Häufig gestellte Fragen (FAQ)

Ein Hardwaresicherheitsmodul (HSM) ist ein physisches Computergerät, das zum Schützen und Verwalten von kryptografischen Schlüsseln verwendet wird. In HSMs gespeicherte Schlüsseln können für kryptografische Vorgänge verwendet werden. Das Schlüsselmaterial verbleibt sicher in manipulationssicheren, manipulationsgeschützten Hardwaremodulen. Das HSM erlaubt nur authentifizierten und autorisierten Anwendungen die Verwendung der Schlüssel. Das Schlüsselmaterial verlässt nie die HSM-Schutzgrenze.

Azure Dedicated HSM ist ein cloudbasierter Dienst, der in Azure-Datencentern gehostete HSMs bereitstellt, die direkt mit dem virtuellen Netzwerk eines Kunden verbunden sind. Diese HSMs sind dedizierte Thales Luna 7 HSM-Netzwerkgeräte. Sie werden direkt für den privaten IP-Adressraum eines Kunden bereitgestellt, und Microsoft besitzt keinen Zugriff auf die kryptografische Funktionalität der HSMs. Nur der Kunde verfügt über vollständige Verwaltungs- und Kryptografiekontrolle für diese Geräte. Kunden sind verantwortlich für die Verwaltung des Geräts, und sie können vollständige Aktivitätsprotokolle direkt von ihren Geräten erhalten. Dedizierte HSMs unterstützen Kunden bei der Erfüllung von Compliance- und gesetzlichen Anforderungen, z.B. von FIPS 140-2 Level 3, HIPAA, PCI-DSS, eIDAS usw.

Kunden müssen über einen zugewiesenen Microsoft-Kundenbetreuer verfügen und die finanzielle Anforderung von 5 Millionen USD Azure-Gesamtumsatz pro Jahr oder mehr erfüllen, um sich für das Onboarding und die Nutzung von Azure Dedicated HSM zu qualifizieren.

Microsoft ist eine Partnerschaft mit Thales eingegangen, um den Azure Dedicated HSM-Dienst bereitzustellen. Das verwendete Gerät ist das Thales Luna 7 HSM Modell A790. Dieses Gerät bietet nicht nur eine nach FIPS 140-2 Level-3 validierte Firmware, sondern auch niedrige Latenzzeiten, hohe Leistung und hohe Kapazität über 10 Partitionen.

HSMs dienen zur Speicherung von Kryptografieschlüsseln, die für Kryptografiefunktionen wie TLS (Transport Layer Security), die Verschlüsselung von Daten, die PKI (Public Key-Infrastruktur), die Verwaltung digitaler Rechte (Digital Rights Management, DRM) und die Signatur von Dokumenten verwendet werden.

Kunden können HSMs in bestimmten Regionen über PowerShell oder die Befehlszeilenschnittstelle bereitstellen. Der Kunde gibt an, mit welchem virtuellen Netzwerk die HSMs verbunden ist. Nach der Bereitstellung sind die HSMs im festgelegten Subnetz an einer zugewiesenen IP-Adresse im privaten IP-Adressraum des Kunden verfügbar. Kunden können dann eine Verbindung zwischen SSH für die Applianceverwaltung und den HSMs herstellen, um HSM-Clientverbindungen einzurichten, HSMs zu initialisieren, Partitionen zu erstellen, Rollen wie Partitionsverantwortlicher, Kryptoverantwortlicher und Kryptobenutzer zu definieren und zuzuweisen. Schließlich führt ein Kunde mithilfe von HSM-Clienttools, -SDKs oder -Software, die von Thales bereitgestellt werden, kryptografische Vorgänge mithilfe seiner Anwendungen aus.

Thales ist Lieferant der gesamten Software für das HSM-Gerät nach der Bereitstellung durch Microsoft. Die Software ist über das Thales-Kundensupportportal verfügbar. Kunden, die den Dedicated HSM-Dienst nutzen, müssen für den Thales-Support registriert sein und über eine Kunden-ID verfügen, die den Zugriff auf Software und den Download relevanter Software ermöglicht. Die unterstützte Clientsoftware ist Version 7.2, die mit der von FIPS 140-2 Level 3 validierten Firmwareversion 7.0.3 kompatibel ist.

Die folgenden Elemente verursachen zusätzliche Kosten bei der Verwendung des Dedicated HSM-Diensts.

• Die Verwendung eines dedizierten, lokalen Sicherungsgeräts ist mithilfe des Dedicated HSM-Diensts möglich, verursacht jedoch zusätzliche Kosten und sollte direkt von Thales bezogen werden.
• Dedicated HSM wird mit einer Lizenz für 10 Partitionen geliefert. Ein Kunde kann direkt in Thales weitere Partitionen anfordern und für weitere Lizenzen zahlen.
• Dedicated HSM erfordert eine Netzwerkinfrastruktur (VNet, VPN Gateway usw.) und Ressourcen wie virtuelle Computer für die Gerätekonfiguration. Diese Ressourcen verursachen zusätzliche Kosten und sind nicht in den Preisen des Dedicated HSM-Diensts enthalten.

Nein Azure Dedicated HSM stellt nur HSMs mit kennwortbasierter Authentifizierung bereit.

Nein Der Azure Dedicated HSM-Dienst unterstützt keine Funktionalitätsmodule.

Microsoft bietet nur das Thales Luna 7 HSM Modell A790 über den Dedicated HSM-Dienst und kann keine vom Kunden bereitgestellten Geräte hosten.

Der Azure Dedicated HSM-Dienst verwendet Thales Luna 7 HSMs. Diese Geräte unterstützen keine für Bezahl-HSM spezifischen Funktionen (z. B. PIN oder EFT) oder Zertifizierungen. Wenn Sie möchten, dass der Azure Dedicated HSM-Dienst in Zukunft Bezahl-HSMs unterstützt, informieren Sie bitte Ihren zuständigen Microsoft-Kontobeauftragten über diesen Wunsch.

Ab Oktober 2022 ist Dedicated HSM in 22 Regionen verfügbar. Weitere Regionen sind geplant und können über Ihren zuständigen Microsoft-Kontobeauftragten besprochen werden.

• East US
• USA (Ost) 2
• USA (Westen)
• USA, Westen 2
• Kanada, Osten
• Kanada, Mitte
• USA Süd Mitte
• Asien, Südosten
• Indien, Mitte
• Indien, Süden
• Japan, Osten
• Japan, Westen
• Nordeuropa
• Europa, Westen
• UK, Süden
• UK, Westen
• Australien (Osten)
• Australien, Südosten
• Schweiz, Norden
• Schweiz, Westen
• US Gov Virginia
• US Gov Texas

Sie verwenden HSM-Clienttools, -SDKs oder -Software, die von Thales bereitgestellt werden, um kryptografische Vorgänge mithilfe Ihrer Anwendungen auszuführen. Die Software ist über das Thales-Kundensupportportal verfügbar. Kunden, die den Dedicated HSM-Dienst nutzen, müssen für den Thales-Support registriert sein und über eine Kunden-ID verfügen, die den Zugriff auf Software und den Download relevanter Software ermöglicht.

Ja, Sie müssen VNet-Peering innerhalb einer Region verwenden, um eine Verbindung über virtuelle Netzwerke hinweg herzustellen. Für regionsübergreifende Konnektivität müssen Sie VPN Gateway verwenden.

Ja, Sie können lokale HSMs mit Dedicated HSM synchronisieren. Point-to-Point-VPN- oder Point-to-Site-Konnektivität kann verwendet werden, um eine Verbindung mit Ihrem lokalen Netzwerk herzustellen.

Nein Auf Azure Dedicated HSMs kann nur von Ihrem virtuellen Netzwerk aus zugegriffen werden.

Ja, wenn Sie über lokale Thales Luna 7-HSMs verfügen. Es gibt mehrere Möglichkeiten. Weitere Informationen finden Sie in der Thales HSM-Dokumentation.

• Windows, Linux, Solaris, AIX, HP-UX, FreeBSD.
• Virtuell: VMware, Hyper-V, Xen, KVM

Um Hochverfügbarkeit zu erreichen, müssen Sie Ihre HSM-Clientanwendungskonfiguration so einrichten, dass sie Partitionen von jedem HSM verwendet. Weitere Informationen finden Sie in der Dokumentation zur Thales HSM-Clientsoftware.

Azure Dedicated HSM verwendet Thales Luna 7 HSM Modell A790-Geräte, die die kennwortbasierte Authentifizierung unterstützen.

PKCS#11, Java (JCA/JCE), Microsoft CAPI und CNG, OpenSSL.

Ja. Wenden Sie sich an Ihren Thales-Vertriebsmitarbeiter, um die entsprechende Thales-Migrationsanleitung zu erhalten.

Nein Der Azure Dedicated HSM-Dienst unterstützt keine Funktionalitätsmodule.

Azure Dedicated HSM ist die geeignete Wahl für Unternehmen, die zu lokalen Azure-Anwendungen migrieren, die HSMs verwenden. Dedizierte HSMs bieten die Möglichkeit, eine Anwendung mit minimalen Änderungen zu migrieren. Wenn kryptografische Vorgänge im Code der Anwendung ausgeführt werden, der in einem virtuellen Azure-Computer oder in einer Web-App ausgeführt wird, können sie Dedicated HSM verwenden. Im Allgemeinen kann Software auf Datenträgern, die in IaaS-Modellen (Infrastructure-as-a-Service) ausgeführt wird, die HSMs als Schlüsselspeicher unterstützen, Dedicate HSM verwenden, z. B. Traffic Manager für schlüsselloses TLS, ADCS (Active Directory-Zertifikatdienste) oder ähnliche PKI-Tools, Tools/Anwendungen für die Dokumentensignierung, Codesignierung oder einen SQL Server (IaaS), der mit TDE (transparente Datenbankverschlüsselung) mit Primärschlüssel in einem HSM unter Verwendung eines EKM-Anbieters (Extensible Key Management) konfiguriert ist. Azure Key Vault eignet sich für „in der Cloud geborene“ Anwendungen oder für Verschlüsselungsszenarien für ruhende Daten, bei denen Kundendaten von PaaS- (Platform-as-a-Service) oder SaaS-Szenarien (Software-as-a-Service) wie Office 365 mit Kundenschlüssel, Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store-Verschlüsselung mit vom Kunden verwaltetem Schlüssel, Azure Storage-Verschlüsselung mit vom Kunden verwaltetem Schlüssel und Azure SQL mit vom Kunden verwaltetem Schlüssel verarbeitet werden.

Azure Dedicated HSM eignet sich am besten für Migrations-Szenarien, in denen Sie lokale Anwendungen nach Azure migrieren, die bereits HSMs verwenden, und bietet eine reibungsarme Methode für die Migration nach Azure mit minimalen Änderungen an der Anwendung. Wenn kryptografische Vorgänge im Code der Anwendung ausgeführt werden, der in einem virtuellen Azure-Computer oder in einer Web-App ausgeführt wird, kann Dedicated HSM verwendet werden. Im Allgemeinen kann Software auf Datenträgern, die in IaaS-Modellen (Infrastructure-as-a-Service) mit Unterstützung von HSMs als Schlüsselspeicher ausgeführt wird, Dedicate HSM verwenden. Beispiele dafür sind:

• Traffic Manager für schlüsselloses TLS
• ADCS (Active Directory-Zertifikatdienste)
• Ähnliche PKI-Tools
• Tools/Anwendungen für das Signieren von Dokumenten
• Codesignierung
• SQL Server (IaaS), konfiguriert mit TDE (transparente Datenbankverschlüsselung) mit Primärschlüssel in einem HSM unter Verwendung eines EKM-Anbieters (Extensible Key Management)

Nein Dedicated HSM wird direkt im privaten IP-Adressraum eines Kunden bereitgestellt, sodass darauf nicht mit anderen Azure- oder Microsoft-Diensten zugegriffen werden kann.

Ja. Jede HSM-Appliance ist vollständig auf einen einzelnen Kunden ausgerichtet, und niemand sonst besitzt nach der Bereitstellung und Änderung des Administratorkennworts die Verwaltungskontrolle.

Microsoft hat keine administrative oder kryptografische Kontrolle über das HSM. Microsoft besitzt über eine serielle Schnittstellenverbindung Zugriff auf die Überwachungsebene, um grundlegende Telemetriedaten wie Temperatur und Komponentenintegrität abzurufen, um es Microsoft zu ermöglichen, proaktive Benachrichtigungen zu Integritätsproblemen zu liefern. Falls erforderlich, kann der Kunde dieses Konto deaktivieren.

Im Lieferumfang des HSM-Geräts ist ein Standardbenutzer „Administrator“ mit dem üblichen Standardkennwort enthalten. Microsoft wollte nicht, dass Standardkennwörter verwendet werden, während ein Gerät in einem Pool darauf wartet, von Kunden bereitgestellt zu werden. Dies entspräche nicht unseren strengen Sicherheitsanforderungen. Aus diesem Grund legen wir ein sicheres Kennwort fest, das zur Bereitstellungszeit verworfen wird. Außerdem erstellen wird zur Bereitstellungszeit einen neuen Benutzer in der Administratorrolle namens „tenant admin“. Der „Mandantenadmin“ besitzt das Standardkennwort, das die Kunden als erste Aktion bei der ersten Anmeldung bei dem neu bereitgestellten Gerät ändern. Dieser Prozess gewährleistet einen hohen Grad an Sicherheit und erfüllt unser Versprechen der alleinigen administrativen Kontrolle durch unsere Kunden. Anzumerken ist, dass der Benutzer „tenant admin“ verwendet werden kann, um das Kennwort des Administratorbenutzers zurückzusetzen, wenn ein Kunde die Verwendung dieses Kontos bevorzugt.

Nein Microsoft besitzt keinerlei Zugriff auf die im dem Kunden zugeordneten Dedicated HSM gespeicherten Schlüssel.

Nein Azure Dedicated HSM ist ein Bare-Metal-HSM für den Leasingdienst. Unser Dienst speichert keine Kundendaten. Alle wichtigen Materialien und Daten werden innerhalb der HSM-Appliance des Kunden gespeichert. Jede HSM-Appliance ist ausschließlich für einen einzigen Kunden bestimmt, der die vollständige administrative Kontrolle über sie hat.

Der Kunde hat die volle administrative Kontrolle, einschließlich eines Upgrades der Software/Firmware, wenn spezifische Funktionen von verschiedenen Firmwareversionen erforderlich sind. Bevor Sie Änderungen vornehmen, wenden Sie sich an den Thales Support zu Ihrem Software-/Firmwareupgradeszenario.

Sie können Dedicated HSMs verwalten, indem sie darauf über SSH zugreifen.

Die Thales HSM-Clientsoftware wird zum Verwalten der HSMs und Partitionen verwendet.

Ein Kunde besitzt über Syslog und SNMP vollständigen Zugriff auf die HSM-Aktivitätsprotokolle. Kunden müssen einen Syslog-Server oder SNMP-Server so einrichten, dass sie Protokolle oder Ereignisse von den HSMs erhalten.

Ja. Sie können Protokolle von der HSM-Appliance an einen Syslog-Server senden.

Ja. Die Konfiguration und Einrichtung der Hochverfügbarkeit erfolgt in der von Thales bereitgestellten HSM-Clientsoftware. HSMs aus demselben VNet oder aus anderen VNets in derselben Region oder über Regionen hinweg bzw. lokale HSMs, die mit einem VNet per Site-to-Site- oder Point-to-Point-VPN verbunden sind, können derselben Hochverfügbarkeitskonfiguration hinzugefügt werden. Es sollte beachtet werden, dass hiermit nur wichtiges Material synchronisiert wird, und keine spezifischen Konfigurationselemente, z. B. Rollen.

Ja. Sie müssen die Anforderungen für Hochverfügbarkeit für Thales Luna 7 HSMs erfüllen.

Nein

Für 16 Mitglieder einer Hochverfügbarkeitsgruppe wurde ein vollständiger Test mit hervorragenden Ergebnissen durchgeführt.

Für den Dedicated HSM-Dienst ist keine spezifische Garantie für die Betriebszeit vorhanden. Microsoft stellt sicher, dass der Zugriff auf das Gerät auf Netzwerkebene gewährleistet ist, sodass Azure-Standardnetzwerk-SLAs gelten.

Azure-Datencenter verfügen über umfassende physische und prozedurale Sicherheitskontrollen. Darüber hinaus werden Dedicated HSMs in einem Bereich mit weiteren Zugangseinschränkungen des Datencenters gehostet. Diese Bereiche verfügen über weitere physische Zugangskontrollen und Videokameraüberwachung für zusätzliche Sicherheit.

Der Dedicated HSM-Dienst verwendet Thales Luna 7 HSM-Geräte. Diese Geräte unterstützen physische und logische Manipulationserkennung. Wenn es jemals zu einem Manipulationsereignis kommt, werden die HSMs automatisch auf Null zurückgesetzt.

Es wird dringend empfohlen, ein lokales HSM-Sicherungsmedium zu verwenden, um eine regelmäßige periodische Sicherung der HSMs für die Notfallwiederherstellung durchzuführen. Sie müssen eine Peer-to-Peer- oder Site-to-Site-VPN-Verbindung mit einer lokalen Arbeitsstation verwenden, die mit einem HSM-Sicherungsmedium verbunden ist.

Der Support wird sowohl von Microsoft als auch von Thales bereitgestellt. Falls bei Ihnen ein Problem mit der Hardware oder dem Netzwerkzugriff besteht, können Sie eine Supportanfrage für Microsoft erstellen. Bei einem Problem mit der HSM-Konfiguration, -Software und -Anwendungsentwicklung erstellen Sie eine Supportanfrage für Thales. Erstellen Sie bei einem nicht eindeutigen Problem eine Supportanfrage für Microsoft. Falls erforderlich, kann Thales dann eingebunden werden.

Nachdem Sie sich für den Dienst registriert haben, erhalten Sie eine Thales-Kunden-ID, mit der Sie sich im Thales-Kundensupportportal anmelden können. Damit haben Sie Zugriff auf die gesamte Software und Dokumentation sowie auf Supportanfragen direkt bei Thales.

Microsoft hat nicht die Möglichkeit, eine Verbindung mit HSMs herzustellen, die Kunden zugeordnet sind. Kunden müssen ihre HSMs aktualisieren und patchen.

Das HSM verfügt über eine Befehlszeilenoption für den Neustart. Es kommt jedoch zu Problemen, bei denen der Neustart zeitweilig nicht mehr reagiert. Aus diesem Grund wird als sicherste Neustartmethode empfohlen, dass Sie eine Supportanfrage bei Microsoft stellen, damit das Gerät physisch neu gestartet wird.

Ja, Dedicated HSM stellt Thales Luna 7 HSMs bereit, die nach FIPS 140-2 Level-3 validiert sind.

Der Dedicated HSM-Dienst stellt Thales Luna 7 HSM-Geräte bereit. Sie unterstützen eine Vielzahl von kryptografischen Schlüsseltypen und Algorithmen, einschließlich: vollständige Suite B-Unterstützung

• Asymmetrisch:
  • RSA
  • DSA
  • Diffie-Hellman
  • Elliptische-Kurven-
  • Kryptografie (ECDSA, ECDH, Ed25519, ECIES) mit benannten, benutzerdefinierten und Brainpool-Kurven, KCDSA
• Symmetrisch:
  • AES-GCM
  • Triple DES
  • DES
  • ARIA, SEED
  • RC2
  • RC4
  • RC5
  • CAST
  • Hash/Message Digest/HMAC: SHA-1, SHA-2, SM3
  • Schlüsselableitung: SP 800-800-108 Counter Mode
  • Key-Wrapping: SP 800-38F
  • Zufallszahlengenerierung: FIPS 140-2 genehmigter DRBG (SP 800-90, CTR-Modus) unter Einhaltung von BSI DRG.4

Ja. Der Dedicated HSM-Dienst stellt Thales Luna 7 HSM Modell A790-Geräte bereit, die nach FIPS 140-2 Level-3 validiert sind.

Der Dedicated HSM-Dienst stellt Thales Luna 7 HSM-Geräte bereit. Diese Geräte sind nach FIPS 140-2 Level 3 validierte HSMs. Die standardmäßig bereitgestellte Konfiguration, das Betriebssystem und die Firmware sind ebenfalls FIPS-geprüft. Sie müssen keine Maßnahmen zur Einhaltung von FIPS 140-2 Level 3 ergreifen.

Bevor ein Kunde die Aufhebung der Bereitstellung anfordert, muss er das HSM mit den von Thales bereitgestellten HSM-Clienttools auf Null zurückgesetzt haben.

Dedicated HSM stellt Thales Network Luna 7-HSMs bereit. Dies ist eine Zusammenfassung der maximalen Leistung für einige Vorgänge:

• RSA-2048: 10.000 Transaktionen pro Sekunde
• ECC-P256: 20.000 Transaktionen pro Sekunde
• AES-GCM: 17.000 Transaktionen pro Sekunde

Das verwendete Thales Luna 7 HSM Model A790 umfasst im Rahmen der Kosten für den Dienst eine Lizenz für zehn Partitionen. Für das Gerät gilt ein Limit von 100 Partitionen. Wenn Partitionen bis zu diesem Limit hinzugefügt werden, fallen zusätzliche Lizenzkosten an, und auf dem Gerät muss eine neue Lizenzdatei installiert werden.

Die maximale Anzahl von Schlüsseln ist eine Funktion des verfügbaren Speichers. Das verwendete Thales Luna 7 Modell A790 verfügt über 32 MB Arbeitsspeicher. Die folgenden Angaben gelten auch für Schlüsselpaare, wenn asymmetrische Schlüssel verwendet werden.

• RSA-2048: 19.000
• ECC-P256: 91.000

Die Kapazität ist abhängig von den spezifischen Schlüsselattributen, die in der Schlüsselgenerierungsvorlage festgelegt sind, und der Anzahl der Partitionen unterschiedlich.