行的套装软件可以使用专用 HSM,例如:
- 适用于无密钥 TLS 的流量管理器
- ADCS(Active Directory 证书服务)
- 类似的 PKI 工具
- 用于文档签名的工具/应用程序
- 代码签名
- 配置为使用 EKM(可扩展密钥管理)提供程序通过 HSM 中的主密钥进行 TDE(透明数据库加密)的 SQL Server (IaaS)
否。 专用 HSM 直接在客户的专用 IP 地址空间中预配,因此,其他 Azure 或 Microsoft 服务无法访问它。
是的。 每个 HSM 设备完全由一个客户专用,经预配或者更改管理员密码后,其他任何人都对它没有管理控制权。
Microsoft 对 HSM 没有任何管理或加密控制权。 Microsoft 通过串行端口连接监视级别访问,以检索基本遥测(如温度和组件运行状况),以便 Microsoft 提供运行状况问题的主动通知。 客户可根据需要禁用此帐户。
HSM 设备附带一个采用常规默认密码的默认“管理员”用户。 当池中有任何设备正在等待客户预配时,Microsoft 不希望使用默认密码。 这不符合我们严格的安全要求。 出于此原因,我们设置了一个强密码,预配时会丢弃该密码。 此外,在预配时,我们将创建一个充当管理员角色的名为“租户管理员”的新用户。 “租户管理员”用户采用默认密码,客户在首次登录到新预配的设备时,第一个操作应该就是更改此密码。 此过程可确保较高程度的安全性,并根据我们的承诺让客户保持独有的管理控制权。 应注意的是,如果客户偏向于使用“租户管理员”帐户,可以使用此用户来重置“管理员”用户密码。
否。 Microsoft 对客户分配的专用 HSM 中存储的密钥没有任何访问权限。
否。 Azure 专用 HSM 是用于租用服务的裸机 HSM。 我们的服务不会存储客户数据。 所有密钥材料和数据都存储在客户 HSM 设备中。 每台 HSM 设备完全专用于一名客户,客户对此设备拥有完全管理控制权。
如果客户需要其他固件版本中的特定功能,他们拥有完全的管理控制权,包括升级软件/固件的权限。 在进行更改之前,请咨询 Thales 支持部门,了解软件/固件升级方案。
可以使用 SSH 访问专用 HSM,然后对其进行管理。
可以使用 Thales HSM 客户端软件管理 HSM 和分区。
客户可以通过 syslog 和 SNMP 全权访问 HSM 活动日志。 客户必须设置 syslog 服务器或 SNMP 服务器才能从 HSM 接收日志或事件。
是的。 可将来自 HSM 设备的日志发送到 syslog 服务器
是的。 高可用性配置和设置在 Thales 提供的 HSM 客户端软件中执行。 可将相同区域或跨区域的相同虚拟网络或其他 VNET 中的 HSM,或者使用站点到站点或点到点 VPN 连接到虚拟网络的本地 HSM 添加到相同的高可用性配置。 应注意的是,这只会同步密钥材料,而不同步特定的配置项,例如角色。
是的。 这些 HSM 必须符合 Thales Luna 7 HSM 的高可用性要求
否。
高可用性组的 16 个成员已经过完全限制测试,且测试结果非常优秀。
我们不为专用 HSM 服务提供具体的运行时间保证。 Microsoft 确保设备的网络级访问,因此标准 Azure 网络 SLA 适用。
Azure 数据中心提供全面的物理和程序性安全控制。 除此之外,专用 HSM 托管在数据中心内进一步限制访问的区域。 这些区域装配了更多物理访问控制机制和监控摄像头,安全性得到进一步提高。
专用 HSM 服务使用 Thales Luna 7 HSM 设备。 这些设备支持物理和逻辑篡改检测。 如果出现篡改事件,HSM 将自动归零。
我们强烈建议使用本地 HSM 备份设备定期备份 HSM,以实现灾难恢复。 你必须与连接到 HSM 备份设备的本地工作站建立对等连接或站点到站点 VPN 连接。
支持由 Microsoft 和 Thales 两家公司提供。 如果你遇到硬件或网络访问相关的问题,请向 Microsoft 提出支持请求;如果遇到 HSM 配置、软件和应用程序开发相关的问题,请向 Thales 提出支持请求。 如果遇到不确定的问题,请向 Microsoft 提出支持请求,然后,在必要情况下 Thales 可以参与问题的解决。
注册完服务后,你将收到一个 Thales 客户 ID,该 ID 允许在 Thales 客户支持门户中注册,允许访问所有软件和文档以及直接通过 Thales 发起支持请求。
Microsoft 无法连接到分配给客户的 HSM。 客户必须自行升级和修补其 HSM。
HSM 提供命令行重新启动选项,但是,我们遇到了重新启动间歇性停止响应的问题,出于此原因,为了以最安全的方式重新启动,我们建议向 Microsoft 提出支持请求,让他们以物理方式重新启动设备。
是。专用 HSM 将预配经过 FIPS 140-2 级别 3 验证的 Thales Luna 7 HSM。
专用 HSM 服务将预配 Thales Luna 7 HSM 设备。 这些设备支持多种加密密钥类型和算法,包括完全支持 Suite B
- 非对称:
- RSA
- DSA
- Diffie-Hellman
- 椭圆曲线
- 采用命名曲线、用户定义的曲线和 Brainpool 曲线的加密法(ECDSA、ECDH、Ed25519、ECIES);KCDSA
- 对称:
- AES-GCM
- 三重 DES
- DES
- ARIA、SEED
- RC2
- RC4
- RC5
- CAST
- 哈希/消息摘要/HMAC:SHA-1、SHA-2、SM3
- 密钥派生:SP 800-108 计数器模式
- 密钥包装:SP 800-38F
- 随机数生成:FIPS 140-2 批准的 DRBG(SP 800-90 CTR 模式),符合 BSI DRG.4
是的。 专用 HSM 服务将预配 Thales Luna 7 HSM 型号 A790 设备,这些设备经过 FIPS 140-2 级别 3 验证。
专用 HSM 服务将预配 Thales Luna 7 HSM 设备。 这些设备是经过 FIPS 140-2 级别 3 验证的 HSM。 默认部署的配置、操作系统和固件也已通过 FIPS 验证。 无需采取任何措施即可符合 FIPS 140-2 级别 3 的要求。
在请求取消预配之前,客户必须使用 Thales 提供的 HSM 客户端工具将 HSM 归零。
专用 HSM 将预配 Thales Luna 7 HSM。 下面是某些操作的最大性能摘要:
- RSA-2048:每秒 10,000 个事务
- ECC P256:每秒 20,000 个事务
- AES-GCM:每秒 17,000 个事务
使用的 Thales Luna 7 HSM 型号 A790 的服务费中包括 10 个分区的许可证。 设备的分区数限制为 100 个,达到此限制后再添加分区会产生额外的许可成本,并要求在设备上安装新的许可证文件。
最大密钥数取决于可用的内存。 使用的 Thales Luna 7 型号 A790 具有 32 MB 内存。 如果使用非对称密钥,则以下数字也适用于密钥对。
- RSA-2048 - 19,000
- ECC-P256 - 91,000
容量根据密钥生成模板中设置的特定密钥属性和分区数而异。