Veelgestelde vragen

Een HSM (Hardware Security Module) is een fysiek computerapparaat dat wordt gebruikt voor het beveiligen en beheren van cryptografische sleutels. Sleutels die zijn opgeslagen in HSM's kunnen worden gebruikt voor cryptografische bewerkingen. Het sleutelmateriaal blijft veilig in manipulatiebestendige, manipulatie-duidelijke hardwaremodules. De HSM staat alleen geverifieerde en geautoriseerde toepassingen toe om de sleutels te gebruiken. De sleutels blijven altijd binnen het bereik van de HSM-beveiliging.

Azure Dedicated HSM is een cloudservice die HSM's biedt die worden gehost in Azure-datacenters die rechtstreeks zijn verbonden met het virtuele netwerk van een klant. Deze HSM's zijn toegewezen Thales Luna 7 HSM-netwerkapparaten . Ze worden rechtstreeks geïmplementeerd in de privé-IP-adresruimte van een klant en Microsoft heeft geen toegang tot de cryptografische functionaliteit van de HSM's. Alleen de klant heeft volledige beheer- en cryptografische controle over deze apparaten. Klanten zijn verantwoordelijk voor het beheer van het apparaat en ze kunnen volledige activiteitenlogboeken rechtstreeks vanaf hun apparaten ophalen. Toegewezen HSM's helpen klanten te voldoen aan nalevings-/regelgevingsvereisten, zoals FIPS 140-2 Niveau 3, HIPAA, PCI-DSS en eIDAS en vele andere.

Klanten moeten een toegewezen Microsoft-accountmanager hebben en voldoen aan de monetaire vereiste van 5 miljoen ($ 5M) USD of hoger in de totale vastgelegde Azure-omzet per jaar om in aanmerking te komen voor onboarding en gebruik van Azure Dedicated HSM.

Microsoft is partner van Thales om de Azure Dedicated HSM-service te leveren. Het specifieke apparaat dat wordt gebruikt, is het Thales Luna 7 HSM-model A790. Dit apparaat biedt niet alleen gevalideerde firmware van FIPS 140-2 Level-3 , maar biedt ook lage latentie, hoge prestaties en hoge capaciteit via 10 partities.

HSM's worden gebruikt voor het opslaan van cryptografische sleutels die worden gebruikt voor cryptografische functionaliteit, zoals TLS (transport layer security), het versleutelen van gegevens, PKI (infrastructuur voor openbare sleutels), DRM (digital rights management) en ondertekeningsdocumenten.

Klanten kunnen HSM's inrichten in specifieke regio's met behulp van PowerShell of opdrachtregelinterface. De klant geeft aan met welk virtueel netwerk de HSM's zijn verbonden en zodra de HSM's zijn ingericht, beschikbaar in het aangewezen subnet op toegewezen IP-adressen in de privé-IP-adresruimte van de klant. Klanten kunnen vervolgens verbinding maken met de HSM's met behulp van SSH voor apparaatbeheer en -beheer, HSM-clientverbindingen instellen, HSM's initialiseren, partities maken, definiëren en rollen toewijzen, zoals partition officer, crypto officer en cryptogebruiker. Vervolgens gebruikt de klant Thales geleverde HSM-clienthulpprogramma's/SDK/software om cryptografische bewerkingen uit te voeren vanuit hun toepassingen.

Thales levert alle software voor het HSM-apparaat zodra het is ingericht door Microsoft. De software is beschikbaar in de Thales-klantenondersteuningsportal. Klanten die de Dedicated HSM-service gebruiken, moeten worden geregistreerd voor Thales-ondersteuning en beschikken over een klant-id die toegang tot en download van relevante software mogelijk maakt. De ondersteunde clientsoftware is versie 7.2, die compatibel is met de met FIPS 140-2 Niveau 3 gevalideerde firmwareversie 7.0.3.

Voor de volgende items worden extra kosten in rekening gebracht bij het gebruik van de Toegewezen HSM-service.

• Het gebruik van een toegewezen on-premises back-upapparaat is haalbaar voor gebruik met toegewezen HSM-service, maar er worden extra kosten in rekening gebracht en moet rechtstreeks vanuit Thales worden opgehaald.
• Toegewezen HSM wordt geleverd met een licentie voor 10 partities. Een klant kan meer partities aanvragen en betalen voor meer licenties die rechtstreeks afkomstig zijn van Thales.
• Toegewezen HSM vereist netwerkinfrastructuur (virtueel netwerk, VPN Gateway, enzovoort) en resources zoals virtuele machines voor apparaatconfiguratie. Deze resources kosten extra kosten en zijn niet inbegrepen in de prijzen van de toegewezen HSM-service.

Nee Azure Dedicated HSM biedt alleen HSM's met verificatie op basis van wachtwoorden.

Nee De Azure Dedicated HSM-service biedt geen ondersteuning voor functionaliteitsmodules.

Microsoft biedt alleen het Thales Luna 7 HSM-model A790 via de dedicated HSM-service en kan geen door de klant geleverde apparaten hosten.

De Azure Dedicated HSM-service maakt gebruik van Thales Luna 7 HSM's. Deze apparaten ondersteunen geen specifieke HSM-functionaliteit (zoals pincode of EFT) of certificeringen. Als u wilt dat de Azure Dedicated HSM-service in de toekomst ondersteuning biedt voor betalings-HSM's, geeft u de feedback door aan uw Microsoft-accountvertegenwoordiger.

Vanaf oktober 2022 is toegewezen HSM beschikbaar in 22 regio's. Er zijn verdere regio's gepland en kunnen worden besproken via uw Microsoft-accountvertegenwoordiger.

• VS - oost
• VS - oost 2
• VS - west
• VS - west 2
• Canada - oost
• Canada - midden
• VS - zuid-centraal
• Azië - zuidoost
• India - centraal
• India - zuid
• Japan - oost
• Japan - west
• Europa - noord
• Europa -west
• Verenigd Koninkrijk Zuid
• Verenigd Koninkrijk West
• Australië - oost
• Australië - zuidoost
• Zwitserland - noord
• Zwitserland - west
• VS (overheid) - Virginia
• US Gov - Texas

U gebruikt thales geleverde HSM-clienthulpprogramma's/SDK/software om cryptografische bewerkingen uit te voeren vanuit uw toepassingen. De software is beschikbaar in de Thales-klantenondersteuningsportal. Klanten die de Dedicated HSM-service gebruiken, moeten worden geregistreerd voor Thales-ondersteuning en beschikken over een klant-id die toegang tot en download van relevante software mogelijk maakt.

Ja, u moet peering van virtuele netwerken binnen een regio gebruiken om connectiviteit tussen virtuele netwerken tot stand te brengen. Voor connectiviteit tussen regio's moet u VPN Gateway gebruiken.

Ja, u kunt on-premises HSM's synchroniseren met toegewezen HSM. Punt-naar-punt-VPN of punt-naar-site-connectiviteit kan worden gebruikt om verbinding te maken met uw on-premises netwerk.

Nee Toegewezen HSM's van Azure zijn alleen toegankelijk vanuit uw virtuele netwerk.

Ja, als u on-premises Thales Luna 7 HSM's hebt. Er zijn meerdere methoden. Raadpleeg de Thales HSM-documentatie.

• Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
• Virtueel: VMware, Hyper-V, Xen, KVM

Als u hoge beschikbaarheid wilt hebben, moet u de configuratie van uw HSM-clienttoepassing instellen voor het gebruik van partities van elke HSM. Raadpleeg de documentatie van de Thales HSM-clientsoftware.

Azure Dedicated HSM maakt gebruik van Thales Luna 7 HSM-model A790-apparaten en ze ondersteunen verificatie op basis van wachtwoorden.

PKCS#11, Java (JCA/JCE), Microsoft CAPI en CNG, OpenSSL

Ja. Neem contact op met uw Thales-vertegenwoordiger voor de juiste Thales-migratiehandleiding.

Nee De Azure Dedicated HSM-service biedt geen ondersteuning voor functionaliteitsmodules.

Azure Dedicated HSM is de juiste keuze voor ondernemingen die migreren naar on-premises Azure-toepassingen die gebruikmaken van HSM's. Toegewezen HSM's bieden een optie voor het migreren van een toepassing met minimale wijzigingen. Als cryptografische bewerkingen worden uitgevoerd in de code van de toepassing die wordt uitgevoerd in een Azure-VM of web-app, kunnen ze toegewezen HSM gebruiken. Over het algemeen kunnen verkleinde software die wordt uitgevoerd in IaaS-modellen (infrastructuur als een service) die HSM's ondersteunen als sleutelarchief gebruikmaken van Toegewezen HSM, zoals Traffic Manager voor sleutelloze TLS, ADCS (Active Directory Certificate Services) of vergelijkbare PKI-hulpprogramma's, hulpprogramma's/toepassingen die worden gebruikt voor documentondertekening, codeondertekening of een SQL Server (IaaS) die is geconfigureerd met TDE (transparante databaseversleuteling) met primaire sleutel in een HSM met behulp van een EKM -provider (uitbreidbaar sleutelbeheer). Azure Key Vault is geschikt voor 'born-in-cloud'-toepassingen of voor versleuteling-at-rest-scenario's waarbij klantgegevens worden verwerkt door PaaS (platform as a service) of SaaS-scenario's (Software as a Service), zoals Office 365-klantsleutel, Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store-versleuteling met door de klant beheerde sleutel, Azure Storage-versleuteling met door de klant beheerde sleutel, en Azure SQL met door de klant beheerde sleutel.

Azure Dedicated HSM is het meest geschikt voor migratiescenario's waarin u on-premises toepassingen migreert naar Azure die al gebruikmaken van HSM's, met een lage wrijvingsmethode voor migratie naar Azure met minimale wijzigingen in de toepassing. Als cryptografische bewerkingen worden uitgevoerd in de code van de toepassing die wordt uitgevoerd in Azure VM of web-app, kan toegewezen HSM worden gebruikt. Over het algemeen kunnen verkleinde software die wordt uitgevoerd in IaaS-modellen (infrastructuur als een service) die HSM's ondersteunen als sleutelarchief gebruikmaken van Toegewezen HSM, zoals:

• Traffic Manager voor sleutelloze TLS
• ADCS (Active Directory Certificate Services)
• Vergelijkbare PKI-hulpprogramma's
• Hulpprogramma's/toepassingen die worden gebruikt voor documentondertekening
• Ondertekening van code
• SQL Server (IaaS) geconfigureerd met TDE (transparante databaseversleuteling) met primaire sleutel in een HSM met behulp van een EKM-provider (extensible key management)

Nee Toegewezen HSM wordt rechtstreeks ingericht in de privé-IP-adresruimte van een klant, zodat deze niet toegankelijk is voor andere Azure- of Microsoft-services.

Ja. Elk HSM-apparaat is volledig toegewezen aan één klant en niemand anders heeft beheerbeheer nadat het is ingericht en het beheerderswachtwoord is gewijzigd.

Microsoft heeft geen beheer- of cryptografische controle over de HSM. Microsoft heeft toegang op niveau bewaken via een seriële poortverbinding om basistelemetrie op te halen, zoals temperatuur- en onderdeelstatus, zodat Microsoft proactieve meldingen kan geven van statusproblemen. Indien nodig kan de klant dit account uitschakelen.

Het HSM-apparaat wordt geleverd met een standaardgebruiker van de beheerder met het gebruikelijke standaardwachtwoord. Microsoft wilde geen standaardwachtwoorden gebruiken terwijl een apparaat zich in een pool bevindt die wacht op inrichting door klanten. Dit zou niet voldoen aan onze strenge beveiligingsvereisten. Daarom stellen we een sterk wachtwoord in, dat tijdens het inrichten wordt genegeerd. Tijdens het inrichten maken we ook een nieuwe gebruiker in de beheerdersrol met de naam 'tenantbeheerder'. De gebruiker tenantbeheerder heeft het standaardwachtwoord, dat klanten als eerste actie wijzigen wanneer ze zich voor het eerst aanmelden bij het zojuist ingerichte apparaat. Dit proces zorgt voor hoge mate van veiligheid en behoudt onze belofte van enige administratieve controle voor onze klanten. U moet er rekening mee houden dat de gebruiker 'tenantbeheerder' kan worden gebruikt om het gebruikerswachtwoord van de beheerder opnieuw in te stellen als een klant dat account liever gebruikt.

Nee Microsoft heeft geen toegang tot de sleutels die zijn opgeslagen in de toegewezen Toegewezen HSM van de klant.

Nee Azure Dedicated HSM is een baremetal HSM voor leaseservice. Onze service slaat geen klantgegevens op. Alle belangrijke materialen en gegevens worden opgeslagen in het HSM-apparaat van de klant. Elk HSM-apparaat is volledig toegewezen aan één klant, waarvoor ze volledig beheer hebben.

De klant heeft volledig beheer, waaronder het upgraden van software/firmware als specifieke functies vereist zijn uit verschillende firmwareversies. Voordat u wijzigingen aanbrengt, raadpleegt u de Thales-ondersteuning voor uw scenario voor het upgraden van software/firmware.

U kunt toegewezen HSM's beheren door ze te openen met behulp van SSH.

De Thales HSM-clientsoftware wordt gebruikt voor het beheren van de HSM's en partities.

Een klant heeft volledige toegang tot HSM-activiteitenlogboeken via syslog en SNMP. Een klant moet een syslog-server of SNMP-server instellen om de logboeken of gebeurtenissen van de HSM's te ontvangen.

Ja. U kunt logboeken vanaf het HSM-apparaat verzenden naar een syslog-server

Ja. Configuratie en installatie van hoge beschikbaarheid worden uitgevoerd in de HSM-clientsoftware van Thales. HSM's van hetzelfde virtuele netwerk of andere VNET's in dezelfde regio of tussen regio's, of on-premises HSM's die zijn verbonden met een virtueel netwerk met behulp van site-naar-site of punt-naar-punt-VPN kunnen worden toegevoegd aan dezelfde configuratie voor hoge beschikbaarheid. Er moet worden opgemerkt dat hiermee alleen sleutelmateriaal wordt gesynchroniseerd en niet specifieke configuratie-items zoals rollen.

Ja. Ze moeten voldoen aan de vereisten voor hoge beschikbaarheid voor Thales Luna 7 HSM's

Nee

Zestien leden van een HA-groep hebben onderbroken, volledige vertragingstests met uitstekende resultaten.

Er is geen specifieke uptime-garantie beschikbaar voor de Toegewezen HSM-service. Microsoft zorgt ervoor dat toegang op netwerkniveau tot het apparaat wordt gegarandeerd en daarom zijn standaard-SLA's voor Azure-netwerken van toepassing.

Azure-datacenters hebben uitgebreide fysieke en procedurele beveiligingscontroles. Daarnaast worden toegewezen HSM's gehost in een verder beperkt toegangsgebied van het datacenter. Deze gebieden hebben meer fysieke toegangscontroles en videocamerabewaking voor extra beveiliging.

Toegewezen HSM-service maakt gebruik van Thales Luna 7 HSM-apparaten . Deze apparaten ondersteunen fysieke en logische manipulatiedetectie. Als er ooit een manipulatiegebeurtenis is, worden de HSM's automatisch nul gemaakt.

Het wordt ten zeerste aanbevolen om een on-premises HSM-back-upapparaat te gebruiken om regelmatig periodieke back-ups van de HSM's uit te voeren voor herstel na noodgevallen. U moet een peer-to-peer- of site-naar-site-VPN-verbinding gebruiken met een on-premises werkstation dat is verbonden met een HSM-back-upapparaat.

Ondersteuning wordt geboden door Zowel Microsoft als Thales. Als u een probleem hebt met de hardware- of netwerktoegang, dient u een ondersteuningsaanvraag in bij Microsoft en als u een probleem hebt met HSM-configuratie, software en toepassingsontwikkeling, dient u een ondersteuningsaanvraag in bij Thales. Als u een niet-bepaald probleem hebt, dient u een ondersteuningsaanvraag in bij Microsoft en kan Thales naar behoefte worden ingeschakeld.

Nadat u zich hebt geregistreerd voor de service, ontvangt u een Thales-klant-id die registratie toestaat in de Thales-klantondersteuningsportal, waardoor toegang tot alle software en documentatie en ondersteuningsaanvragen rechtstreeks bij Thales mogelijk zijn.

Microsoft heeft niet de mogelijkheid om verbinding te maken met HSM's die zijn toegewezen aan klanten. Klanten moeten hun HSM's upgraden en patchen.

De HSM heeft een opdrachtregeloptie voor opnieuw opstarten. Er zijn echter problemen waarbij het opnieuw opstarten af en toe niet meer reageert. Daarom wordt het aanbevolen voor het veiligste opnieuw opstarten dat u een ondersteuningsaanvraag indient bij Microsoft om het apparaat fysiek opnieuw op te starten.

Ja, Toegewezen HSM richt Thales Luna 7 HSM's in die zijn gevalideerd met FIPS 140-2 Level-3 .

Toegewezen HSM-service richt Thales Luna 7 HSM-apparaten in. Ze ondersteunen een breed scala aan cryptografische sleuteltypen en -algoritmen, waaronder: Full Suite B-ondersteuning

• Asymmetrisch:
  • RSA
  • DSA
  • Diffie-Hellman
  • Elliptische curve
  • Cryptografie (ECDSA, ECDH, Ed25519, ECIES) met benoemde, door de gebruiker gedefinieerde en Brainpool-curven, KCDSA
• Symmetrisch:
  • AES-GCM
  • Driedubbele DES
  • DES
  • ARIA, SEED
  • RC2
  • RC4
  • RC5
  • CAST
  • Hash/Message Digest/HMAC: SHA-1, SHA-2, SM3
  • Key Derivation: SP 800-108 Counter Mode
  • Sleutelterugloop: SP 800-38F
  • Generatie willekeurig nummer: FIPS 140-2 goedgekeurde DRBG (SP 800-90 CTR-modus), voldoen aan BSI DRG.4

Ja. Toegewezen HSM-service richt Thales Luna 7 HSM-model A790-apparaten in die zijn gevalideerd met FIPS 140-2 Level-3 .

De Dedicated HSM-service richt Thales Luna 7 HSM-apparaten in. Deze apparaten zijn met FIPS 140-2 Level 3 gevalideerde HSM's. De standaard geïmplementeerde configuratie, het besturingssysteem en de firmware worden ook gevalideerd met FIPS. U hoeft geen actie te ondernemen voor FIPS 140-2 Niveau 3-naleving.

Voordat de inrichting ongedaan wordt gemaakt, moet een klant de HSM hebben genuliseerd met behulp van Thales geleverde HSM-clienthulpprogramma's.

Toegewezen HSM richt Thales Luna 7 HSM's in. Hier volgt een samenvatting van de maximale prestaties voor sommige bewerkingen:

• RSA-2048: 10.000 transacties per seconde
• ECC P256: 20.000 transacties per seconde
• AES-GCM: 17.000 transacties per seconde

Het Thales Luna 7 HSM-model A790 dat wordt gebruikt, bevat een licentie voor 10 partities in de kosten van de service. Het apparaat heeft een limiet van 100 partities en het toevoegen van partities tot deze limiet kost extra licentiekosten en vereist installatie van een nieuw licentiebestand op het apparaat.

Het maximum aantal sleutels is een functie van het beschikbare geheugen. Het Thales Luna 7-model A790 in gebruik heeft 32 MB geheugen. De volgende getallen zijn ook van toepassing op sleutelparen als u asymmetrische sleutels gebruikt.

• RSA-2048 - 19.000
• ECC-P256 - 91.000

De capaciteit is afhankelijk van specifieke sleutelkenmerken die zijn ingesteld in de sjabloon voor het genereren van sleutels en het aantal partities.