Вопросы и ответы

Аппаратный модуль безопасности (HSM) — это физическое вычислительное устройство, используемое для защиты криптографических ключей и управления ими. Ключи, хранящиеся в HSM, можно использовать для криптографических операций. Данные ключей надежно хранятся в опломбированных аппаратных модулях, защищенных от незаконного изменения. HSM позволяет использовать ключи только прошедшим проверку подлинности и авторизованным приложениям. Данные ключа никогда не покидают защищенное хранилище HSM.

Служба выделенных устройств HSM Azure — это облачное решение, которое обеспечивает доступ к устройствам HSM, размещенным в центрах обработки данных Azure и подключенным непосредственно к виртуальной сети клиента. Эти HSM-модули представляют собой выделенные сетевые устройства Thales Luna 7 HSM. Они развертываются непосредственно в частном IP-пространстве клиентов, и корпорация Майкрософт не имеет доступа к криптографическим функциям HSM. Только у клиента есть полный административный и криптографический контроль над этими устройствами. Клиенты несут ответственность за управление устройством и могут получать полные журналы действий непосредственно со своих устройств. Выделенные устройства HSM помогут клиентам обеспечить соответствие всем требованиям и нормативам (FIPS 140-2 уровня 3, HIPAA, PCI-DSS, eIDAS и многим другим).

Клиенты должны иметь назначенного диспетчера учетных записей Майкрософт и соответствовать денежному требованию в размере 5 миллионов долларов США (5 млн долларов США) или больше в целом в общей зафиксированной выручке Azure ежегодно, чтобы претендовать на подключение и использование выделенного HSM Azure.

Корпорация Майкрософт сотрудничает с Thales для доставки выделенной службы HSM Azure. Если более конкретно, используется HSM-модуль Thales Luna 7 HSM, модель A790. Это устройство не только оснащено встроенным ПО, соответствующим требованиям FIPS 140-2 уровня 3, но и обеспечивает низкую задержку, высокую производительность и высокую мощность за счет своей конструкции, состоящей из 10 разделов.

Устройства HSM используются для хранения криптографических ключей, которые позволяют обеспечить такие криптографические функции, как протокол SSL, шифрование данных, PKI (инфраструктура открытых ключей), DRM (управление цифровыми правами) и подписание документов.

Клиенты могут подготавливать к работе устройства HSM в определенных регионах с помощью PowerShell или интерфейса командной строки. Клиент указывает, к какой виртуальной сети подключены виртуальные машины HSM и после подготовки виртуальных машин доступны в указанной подсети по назначенным IP-адресам в частном IP-пространстве клиента. После этого клиенты смогут подключаться к устройствам HSM с помощью SSH для администрирования устройств и управления ими, для настройки клиентских подключений к HSM, инициализации HSM, создания разделов, определения и назначения ролей, таких как администратор разделов, администратор шифрования и пользователь шифрования. Затем клиент использует Thales, предоставленный клиентскими средствами HSM, пакетом SDK или программным обеспечением для выполнения криптографических операций из своих приложений.

Компания Thales предоставляет все программное обеспечение для HSM-модуля сразу после его поставки корпорацией Майкрософт. Программное обеспечение доступно на портале поддержки пользователей Thales. Для получения поддержки от Thales клиенты, использующие службу выделенных устройств HSM, должны зарегистрироваться и получить идентификатор клиента, позволяющий найти и скачать соответствующее ПО. Поддерживаемое клиентское ПО относится к версии 7.2, которая совместима со встроенным ПО версии 7.0.3 в рамках FIPS 140-2 Уровень 3.

При использовании выделенной службы HSM в следующих элементах взимается дополнительная плата.

• Использование выделенного локального устройства резервного копирования возможно для использования с выделенной службой HSM, но требует дополнительных затрат и должно быть непосредственно источником из Thales.
• Выделенный HSM-модуль предоставляется с лицензией на 10 разделов. Клиент может запрашивать дополнительные секции и платить за дополнительные лицензии непосредственно из Thales.
• Для выделенного устройства HSM требуется сетевая инфраструктура (виртуальная сеть, VPN-шлюз и т. д.) и ресурсы, такие как виртуальные машины для настройки устройства. Эти ресурсы несут дополнительные затраты и не включаются в цены на выделенные службы HSM.

№ Выделенный HSM Azure предоставляет только HSM с проверкой подлинности на основе паролей.

№ Выделенная служба HSM Azure не поддерживает модули функциональности.

Через службу выделенных устройств HSM, корпорация Майкрософт предлагает только Thales Luna 7 HSM модели A790 и не может размещать никаких пользовательских устройств.

Служба выделенных устройств HSM Azure использует устройства Thales Luna 7 HSM. Эти устройства не поддерживают функции оплаты непосредственно HSM (такие как PIN-код или ETF) или сертификации. Если вы хотите, чтобы служба выделенных устройств HSM Azure поддерживала оплату HSM в будущем, передайте ваш отзыв представителю Майкрософт, который предоставил вам учетную запись.

По состоянию на октябрь 2022 года выделенный модуль HSM доступен в 22 регионах. Планируется пополнение этого списка другими регионами, его можно обсудить через представителя Майкрософт, который предоставил вам учетную запись.

• Восточная часть США
• Восточная часть США 2
• Западная часть США
• Западная часть США 2
• Восточная Канада
• Центральная Канада
• Центрально-южная часть США
• Юго-Восточная Азия
• Центральная Индия
• Южная Индия
• Восточная Япония
• Западная Япония
• Северная Европа
• Западная Европа
• южная часть Соединенного Королевства
• западная часть Соединенного Королевства
• Восточная Австралия
• Юго-Восточная часть Австралии
• Северная Швейцария
• Западная Швейцария
• US Gov (Вирджиния)
• US Gov (Техас)

Для выполнения криптографических операций из своих приложений вы используете программное обеспечение/пакет SDK/клиентские средства HSM, которые предоставляются компанией Thales. Программное обеспечение доступно на портале поддержки пользователей Thales. Для получения поддержки от Thales клиенты, использующие службу выделенных устройств HSM, должны зарегистрироваться и получить идентификатор клиента, позволяющий найти и скачать соответствующее ПО.

Да, необходимо использовать пиринг между виртуальными сетями в регионе, чтобы установить подключение между виртуальными сетями. Для межрегионального подключения следует использовать VPN-шлюз.

Да. Локальные модули HSM можно синхронизировать со службой выделенных устройств HSM. VPN-подключение типа "точка — точка" или "точка — сеть" можно использовать для соединения с локальной сетью.

№ Выделенные устройства HSM Azure доступны только изнутри виртуальной сети.

Да, если вы располагаете локальными HSM-модулями Thales Luna 7 HSM. Это можно сделать несколькими способами. См. Документация по HSM-модулям Thales.

• Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
• Виртуальные машины: VMware, hyperv, Xen, KVM

Чтобы обеспечить высокий уровень доступности, необходимо настроить конфигурацию клиентских приложений HSM на использование разделов с каждого устройства HSM. Обратитесь к документации по клиентскому программному обеспечению HSM-модулей Thales.

Служба выделенных устройств HSM использует устройства Thales Luna 7 HSM, модель A790 и поддерживает проверку подлинности на основе паролей.

PKCS#11, Java (JCA/JCE), Microsoft CAPI и CNG, OpenSSL

Да. Для того чтобы получить соответствующее руководство Thales по миграции, обратитесь к представителю компании Thales.

№ Выделенная служба HSM Azure не поддерживает модули функциональности.

Служба выделенных устройств HSM Azure — подходящий вариант для предприятий, переходящих на локальные приложения Azure, которые используют устройства HSM. Выделенные устройства HSM позволяют перенести приложение с минимальными изменениями. Если криптографические операции выполняются в коде приложения, выполняющемся в веб-приложении или на виртуальной машине Azure, то можно использовать выделенное устройство HSM. Как правило, программное обеспечение с сжатием, работающее в моделях IaaS (инфраструктура как услуга), которые поддерживают HSM в качестве хранилища ключей, могут использовать HSM с помощью дедиката HSM. например, диспетчер трафика для бессерверных TLS, ADCS (службы сертификатов Active Directory) или аналогичных средств PKI, инструментов и приложений, используемых для подписи документов, подписывания кода или SQL Server (IaaS), настроенных с помощью TDE (прозрачное шифрование базы данных) с первичным ключом в HSM с помощью поставщика EKM (расширяемое управление ключами). Azure Key Vault подходит для приложений, изначально созданных в облаке, или для сценариев шифрования хранимых данных клиентов, которые обрабатываются решениями PaaS (платформа как услуга) или SaaS (программное обеспечение как услуга), например при помощи ключа клиента в Office 365, Azure Information Protection, шифрования дисков Azure, шифрования Azure Data Lake Store с ключом под управлением клиента, шифрования службы хранилища Azure с ключом под управлением клиента и Azure SQL с ключом под управлением клиента.

Выделенный модуль HSM Azure наиболее подходит для сценариев миграции, в которых вы переносите локальные приложения в Azure, которые уже используют HSM, предоставляя метод низкой трения для миграции в Azure с минимальными изменениями в приложении. Если криптографические операции выполняются в коде приложения, работающем в веб-приложении или на виртуальной машине Azure, то можно использовать выделенное устройство HSM. Как правило, сжатое программное обеспечение, работающее в моделях IaaS (инфраструктура как услуга), поддерживающих HSM в качестве хранилища ключей, может использовать HSM, например:

• Диспетчер трафика для протокола TLS без ключей
• ADCS (службы сертификатов Active Directory);
• подобные средства PKI;
• инструменты и приложения, используемые для подписания документов;
• подписывание кода;
• SQL Server (IaaS), настроенный с помощью TDE (прозрачное шифрование базы данных) с первичным ключом в HSM с помощью поставщика EKM (расширяемое управление ключами)

№ Выделенное устройство HSM подготавливается непосредственно в частном пространстве IP-адреса клиента, поэтому оно недоступно из других служб Azure или Майкрософт.

Да. Каждое устройство HSM полностью выделяется для одного клиента. Ни у кого больше нет административного контроля после подготовки и изменения пароля администратора.

Корпорация Майкрософт не располагает правами административного или криптографического контроля над устройством HSM. Корпорация Майкрософт имеет доступ на уровне мониторинга через последовательный порт для получения базовых данных телеметрии, таких как температура и работоспособность компонентов, чтобы корпорация Майкрософт предоставила упреждающее уведомление о проблемах работоспособности. При необходимости эту опцию клиент может отключить.

Устройство HSM поставляется по умолчанию с правами "администратор", предоставляемыми пользователю и, по умолчанию, с обычным паролем. Корпорация Майкрософт не хотела использовать пароли по умолчанию, пока любое устройство находится в пуле, ожидая подготовки клиентами. Это не соответствует нашим требованиям к безопасности. По этой причине мы устанавливаем надежный пароль, который на время подготовки сбрасывается. Кроме того, во время подготовки мы создадим нового пользователя в роли администратора с именем "администратор клиента". Пользователь "администратор клиента" имеет пароль по умолчанию, который клиенты изменяются в качестве первого действия при первом входе на только что подготовленное устройство. Данный процесс обеспечивает высокий уровень безопасности и поддерживает наше обещание исключительных прав на административный контроль для наших клиентов. Следует отметить, что вход пользователя под правами "администратор клиента" можно использовать для переустановки пароля администратора, если пользователь предпочитает в дальнейшем пользоваться данной учетной записью.

№ У корпорации Майкрософт нет доступа к ключам, хранящимся на выделенном устройстве HSM пользователя.

№ Выделенный HSM Azure — это единый HSM для обслуживания аренды. Наша служба не хранит данные клиентов. Все ключевые материалы и данные хранятся в устройстве HSM клиентов. Каждое устройство HSM полностью посвящено одному клиенту, для которого они имеют полный административный контроль.

Клиент имеет полный административный контроль, включающий возможность обновления программного обеспечения, на тот случай если потребуются определенные функции из других версий ПО. Прежде чем вносить изменения, обратитесь в службу поддержки Thales по поводу сценария обновления программного обеспечения или встроенного ПО.

Вы можете управлять выделенными устройствами HSM, получая к ним доступ по протоколу SSH.

Для управления устройствами HSM и разделами используется клиентское программное обеспечение HSM Thales.

У клиента есть полный доступ к журналам действий HSM через системный журнал и SNMP. Клиент должен настроить сервер системного журнала или сервер SNMP для получения журналов или событий от HSM.

Да. Вы можете отправлять журналы с устройства HSM на сервер системных журналов

Да. Настройка высокого уровня доступности выполняется в клиентском программном обеспечении HSM, предоставляемом компанией Thales. Виртуальные машины HSM из одной виртуальной сети или других виртуальных сетей в одном регионе или в разных регионах или локальных HSM, подключенных к виртуальной сети с помощью VPN типа "сеть — сеть" или "точка — точка", можно добавить в ту же конфигурацию высокой доступности. Следует отметить, что это синхронизирует только материал ключа, а не конкретные элементы конфигурации, например такие как роли.

Да. Они должны соответствовать требованиям высокого уровня доступности для Thales Luna 7 HSM

№

Шестнадцать членов группы высокого уровня доступности недоумели, полного регулирования тестирования с отличными результатами.

Для выделенной службы HSM не предусмотрена специальная гарантия бесперебойной работы. Корпорация Майкрософт обеспечивает доступ к устройству на уровне сети и, следовательно, применяет стандартные соглашения об уровне обслуживания сети Azure.

Центры обработки данных Azure включают функциональные физические и процедурные средства управления. Кроме того, выделенные устройства HSM размещаются в специальной области с ограниченным доступом в центре обработки данных. Эти области имеют более физические средства управления доступом и видеонаблюдение для дополнительной безопасности.

Выделенная служба HSM использует устройства HSM Thales Luna 7 HSM. Эти устройства поддерживают функцию обнаружения физического и логического незаконных вмешательств. Если когда-либо возникает событие изменения, модули HSM автоматически обнуляются.

Настоятельно рекомендуем использовать локальное устройство резервного копирования HSM, чтобы выполнять регулярное резервное копирование устройств HSM для аварийного восстановления. Необходимо использовать одноранговое или одноранговое VPN-подключение типа "сеть — сеть" к локальной рабочей станции, подключенной к устройству резервного копирования HSM.

Поддержка предоставляется как в Microsoft, так и в Thales. Если у вас возникли проблемы с оборудованием или сетевым доступом, отправьте запрос в службу поддержки корпорации Майкрософт и при возникновении проблем с конфигурацией HSM, программным обеспечением и разработкой приложений создайте запрос в службу поддержки с помощью Thales. Если у вас возникла неопределенная ошибка, отправьте запрос в службу поддержки корпорации Майкрософт, а затем он будет передан, как требуется в Thales.

После регистрации службы вы получите идентификатор клиента Thales, который позволяет зарегистрировать на портале поддержки клиентов Thales, предоставляя доступ ко всем программному обеспечению и документации, а также запросы на поддержку напрямую с Thales.

Корпорация Майкрософт не может подключаться к устройствам HSM, выделенным для клиентов. Клиенты должны самостоятельно обновлять и исправлять свои устройства HSM.

Модуль HSM имеет параметр перезагрузки из командной строки, однако возникают проблемы, когда перезагрузка периодически перестает отвечать, и по этой причине рекомендуется обеспечить надежную перезагрузку, которая вызывает запрос в службу поддержки Майкрософт, чтобы устройство было перезагружено физически.

Да, выделенное устройство Thales Luna 7 HSM прошло проверку согласно FIPS 140-2 Уровень 3.

Выделенная служба HSM подготавливает устройства HSM Thales Luna 7 HSM. Они поддерживают широкий ассортимент типов криптографических ключей и алгоритмов, включая полную поддержку Suite B.

• Асимметричный:
  • RSA
  • DSA
  • алгоритм Диффи-Хелмана;
  • эллиптическая кривая;
  • криптография (ECDSA, ECDH, Ed25519, ECIES) с именованными и пользовательскими кривыми, Brainpool, KCDSA.
• Симметричный:
  • AES-GCM;
  • Triple DES
  • DES
  • ARIA, SEED;
  • RC2
  • RC4;
  • RC5;
  • CAST
  • Хэш или HMAC: SHA-1, SHA-2, SM3
  • Формирование ключа: режим счетчика SP 800-108
  • Упаковка ключа: SP 800-38F
  • Генерация случайных чисел: DRBG согласно FIPS 140-2 (режим SP 800-90 CTR), соответствие требованиям BSI DRG.4

Да. Выделенная служба HSM подготавливает устройства Thales Luna 7 HSM, модель A790, которые прошли проверку по стандарту FIPS 140-2 Уровень 3.

Выделенная служба HSM подготавливает устройства Thales Luna 7 HSM. Эти устройства отвечают стандартам FIPS 140-2 Уровень 3. Стандартная развертываемая конфигурация, операционная система и встроенное ПО также соответствуют требованиям FIPS. Вам не нужно предпринимать никаких действий, чтобы обеспечить соответствие требованиям FIPS 140-2 уровня 3.

Прежде чем запрашивать отзыв, клиент должен обнулить устройство HSM с помощью предоставленных компанией Thales клиентских средств HSM.

Выделенная служба HSM подготавливает устройства Thales Luna 7 HSM. Ниже представлена сводка по максимальной производительности для некоторых операций.

• RSA-2048: 10 000 транзакций в секунду
• ECC P256: 20 000 транзакций в секунду
• AES-GCM: 17 000 транзакций в секунду

Используемый HSM-модуль Thales Luna 7 модель A790 включает в себя лицензию на 10 разделов, цена которой входит в стоимость службы. Устройство имеет ограничение в 100 разделов, и добавление разделов, до этого ограничения, приведет к дополнительным затратам на лицензирование и потребует установки нового файла лицензии на устройстве.

Максимальное число ключей на прямую зависит от доступной памяти. В используемой модели A790 Thales Luna 32 МБ памяти. Если используются ассиметричные ключи, данные числа применяются к парам ключей.

• RSA-2048 — 19 000
• ECC-P256 — 91 000

Емкость зависит от определенных ключевых атрибутов, заданных в шаблоне создания ключей и количестве секций.