Encuentre respuestas a preguntas habituales sobre Azure Dedicated HSM.
Conceptos básicos
¿Qué es un módulo de seguridad de hardware (HSM)?
Un módulo de seguridad de hardware (HSM) es un dispositivo informático físico utilizado para proteger y administrar claves criptográficas. Las claves almacenadas en los módulos HSM se pueden usar para operaciones criptográficas. El material de la clave permanece de forma segura en módulos de hardware resistentes a manipulaciones y con evidencia de alteración. El módulo HSM solo permite que utilicen las claves las aplicaciones autenticadas y autorizadas. El material de la clave no sale nunca de los límites de protección del HSM.
¿Cuál es la oferta de Azure Dedicated HSM?
Azure Dedicated HSM es un servicio basado en la nube que proporciona módulos HSM hospedados en centros de datos de Azure que se conectan directamente a la red virtual de un cliente. Estos módulos HSM son dispositivos de red HSM Thales Luna 7 dedicados. Se implementan directamente en el espacio de direcciones IP privadas de los clientes y Microsoft no tiene acceso a la funcionalidad criptográfica de los HSM. Solo el cliente tiene control administrativo y criptográfico completo de estos dispositivos. Los clientes son responsables de la administración del dispositivo y pueden obtener registros de actividad completos directamente desde los dispositivos. Los módulos HSM dedicados ayudan a los clientes a cumplir normas como FIPS 140-2 nivel 3, HIPAA, PCI-DSS, eIDAS y muchas otras.
¿Cuáles son las restricciones de incorporación y uso de Dedicated HSM?
Los clientes deben tener asignado un Administrador de cuentas de Microsoft y cumplir el requisito monetario de 5 millones ($5M) USD o superior en los ingresos totales confirmados de Azure anualmente para calificar para la incorporación y el uso de Azure Dedicated HSM.
¿Qué hardware se usa para Dedicated HSM?
Microsoft se ha asociado con Thales para proporcionar el servicio Azure Dedicated HSM. El dispositivo específico que se usa es HSM Thales Luna 7 modelo A790. Este dispositivo no solo proporciona firmware con certificación FIPS 140-2 nivel 3, sino que también ofrece baja latencia, alto rendimiento y alta capacidad con 10 particiones.
¿Para qué se utiliza un módulo HSM?
Los módulos HSM se utilizan para almacenar claves que se utilizan para funcionalidad criptográfica como TLS (seguridad de la capa de transporte), cifrado de datos, PKI (infraestructura de clave pública), DRM (administración de derechos digitales) y firma de documentos.
¿Cómo funciona Dedicated HSM?
Los clientes pueden aprovisionar módulos HSM en regiones específicas con PowerShell o la interfaz de la línea de comandos. El cliente especifica a qué red virtual se conectan los HSM y, una vez aprovisionados, los HSM están disponibles en la subred designada en las direcciones IP asignadas en el espacio de direcciones IP privadas del cliente. Después, los clientes se pueden conectar a los módulos HSM mediante SSH para administrar los dispositivos, configurar conexiones de cliente HSM, inicializar módulos HSM, crear particiones y definir y asignar roles, como responsable de partición, responsable de criptografía y usuario de criptografía. A continuación, el cliente usa las herramientas, el SDK y el software de cliente HSM proporcionados por Thales para realizar operaciones criptográficas desde sus aplicaciones.
¿Qué software se suministra con el servicio Dedicated HSM?
Thales proporciona todo el software para el dispositivo HSM una vez aprovisionado por Microsoft. El software está disponible en el portal de soporte técnico para clientes de Thales. Los clientes que usan el servicio Dedicated HSM deben registrarse en el soporte técnico de Thales y disponer de un id. de cliente que permite el acceso y descarga del software pertinente. El software cliente admitido es la versión 7.2, que es compatible con la versión 7.0.3 del firmware con certificación FIPS 140-2 nivel 3.
¿Qué costos adicionales se pueden generar con el servicio Dedicated HSM?
Los siguientes elementos conllevan un costo adicional al usar el servicio Dedicated HSM.
- Usar un dispositivo de copia de seguridad local dedicado es factible con el servicio Dedicated HSM, pero conlleva un coste adicional y debe obtenerse directamente de Thales.
- Dedicated HSM se proporciona con una licencia de 10 particiones. Un cliente puede solicitar más particiones y pagar más licencias procedentes directamente de Thales.
- Dedicated HSM requiere una infraestructura de red (red virtual, VPN Gateway, etc.) y recursos, como máquinas virtuales para la configuración del dispositivo. Estos recursos incurren en costos adicionales y no se incluyen en los precios del servicio Dedicated HSM.
¿Ofrece Azure Dedicated HSM autenticación basada en contraseña y PED?
No. En este momento, Azure Dedicated HSM solo proporciona módulos HSM con autenticación basada en contraseña.
¿Admite Azure Dedicated HSM módulos de funcionalidad?
No. El servicio Azure Dedicated HSM no admite módulos de funcionalidad.
¿Podrá hospedar Azure Dedicated HSM mis módulos HSM?
Microsoft solo ofrece el módulo HSM Thales Luna 7 modelo A790 mediante el servicio Dedicated HSM y no puede hospedar ningún servicio proporcionado por el cliente.
¿Admite Azure Dedicated HSM características de pago (PIN o ETF)?
El servicio Azure Dedicated HSM usa dispositivos HSM Thales Luna 7. Estos dispositivos no admiten la funcionalidad específica de HSM de pago (por ejemplo, PIN o ETF) ni certificaciones. Si quiere que el servicio Azure Dedicated HSM admita módulos HSM de pago en el futuro, envíe sus comentarios a su representante de cuenta de Microsoft.
¿En qué regiones de Azure está disponible Dedicated HSM?
A partir de octubre de 2022, Dedicated HSM está disponible en 22 regiones. Además, está prevista la inclusión de más regiones. Si le interesan otras, coménteselo a su representante de cuenta Microsoft.
- Este de EE. UU.
- Este de EE. UU. 2
- Oeste de EE. UU.
- Oeste de EE. UU. 2
- Este de Canadá
- Centro de Canadá
- Centro-sur de EE. UU.
- Sudeste de Asia
- India central
- Sur de India
- Japón Oriental
- Japón Occidental
- Norte de Europa
- Oeste de Europa
- Sur de Reino Unido 2
- Oeste de Reino Unido
- Este de Australia
- Sudeste de Australia
- Norte de Suiza
- Oeste de Suiza
- US Gov - Virginia
- US Gov Texas
Interoperabilidad
¿Cómo se conecta la aplicación a una instancia de Dedicated HSM?
Se usan las herramientas, el SDK y el software cliente de HSM proporcionados por Thales para llevar a cabo operaciones criptográficas desde las aplicaciones. El software está disponible en el portal de soporte técnico para clientes de Thales. Los clientes que usan el servicio Dedicated HSM deben registrarse en el soporte técnico de Thales y disponer de un id. de cliente que permite el acceso y descarga del software pertinente.
¿Se puede conectar una aplicación a Dedicated HSM desde una red virtual diferente o entre regiones?
Sí, debe usar el emparejamiento de red virtual dentro de una región para establecer la conectividad entre redes virtuales. Para la conectividad entre regiones, debe usar VPN Gateway.
¿Puedo sincronizar Dedicated HSM con módulos HSM locales?
Sí, puede sincronizar los módulos HSM locales con Dedicated HSM. Puede usar conectividad VPN de punto a punto o de punto a sitio para establecer la conectividad con la red local.
¿Puedo cifrar los datos utilizados por otros servicios de Azure con claves almacenadas en Dedicated HSM?
No. Los dispositivos de Azure Dedicated HSM solo son accesibles desde dentro de la red virtual.
¿Puedo importar claves desde un módulo HSM local existente a Dedicated HSM?
Sí, si se tienen módulos HSM Thales Luna 7. Existen varios métodos. Consulte la documentación de HSM de Thales.
¿Qué sistemas operativos admiten el software cliente de Dedicated HSM?
- Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
- Virtual: VMware, Hyper-V, Xen, KVM
¿Cómo se configura la aplicación cliente para crear una configuración de alta disponibilidad con varias particiones de varios HSM?
Para tener alta disponibilidad, debe establecer la configuración de la aplicación cliente de HSM para utilizar particiones de cada HSM. Consulte la documentación del software cliente de HSM de Thales.
¿Qué mecanismos de autenticación son compatibles con Dedicated HSM?
Azure Dedicated HSM usa dispositivos HSM Thales Luna 7 modelo A790 y admite la autenticación basada en contraseña.
¿Qué software cliente, SDK y API están disponibles para su uso con Dedicated HSM?
PKCS#11, Java (JCA/JCE), Microsoft CAPI y CNG, OpenSSL
¿Puedo importar o migrar claves desde módulos HSM Luna 5/6 a Azure Dedicated HSM?
Sí. Póngase en contacto con su representante de Thales para obtener la guía de migración de Thales adecuada.
¿Puedo instalar módulos de funcionalidad en instancias de Azure Dedicated HSM?
No. El servicio Azure Dedicated HSM no admite módulos de funcionalidad.
Uso de HSM
¿Cómo decido si usar Azure Key Vault o Azure Dedicated HSM?
Azure Dedicated HSM es la opción adecuada para las empresas que migran a Azure aplicaciones locales que usan módulos HSM. Los módulos HSM dedicados son una opción para migrar una aplicación con cambios mínimos. Si las operaciones criptográficas se realizan en el código de la aplicación que se ejecuta en una máquina virtual de Azure o una aplicación web, pueden usar Azure Dedicated HSM. En general, el software empaquetado que se ejecuta en modelos de IaaS (infraestructura como servicio) y que admite los módulos HSM como un almacén de claves puede usar HSM dedicado, como un administrador de tráfico para TLS sin clave, ADCS (Servicios de certificados de Active Directory) o herramientas similares de PKI, herramientas o aplicaciones que se usan para la firma de documentos, firma de código o un servidor SQL Server (IaaS) configurado con TDE (cifrado de base de datos transparente) con la clave principal en un módulo HSM mediante un proveedor de EKM (administración extensible de claves). Azure Key Vault es adecuado para aplicaciones "nacidas en la nube" o para el cifrado en escenarios en reposo en los que el software PaaS (plataforma como servicio) procesa los datos del cliente, o escenarios SaaS (software como servicio) como la clave de cliente de Office 365, Azure Information Protection, Azure Disk Encryption, el cifrado de Azure Data Lake Store con clave administrada por el cliente, el cifrado de Azure Storage con clave administrada por el cliente y Azure SQL con clave administrada por el cliente.
¿Qué escenarios de uso se adaptan mejor a Azure Dedicated HSM?
Azure Dedicated HSM es más adecuado para escenarios de migración en los que se migran aplicaciones locales a Azure que ya usan HSM, lo que proporciona un método de baja fricción para migrar a Azure con cambios mínimos en la aplicación. Si las operaciones criptográficas se realizan en el código de la aplicación que se ejecuta en una máquina virtual de Azure o una aplicación web, se puede usar Dedicated HSM. En general, el software empaquetado que se ejecuta en modelos de IaaS (infraestructura como servicio) y que admite los módulos HSM como un almacén de claves puede usar HSM dedicado, por ejemplo:
- Traffic Manager para TLS sin clave
- ADCS (servicios de certificados de Active Directory)
- Herramientas similares de PKI
- Herramientas y aplicaciones usadas para firmar documentos
- Firma de código
- SQL Server (IaaS) configurado con TDE (cifrado de base de datos transparente) con la clave principal en un módulo HSM mediante un proveedor de EKM (administración extensible de claves)
¿Se puede usar Dedicated HSM con la clave de cliente de Office 365, Azure Information Protection, Azure Data Lake Store, Disk Encryption, el cifrado de Azure Storage o TDE de Azure SQL?
No. Dedicated HSM se aprovisiona directamente en el espacio de direcciones IP privadas de un cliente y, por tanto, no es accesible por otros servicios de Azure o Microsoft.
Administración, acceso y control
¿El cliente tiene control exclusivo completo sobre los módulos HSM con Dedicated HSM?
Sí. Cada dispositivo HSM está totalmente dedicado a un solo cliente y nadie más tiene control administrativo una vez se ha aprovisionado y se ha cambiado la contraseña del administrador.
¿Qué nivel de acceso tiene Microsoft al módulo HSM?
Microsoft no tiene ningún control administrativo ni criptográfico sobre el módulo HSM. Microsoft tiene acceso de nivel de supervisión a través de una conexión de puerto serie para recuperar telemetría básica, como la temperatura y el estado de los componentes, para permitir que Microsoft proporcione una notificación proactiva de los problemas de mantenimiento. Si es necesario, el cliente puede deshabilitar esta cuenta.
¿Cuál es la cuenta de "administrador de inquilinos" que Microsoft usa? Estoy acostumbrado a que el usuario administrador sea "administrador" en HSM de Thales Luna
El dispositivo HSM se suministra con un usuario administrador predeterminado con su contraseña predeterminada habitual. Microsoft no quería tener contraseñas predeterminadas en uso mientras ningún dispositivo está en un grupo esperando el aprovisionamiento por parte de los clientes. ya que no se cumplirían los estrictos requisitos de seguridad. Por este motivo, hemos establecido una contraseña segura que se descarta en el momento del aprovisionamiento. Además, cuando se realiza el aprovisionamiento, se crea un usuario con un rol de administrador denominado "tenant admin". El usuario "administrador de inquilinos" tiene la contraseña predeterminada, que los clientes deben cambiar como primera acción al iniciar sesión en el dispositivo recién aprovisionado. Este proceso garantiza altos niveles de seguridad y nos ayuda a mantener nuestra promesa de ofrecer un control administrativo exclusivo a los clientes. Tenga en cuenta que el usuario "tenant admin" puede emplearse para restablecer la contraseña de usuario administrador si un cliente prefiere usar esa cuenta.
¿Puede Microsoft o alguien de Microsoft acceder a las claves del módulo Dedicated HSM?
No. Microsoft no tiene acceso a las claves almacenadas en un módulo HSM dedicado asignado a un cliente.
Azure Dedicated HSM almacena los datos de los clientes?
No. Azure Dedicated HSM es un módulo HSM baremetal para el servicio de concesión. Nuestro servicio no almacena datos de clientes. Todos los materiales y datos clave se almacenan en el dispositivo HSM de los clientes. Cada dispositivo HSM está totalmente dedicado a un solo cliente, para el que tiene control administrativo total.
¿Puedo actualizar el software o el firmware de los módulos HSM que tengo asignados?
El cliente tiene control administrativo total, incluida la actualización de software o firmware si se requieren características específicas de otras versiones del firmware. Antes de realizar cambios, consulte con el soporte técnico de Thales sobre el escenario de actualización de software o firmware.
¿Cómo puedo administrar Dedicated HSM?
Puede administrar los módulos HSM dedicados mediante el acceso a ellos con SSH.
¿Cómo puedo administrar las particiones en Dedicated HSM?
El software cliente de HSM de Thales se utiliza para administrar las particiones y los HSM.
¿Cómo puedo supervisar el módulo HSM?
El cliente tiene acceso completo a los registros de actividad del HSM mediante syslog y SNMP. El cliente debe configurar un servidor syslog o un servidor SNMP para recibir los registros o eventos de los HSM.
¿Puedo obtener el registro de acceso completo de todas las operaciones de HSM de Dedicated HSM?
Sí. Puede enviar registros desde el dispositivo HSM a un servidor syslog
Alta disponibilidad
¿Es posible configurar la alta disponibilidad en la misma región o en varias regiones?
Sí. La configuración de alta disponibilidad se realiza en el software cliente de HSM proporcionado por Thales. Los HSM de la misma red virtual u otras VNet de la misma región o entre regiones, o los HSM locales conectados a una red virtual mediante VPN de sitio a sitio o de punto a punto se pueden agregar a la misma configuración de alta disponibilidad. Tenga en cuenta que esto sincroniza solo material clave y no elementos de configuración específicos como los roles.
¿Puedo agregar módulos HSM de la red local a un grupo de alta disponibilidad con Azure Dedicated HSM?
Sí. Deben cumplir los requisitos de alta disponibilidad de los módulos HSM Thales Luna 7.
¿Puedo agregar módulos HSM Luna 5/6 de la red local a un grupo de alta disponibilidad con Azure Dedicated HSM?
No.
¿Cuántos módulos HSM puedo agregar a la misma configuración de alta disponibilidad desde una sola aplicación?
Dieciséis miembros de un grupo de alta disponibilidad han realizado pruebas a pleno rendimiento con resultados excelentes.
Soporte técnico
¿Cuál es el Acuerdo de Nivel de Servicio de Dedicated HSM?
No existe ninguna garantía de tiempo de actividad específico para el servicio Dedicated HSM. Microsoft garantiza el acceso de nivel de red al dispositivo y, por tanto, se aplican acuerdos de nivel de servicio de red estándar de Azure.
¿Cómo se protegen los módulos HSM utilizados en Azure Dedicated HSM?
Los centros de datos de Azure tienen controles de seguridad física y de procedimiento exhaustivos. Además, los módulos HSM dedicados se hospedan en un área de acceso más restringido del centro de datos. Estas áreas tienen más controles de acceso físico y vigilancia de cámaras de vídeo para mayor seguridad.
¿Qué ocurre si se produce una infracción de seguridad o un evento de manipulación del hardware?
El servicio Dedicated HSM usa dispositivos HSM Thales Luna 7. Estos dispositivos admiten la detección de alteraciones físicas y lógicas. Si alguna vez sucede un evento de manipulación, los HSM se reducen automáticamente a cero.
¿Cómo me aseguro de que las claves de los módulos de Dedicated HSM no se pierden debido a un error o un ataque malintencionado interno?
Se recomienda usar un dispositivo HSM local de respaldo para realizar la copia de seguridad periódica de los HSM para la recuperación ante desastres. Debe usar una conexión VPN punto a punto o de sitio a sitio a una estación de trabajo local conectada a un dispositivo de copia de seguridad de HSM.
¿Cómo puedo obtener soporte técnico para Dedicated HSM?
Microsoft y Thales ofrecen soporte técnico. Si tiene algún problema con el hardware o el acceso de red, presente una solicitud de soporte técnico a Microsoft. Si tiene algún problema con el desarrollo de aplicaciones, el software y la configuración de HSM, presente una solicitud de soporte técnico a Thales. Si tiene un problema indeterminado, presente una solicitud de soporte técnico a Microsoft. Si es necesario, se recurrirá a Thales.
¿Cómo se obtiene el software cliente, la documentación y el acceso a la guía de integración para HSM Thales Luna 7?
Después de registrarse en el servicio, recibirá un identificador de cliente de Thales que permite el registro en el portal de soporte al cliente de Thales, lo que permite el acceso a todo el software y la documentación, así como las solicitudes de soporte técnico directamente con Thales.
Si se encuentra una vulnerabilidad de seguridad y Thales publica una revisión, ¿quién es responsable de actualizar o aplicar revisiones al sistema operativo o firmware?
Microsoft no puede conectarse a los módulos HSM asignados a los clientes. Los clientes deben actualizar y aplicar las revisiones en los módulos HSM.
¿Qué ocurre si necesito reiniciar mi HSM?
HSM tiene una opción de reinicio de línea de comandos, pero se están experimentando problemas de falta de respuesta de forma intermitente. Por este motivo, para un reinicio seguro, se recomienda que presente una solicitud de soporte técnico a Microsoft para que el dispositivo se reinicie físicamente.
Criptografía y estándares
¿Es seguro almacenar claves de cifrado para mis datos más importantes en Dedicated HSM?
Sí, Dedicated HSM aprovisiona módulos HSM Thales Luna 7 que cuentan con certificación FIPS 140-2 nivel 3.
¿Qué claves criptográficas y algoritmos admite Dedicated HSM?
El servicio Dedicated HSM aprovisiona dispositivos HSM Thales Luna 7. Admiten una amplia gama de tipos de claves criptográficas y algoritmos, incluidos: soporte completo de Suite B
- Asimétricos:
- RSA
- DSA
- Diffie-Hellman
- Curva elíptica
- Criptografía (ECDSA, ECDH, Ed25519, ECIES) con curvas con nombre, definidas por el usuario, Brainpool, KCDSA
- Simétricos:
- AES-GCM
- Triple DES
- DES
- ARIA, SEED
- RC2
- RC4
- RC5
- CAST
- Hash/Código hash/HMAC: SHA-1, SHA-2, SM3
- Derivación de claves: modo contador SP 800-108
- Ajuste de claves: SP 800-38F
- Generación de números aleatorios: DRBG (modo CTR SP 800-90) aprobado para FIPS 140-2, cumple con BSI DRG.4
¿Dedicated HSM tiene certificación FIPS 140-2 nivel 3?
Sí. El servicio Dedicated HSM aprovisiona los dispositivos HSM Thales Luna 7 modelo A790 que cuentan con certificación FIPS 140-2 nivel 3.
¿Qué hay que hacer para asegurarse de que Dedicated HSM funciona en modo de certificación FIPS 140-2 nivel 3?
El servicio Dedicated HSM aprovisiona dispositivos HSM Thales Luna 7. Estos dispositivos son módulos HSM con certificación FIPS 140-2 nivel 3. La configuración predeterminada que se implementa, el sistema operativo y el firmware también tienen certificación FIPS. No es necesario realizar ninguna acción para el cumplimiento de FIPS 140-2 nivel 3.
¿Cómo se asegura un cliente de que cuando se desaprovisiona un módulo HSM se borra el material de las claves?
Antes de solicitar el desaprovisionamiento, el cliente se debe ejecutar la función Zeorize en el dispositivo HSM con las herramientas de cliente de HSM proporcionadas por Thales.
Rendimiento y escala
¿Cuántas operaciones criptográficas por segundo se admiten con Dedicated HSM?
Dedicated HSM aprovisiona módulos HSM Thales Luna 7. Este es un resumen de rendimiento máximo para algunas operaciones:
- RSA-2048: 10 000 transacciones por segundo
- ECC P256: 20 000 transacciones por segundo
- AES-GCM: 17 000 transacciones por segundo
¿Cuántas particiones se pueden crear en Dedicated HSM?
El módulo HSM Thales Luna 7 modelo A790 usado incluye una licencia para 10 particiones en el costo del servicio. Tiene un límite de 100 particiones y, si se alcanza este número, es posible que se incurra en costes de licencia adicionales y que se requiera la instalación de un nuevo archivo de licencia en el dispositivo.
¿Cuántas claves se admiten en Dedicated HSM?
El número máximo de claves es una función de la memoria disponible. El dispositivo Thales Luna 7 modelo A790 en uso tiene 32 MB de memoria. Las cifras siguientes también son aplicables a los pares de claves si se usan claves asimétricas.
- RSA-2048: 19 000
- ECC-P256: 91 000
La capacidad varía en función de los atributos clave específicos establecidos en la plantilla de generación de claves y el número de particiones.