Nejčastější dotazy

Modul hardwarového zabezpečení (HSM) je fyzické výpočetní zařízení sloužící k ochraně a správě kryptografických klíčů. Klíče uložené v modulech HSM je možné použít pro kryptografické operace. Klíčový materiál zůstává bezpečně v hardwarových modulech odolných proti manipulaci. HsM umožňuje používat pouze ověřené a autorizované aplikace. Obsah klíčů nikdy neopustí hranici ochrany HSM.

Azure Dedicated HSM je cloudová služba, která poskytuje HSM hostované v datacentrech Azure, které jsou přímo připojené k virtuální síti zákazníka. Tyto moduly HSM jsou vyhrazená síťová zařízení Thales Luna 7 HSM . Nasadí se přímo do privátního adresního prostoru IP adres zákazníků a Microsoft nemá přístup k kryptografickým funkcím modulů hardwarového zabezpečení. Na těchto zařízeních má plnou správu a kryptografickou kontrolu pouze zákazník. Zákazníci zodpovídají za správu zařízení a můžou získat úplné protokoly aktivit přímo ze svých zařízení. Vyhrazené moduly HSM pomáhají zákazníkům splňovat požadavky na dodržování předpisů a zákonné požadavky, jako jsou FIPS 140-2 Level 3, HIPAA, PCI-DSS a eIDAS a mnoho dalších.

Zákazníci musí mít přiřazeného správce účtů Microsoftu a splnit peněžní požadavek 5 milionů USD (5 milionů USD) nebo vyšší v celkovém potvrzených výnosech z Azure ročně, aby mohli získat nárok na onboarding a použití azure Dedicated HSM.

Microsoft spolupracuje s Thalesm a zajišťuje službu Azure Dedicated HSM. Konkrétní použité zařízení je model Thales Luna 7 HSM A790. Toto zařízení poskytuje nejen ověřený firmware úrovně 140-2 FIPS 140-2 , ale také nabízí nízkou latenci, vysoký výkon a vysokou kapacitu prostřednictvím 10 oddílů.

Moduly hardwarového zabezpečení se používají k ukládání kryptografických klíčů, které se používají pro kryptografické funkce, jako je tls (zabezpečení přenosové vrstvy), šifrování dat, infrastruktura veřejných klíčů (infrastruktura veřejných klíčů), DRM (správa digitálních práv) a podpisové dokumenty.

Zákazníci můžou zřizovat moduly HSM v konkrétních oblastech pomocí PowerShellu nebo rozhraní příkazového řádku. Zákazník určí, k jaké virtuální síti se moduly hardwarového zabezpečení připojí, a jakmile zřídí moduly hardwarového zabezpečení, budou k dispozici v určené podsíti na přiřazených IP adresách v privátním adresní prostoru IP adres zákazníka. Zákazníci se pak můžou připojit k hsm pomocí SSH pro správu a správu zařízení, nastavit připojení klientů HSM, inicializovat moduly HSM, vytvářet oddíly, definovat a přiřazovat role, jako je správce oddílů, kryptografický důstojník a kryptografický uživatel. Zákazník pak k provádění kryptografických operací ze svých aplikací používá klientské nástroje HSM, sady SDK/software nebo software hsm.

Thales dodává veškerý software pro zařízení HSM po zřízení Microsoftem. Software je k dispozici na portálu zákaznické podpory Společnosti Thales. Zákazníci, kteří používají službu Dedicated HSM, musí být zaregistrovaní pro podporu společnosti Thales a mají ID zákazníka, které umožňuje přístup k příslušnému softwaru a jejich stažení. Podporovaný klientský software je verze 7.2, která je kompatibilní s standardem FIPS 140-2 Level 3 ověřenou verzí 7.0.3.

Při používání služby Dedicated HSM se účtují další náklady na následující položky.

• Použití vyhrazeného místního zálohovacího zařízení je možné použít se službou Dedicated HSM, ale účtují se za to dodatečné náklady a měly by být přímo zdrojové z Thales.
• Vyhrazený HSM je k dispozici s 10 licencemi na oddíly. Zákazník může požádat o další oddíly a platit za více licencí přímo z Thales.
• Dedicated HSM vyžaduje síťovou infrastrukturu (virtuální síť, VPN Gateway atd.) a prostředky, jako jsou virtuální počítače pro konfiguraci zařízení. Za tyto prostředky se účtují další náklady a nejsou zahrnuté v cenách služby Dedicated HSM.

Ne. Azure Dedicated HSM poskytuje pouze hsm s ověřováním založeným na heslech.

Ne. Služba Azure Dedicated HSM nepodporuje moduly funkcí.

Microsoft nabízí model Thales Luna 7 HSM A790 pouze prostřednictvím služby Dedicated HSM a nemůže hostovat žádná zařízení poskytovaná zákazníkem.

Služba Azure Dedicated HSM používá moduly HSM Thales Luna 7. Tato zařízení nepodporují funkce specifické pro platební HSM (například PIN nebo EFT) nebo certifikace. Pokud chcete, aby služba Azure Dedicated HSM v budoucnu podporovala platby HSM, předejte nám svůj názor na zástupce účtu Microsoft.

Od října 2022 je vyhrazený HSM k dispozici ve 22 oblastech. Další oblasti se plánují a můžete je probrat prostřednictvím zástupce účtu Microsoft.

• East US
• USA – východ 2
• USA – západ
• Západní USA 2
• Kanada – východ
• Střední Kanada
• Středojižní USA
• Southeast Asia
• Střední Indie
• Jižní Indie
• Japonsko – východ
• Japonsko – západ
• Severní Evropa
• West Europe
• Spojené království – jih
• Spojené království – západ
• Austrálie – východ
• Austrálie – jihovýchod
• Švýcarsko – sever
• Švýcarsko – západ
• US Gov – Virginie
• US Gov – Texas

K provádění kryptografických operací z vašich aplikací použijete klientské nástroje HSM, sady SDK nebo software. Software je k dispozici na portálu zákaznické podpory Společnosti Thales. Zákazníci, kteří používají službu Dedicated HSM, musí být zaregistrovaní pro podporu společnosti Thales a mají ID zákazníka, které umožňuje přístup k příslušnému softwaru a jejich stažení.

Ano, k navázání připojení mezi virtuálními sítěmi musíte použít partnerský vztah virtuálních sítí v rámci oblasti. Pro připojení mezi oblastmi musíte použít vpn Gateway.

Ano, místní HSM můžete synchronizovat s vyhrazeným HSM. Připojení vpn typu point-to-point nebo připojení typu point-to-site je možné použít k navázání připojení k místní síti.

Ne. Vyhrazené moduly HSM Azure jsou přístupné jenom z vaší virtuální sítě.

Ano, pokud máte místní moduly HSM Thales Luna 7. Existuje několik metod. Projděte si dokumentaci k modulu hardwarového zabezpečení (HSM) thales.

• Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
• Virtuální: VMware, Hyper-V, Xen, KVM

Pokud chcete mít vysokou dostupnost, musíte nastavit konfiguraci klientské aplikace HSM tak, aby používala oddíly z jednotlivých modulů HSM. Projděte si dokumentaci ke klientskému softwaru HSM thales.

Azure Dedicated HSM používá zařízení A790 modelu Thales Luna 7 HSM a podporují ověřování založené na heslech.

PKCS#11, Java (JCA/JCE), Microsoft CAPI a CNG, OpenSSL

Ano. Obraťte se na zástupce společnosti Thales a požádejte ho o příslušného průvodce migrací společnosti Thales.

Ne. Služba Azure Dedicated HSM nepodporuje moduly funkcí.

Azure Dedicated HSM je vhodná volba pro podniky, které migrují do místních aplikací Azure, které používají moduly HSM. Vyhrazené hsm představují možnost migrace aplikace s minimálními změnami. Pokud se kryptografické operace provádějí v kódu aplikace spuštěném na virtuálním počítači Azure nebo webové aplikaci, můžou použít vyhrazený HSM. Obecně platí, že zmenšovaný software spuštěný v modelech IaaS (infrastruktura jako služba) podporující hsM jako úložiště klíčů může používat dedikovaný HSM. jako je traffic manager pro protokol TLS bez klíčů, ADCS (Active Directory Certificate Services) nebo podobné nástroje PKI, nástroje a aplikace používané pro podepisování dokumentů, podepisování kódu nebo SQL Server (IaaS) nakonfigurované s transparentním šifrováním dat (transparentní šifrování databáze) s primárním klíčem v HSM pomocí poskytovatele EKM (extensible key management). Služba Azure Key Vault je vhodná pro aplikace v cloudu nebo pro scénáře šifrování neaktivních uložených dat, ve kterých se zákaznická data zpracovávají ve scénářích PaaS (platforma jako služba) nebo SaaS (Software jako služba), jako je klíč zákazníka Office 365, Azure Information Protection, Azure Disk Encryption, šifrování Azure Data Lake Store pomocí klíče spravovaného zákazníkem, šifrování Služby Azure Storage s využitím klíče spravovaného zákazníkem, a Azure SQL s klíčem spravovaným zákazníkem.

Azure Dedicated HSM je nejvhodnější pro scénáře migrace, ve kterých migrujete místní aplikace do Azure, které už používají moduly HSM, a poskytuje metodu s nízkými třeními pro migraci do Azure s minimálními změnami aplikace. Pokud se kryptografické operace provádějí v kódu aplikace spuštěném na virtuálním počítači Azure nebo ve webové aplikaci, může se použít vyhrazený HSM. Obecně platí, že zmenšování zabaleného softwaru běžícího v modelech IaaS (infrastruktura jako služba) podporujících HSM jako úložiště klíčů může používat modul hardwarového zabezpečení pro dedikaci, například:

• Traffic Manager pro protokol TLS bez klíčů
• ADCS (Active Directory Certificate Services)
• Podobné nástroje infrastruktury veřejných klíčů
• Nástroje/aplikace používané k podepisování dokumentů
• Podepisování kódu
• SQL Server (IaaS) nakonfigurovaný s transparentním šifrováním dat (transparentní šifrování databáze) s primárním klíčem v HSM pomocí zprostředkovatele EKM (extensible key management)

Ne. Vyhrazený HSM se zřizuje přímo do privátního adresního prostoru IP adres zákazníka, takže není přístupný jiným Azure nebo služby Microsoft.

Ano. Každé zařízení HSM je plně vyhrazené jednomu zákazníkovi a po zřízení a změně hesla správce nemá nikdo jiný kontrolu nad správou.

Společnost Microsoft nemá žádnou správu ani kryptografickou kontrolu nad modulem hardwarového zabezpečení. Společnost Microsoft monitoruje přístup na úrovni prostřednictvím připojení sériového portu k načtení základní telemetrie, jako je stav teploty a součásti, a umožňuje tak Společnosti Microsoft poskytovat proaktivní oznámení o problémech se stavem. V případě potřeby může zákazník tento účet zakázat.

Zařízení HSM se dodává s výchozím uživatelem správce s obvyklým výchozím heslem. Společnost Microsoft nechtěla používat výchozí hesla, když je jakékoli zařízení ve fondu čekající na zřízení zákazníky. To by nesplní naše přísné požadavky na zabezpečení. Z tohoto důvodu jsme nastavili silné heslo, které se zahodí při zřizování. V době zřizování také vytvoříme nového uživatele v roli správce s názvem "správce tenanta". Uživatel "správce tenanta" má výchozí heslo, které se zákazníkům při prvním přihlášení k nově zřízenému zařízení změní jako první akce. Tento proces zajišťuje vysokou míru zabezpečení a udržuje naše přísliby výhradní kontroly správy pro naše zákazníky. Je třeba poznamenat, že uživatel "správce tenanta" se dá použít k resetování uživatelského hesla správce, pokud zákazník preferuje použití daného účtu.

Ne. Microsoft nemá přístup k klíčům uloženým ve vyhrazeném HSM přiděleném zákazníkem.

Ne. Azure Dedicated HSM je holý HSM pro zapůjčení služby. Naše služba neukládá zákaznická data. Všechny klíčové materiály a data jsou uloženy v rámci zařízení HSM zákazníka. Každé zařízení HSM je plně vyhrazené jednomu zákazníkovi, pro které má plnou kontrolu nad správou.

Zákazník má úplnou kontrolu nad správou, včetně upgradu softwaru nebo firmwaru, pokud se vyžadují konkrétní funkce z různých verzí firmwaru. Před provedením změn se obraťte na podporu společnosti Thales ohledně scénáře upgradu softwaru nebo firmwaru.

Vyhrazené HSM můžete spravovat tak, že k nim přistupujete pomocí SSH.

Klientský software Thales HSM slouží ke správě modulů hardwarového zabezpečení a oddílů.

Zákazník má úplný přístup k protokolům aktivit HSM přes syslog a SNMP. Zákazník musí nastavit server syslog nebo server SNMP pro příjem protokolů nebo událostí z modulů HSM.

Ano. Protokoly ze zařízení HSM můžete odesílat na server syslogu.

Ano. Konfigurace a nastavení vysoké dostupnosti se provádí v klientském softwaru HSM poskytovaném společností Thales. Moduly hardwarového zabezpečení ze stejné virtuální sítě nebo jiných virtuálních sítí ve stejné oblasti nebo napříč oblastmi nebo místní HSM připojené k virtuální síti pomocí sítě site-to-site nebo point-to-point VPN je možné přidat do stejné konfigurace s vysokou dostupností. Je třeba poznamenat, že tento postup synchronizuje pouze klíčové materiály a ne konkrétní položky konfigurace, jako jsou role.

Ano. Musí splňovat požadavky na vysokou dostupnost pro moduly HSM Thales Luna 7.

Ne.

Šestnáct členů skupiny HA je méně omezené a plně omezené testování s vynikajícími výsledky.

Pro službu Dedicated HSM neexistuje žádná konkrétní záruka dostupnosti. Microsoft zajišťuje přístup na úrovni sítě k zařízení, a proto platí standardní smlouvy SLA pro sítě Azure.

Datacentra Azure mají rozsáhlé fyzické a procedurální kontrolní mechanismy zabezpečení. Kromě toho, že vyhrazené HSM jsou hostované v oblasti dalšího omezeného přístupu datacentra. Tyto oblasti mají větší kontrolu fyzického přístupu a sledování videokamery pro vyšší zabezpečení.

Vyhrazená služba HSM používá zařízení Thales Luna 7 HSM . Tato zařízení podporují detekci fyzických a logických manipulací. Pokud někdy dojde k manipulaci, moduly HSM se automaticky vynulují.

Důrazně doporučujeme použít místní zálohovací zařízení HSM k pravidelnému pravidelnému zálohování modulů HSM pro zotavení po havárii. Musíte použít připojení VPN typu peer-to-peer nebo site-to-site k místní pracovní stanici připojené k zálohovacímu zařízení HSM.

Podporu poskytuje Microsoft i Thales. Pokud máte problém s přístupem k hardwaru nebo síti, vytvořte žádost o podporu u Microsoftu a pokud máte problém s konfigurací HSM, softwarem a vývojem aplikací, vytvořte žádost o podporu s Thalesem. Pokud máte nedeterminovaný problém, vytvořte žádost o podporu u Microsoftu a podle potřeby ji můžete zapojit.

Po registraci služby obdržíte ID zákazníka Thales, které umožňuje registraci na portálu zákaznické podpory Thales, což umožňuje přístup ke všem softwaru a dokumentaci a také žádostem o podporu přímo s Thalesem.

Microsoft nemá možnost připojit se k modulům hardwarového zabezpečení přidělených zákazníkům. Zákazníci musí upgradovat a opravovat své hsmy.

Modul hardwarového zabezpečení má možnost restartování příkazového řádku, ale dochází k problémům, kdy restartování přerušovaně přestane reagovat, a proto se doporučuje, abyste vyvolal žádost o podporu u Microsoftu, aby se zařízení fyzicky restartovalo.

Ano, Vyhrazený HSM zřizuje moduly HSM Thales Luna 7, které jsou ověřeny fiPS 140-2 level-3 .

Vyhrazená služba HSM zřizuje zařízení HSM Thales Luna 7. Podporují širokou škálu typů a algoritmů kryptografických klíčů, včetně podpory úplné sady B.

• Asymetrický:
  • RSA
  • DSA
  • Diffie-Hellman
  • Elliptická křivka
  • Kryptografie (ECDSA, ECDH, Ed25519, ECIES) s pojmenovanými, uživatelem definovanými křivkami a křivkami Brainpool, KCDSA
• Symetrický:
  • AES-GCM
  • Triple DES
  • DES
  • ARIA, SEED
  • RC2
  • RC4
  • RC5
  • CAST
  • Hash/Message Digest/HMAC: SHA-1, SHA-2, SM3
  • Odvození klíče: Režim čítače SP 800-108
  • Zabalení klíče: SP 800-38F
  • Náhodné číslo generace: FIPS 140-2 schválené DRBG (SP 800-90 CTR režim), vyhovující BSI DRG.4

Ano. Vyhrazená služba HSM zřídí zařízení modelu A790 thales Luna 7 HSM, která jsou ověřena fips 140-2 level-3 .

Služba Dedicated HSM zřizuje zařízení HSM Thales Luna 7. Tato zařízení jsou ověřená moduly HSM úrovně 140-2 FIPS 140-2. Výchozí nasazená konfigurace, operační systém a firmware jsou také ověřeny protokolem FIPS. Pro dodržování předpisů úrovně 3 FIPS 140–2 nemusíte provádět žádnou akci.

Před žádostí o zrušení zřízení musí zákazník vynulovat hsM pomocí klientských nástrojů HSM od společnosti Thales.

Vyhrazený HSM zřizuje moduly HSM Thales Luna 7. Tady je souhrn maximálního výkonu některých operací:

• RSA-2048: 10 000 transakcí za sekundu
• ECC P256: 20 000 transakcí za sekundu
• AES-GCM: 17 000 transakcí za sekundu

Použitý model HSM Thales Luna 7 A790 zahrnuje licenci na 10 oddílů v nákladech na službu. Zařízení má limit 100 oddílů a přidání oddílů až do tohoto limitu by vyžadovalo dodatečné licenční náklady a vyžadovalo instalaci nového souboru licence na zařízení.

Maximální počet klíčů je funkce dostupné paměti. Model Thales Luna 7 A790 má 32 MB paměti. Následující čísla platí také pro páry klíčů, pokud používáte asymetrického klíče.

• RSA-2048 - 19 000
• ECC-P256 - 91 000

Kapacita se liší v závislosti na konkrétních atributech klíče nastavených v šabloně generování klíčů a počtu oddílů.