Häufig gestellte Fragen zu Azure Cloud HSM

Microsoft Azure Cloud HSM ist ein Dienst, der sicheren Speicher für kryptografische Schlüssel mithilfe von Hardwaresicherheitsmodulen (HSMs) bereitstellt, die den FIPS 140-3-Sicherheitsstandard der Ebene 3 erfüllen. Es handelt sich um einen vom Kunden verwalteten, einzelinstanzenfähigen, hochverwendigen Dienst, der den Branchenstandards entspricht.

Azure Cloud HSM unterstützt verschiedene Anwendungen, einschließlich PKCS#11, Offloading von Secure Sockets Layer (SSL) oder TLS-Verarbeitung (Transport Layer Security), Zertifizierungsstelle (CA) private Schlüsselschutz und transparente Datenverschlüsselung (TDE). Sie unterstützt auch die Dokument- und Codesignatur.

Azure Cloud HSM bietet hohe Verfügbarkeit und Redundanz, indem mehrere HSMs in einem Cluster gruppiert und automatisch über drei HSM-Instanzen synchronisiert werden. Der HSM-Cluster unterstützt den Lastenausgleich von kryptografischen Vorgängen. Regelmäßige HSM-Sicherungen sorgen für eine sichere und einfache Datenwiederherstellung. Weitere Informationen finden Sie unter Was ist Azure Cloud HSM?.

Ein Hardwaresicherheitsmodul (Hardware Security Module, HSM) ist ein physisches Computergerät, das zum Schutz und Verwalten kryptografischer Schlüssel entwickelt wurde. Innerhalb von HSMs werden Schlüssel sicher gespeichert und für kryptografische Vorgänge verwendet. Manipulationssichere und manipulationssichere Hardwaremodule tragen dazu bei, die Vertraulichkeit und Integrität dieser Schlüssel sicherzustellen. Der Zugriff auf die Schlüssel ist auf authentifizierte und autorisierte Anwendungen beschränkt, sodass das Schlüsselmaterial immer innerhalb der geschützten Grenze des HSM verbleibt. Weitere Informationen finden Sie unter Sichern Ihrer Azure Cloud HSM-Bereitstellung.

Azure Cloud HSM verwendet Marvell LiquidSecurity-Hardwaresicherheitsmodule. Weitere Informationen zu Dienstspezifikationen finden Sie unter Azure Cloud HSM-Dienstbeschränkungen.

Microsoft stellt alle Software und Tools für Azure Cloud HSM über das SDK bereit. Sie können das Azure Cloud HSM SDK von GitHub herunterladen. Weitere Informationen zu Integrationsoptionen finden Sie in den Azure Cloud HSM-Integrationshandbüchern.

Nein, Microsoft überwacht die Firmware auf der Hardware. Ein Drittanbieter (der HSM-Hersteller) verwaltet die Hardware. NIST wertet die Firmware aus und muss sie signieren, um die Einhaltung der FIPS 140-3 Level 3-Standards sicherzustellen. Weitere Informationen zur Hardwareverwaltung finden Sie unter Was ist Azure Cloud HSM?.

Azure bietet mehrere Lösungen für die Speicherung und Verwaltung kryptografischer Schlüssel in der Cloud: Azure Key Vault (Standard- und Premiumangebote), Azure Managed HSM, Azure Cloud HSM und Azure Payment HSM. Es kann für Kunden überwältigend sein, zu entscheiden, welche Lösung für sie am besten geeignet ist. Ein Flussdiagramm, das auf allgemeinen allgemeinen Anforderungen und schlüsselbasierten Verwaltungsszenarien basiert, ist verfügbar, damit Kunden diese Entscheidung treffen können. Erfahren Sie , wie Sie die richtige Schlüsselverwaltungslösung auswählen.

Azure Cloud HSM eignet sich am besten für Migrationsszenarien, wenn Sie lokale Anwendungen migrieren, die bereits HSMs zu Azure verwenden. Azure Cloud HSM bietet eine Option mit geringem Reibungsaufwand für die Migration zu Azure mit minimalen Änderungen an der Anwendung.

Wenn kryptografische Vorgänge im Code einer Anwendung ausgeführt werden, der auf einem virtuellen Azure-Computer oder einer Web-App ausgeführt wird, kann eine Organisation Cloud HSM verwenden. Im Allgemeinen können schrumpfende Software, die in Infrastruktur as a Service (IaaS)-Modellen ausgeführt wird, die HSMs als Schlüsselspeicher unterstützen, Cloud HSM verwenden. Diese Software umfasst:

• Active Directory-Zertifikatdienste (AD CS).
• SSL/TLS offloading für NGINX und Apache.
• Tools und Anwendungen, die für die Dokumentsignierung verwendet werden.
• Codesignatur.
• Java-Anwendungen, die einen JCE-Anbieter (Java Cryptography Extension) erfordern.
• Microsoft SQL Server TDE (IaaS) über extensible Key Management (EKM).
• Oracle TDE.

Weitere Informationen zur Implementierung dieser Szenarien finden Sie in den Azure Cloud HSM-Integrationshandbüchern.

Nein. Microsoft unterstützt "Bring your own HSM" nicht. Azure Cloud HSM kann keine vom Kunden bereitgestellten Geräte hosten. Weitere Informationen zur Dienstarchitektur finden Sie unter Was ist Azure Cloud HSM?.

Ja, aber es hängt von Ihrer Architektur und Konfiguration ab. Wenn Ihre dedizierte HSM-Bereitstellung in einer Ha-Gruppierung (High Availability, HA) konfiguriert ist, können Sie keine Schlüssel migrieren. Der Grund dafür ist, dass der Schlüsselexport deaktiviert ist, um das Klonen von Schlüsseln (HA-Gruppierung) zuzulassen, und das Ändern dieser Attribute ist ein destruktiver Prozess. Wenn Ihre dedizierte HSM-Bereitstellung in einer HA-Gruppierung konfiguriert ist, müssen Sie beim Migrieren zu Azure Cloud HSM neue Schlüssel erstellen. Weitere Informationen zur Schlüsselverwaltung finden Sie unter Schlüsselverwaltung in Azure Cloud HSM.

Nein, Azure Cloud HSM hat keine Geldpolitik. Das Onboarding von Azure Cloud HSM ist für alle Kunden offen. Weitere Informationen zu den ersten Schritten finden Sie im Leitfaden zum Azure Cloud HSM-Onboarding.

Für jeden Azure Cloud HSM-Cluster, der aus drei Knoten besteht, entstehen stündliche Gebühren. Nachdem Sie eine Cloud HSM-Ressource bereitgestellt haben, bleibt sie kontinuierlich aktiv (immer aktiviert). Die Abrechnung beginnt, wenn Sie eine Ressource bereitstellen, anstatt die HSM-Ressource zu initialisieren. Weitere Informationen zu Bereitstellungsoptionen finden Sie unter Bereitstellen von Azure Cloud HSM mithilfe von PowerShell oder Bereitstellen von Azure Cloud HSM mithilfe des Azure-Portals.

Azure Cloud HSM erfordert eine Netzwerkinfrastruktur, z. B. ein virtuelles Netzwerk und einen privaten Endpunkt. Außerdem sind Ressourcen wie virtuelle Computer für die Gerätekonfiguration erforderlich. Diese Ressourcen verursachen zusätzliche Kosten und sind nicht im Azure Cloud HSM-Dienstpreis enthalten. Weitere Informationen zu Netzwerkanforderungen finden Sie unter Netzwerksicherheit für Azure Cloud HSM.

Nein, eine kostenlose Stufe ist für Azure Cloud HSM nicht verfügbar. Weitere Informationen zu Serviceangeboten finden Sie unter Was ist Azure Cloud HSM?.

• Windows Server 2016, 2019 und 2022
• Linux (Ubuntu 20.04, Ubuntu 22.04, Ubuntu 24.04, RHEL 7, RHEL 8 und RHEL 9)
• CBL Mariner 2

Weitere Informationen zur Kompatibilität und Problembehandlung finden Sie unter "Problembehandlung bei Azure Cloud HSM".

Sie verwalten Ihre Dienstbereitstellung, indem Sie über Secure Shell (SSH) und das Azure Cloud HSM SDK von GitHub aus auf Ihren Azure Cloud HSM-Cluster zugreifen. Weitere Informationen zu Verwaltungsvorgängen finden Sie unter Benutzerverwaltung in Azure Cloud HSM.

Das Azure Cloud HSM SDK enthält Software und Tools zum Ausführen kryptografischer Vorgänge in Anwendungen. Azure Cloud HSM unterstützt verschiedene Schnittstellen, einschließlich PKCS#11, OpenSSL, JCE, Key Storage Provider (KSP) und Kryptografie-API: Next Generation (CNG). Die Palette der Tools im SDK ermöglicht eine nahtlose Interaktion mit Ihrem HSM.

Sie können das Azure Cloud HSM SDK von GitHub herunterladen. Weitere Informationen zu Konnektivitätsmethoden finden Sie unter Authentifizierung in Azure Cloud HSM.

Azure Cloud HSM unterstützt nur kennwortbasierte Authentifizierung. Die Authentifizierung über ein PIN-Eingabegerät (PED) wird nicht unterstützt. Weitere Informationen zu Authentifizierungsmethoden finden Sie unter Authentifizierung in Azure Cloud HSM.

Ja. Verwenden Sie virtuelles Netzwerk-Peering in einer Region, um verbindungen über virtuelle Netzwerke hinweg herzustellen. Verwenden Sie für die regionsübergreifende Konnektivität globale virtuelle Netzwerkpeering oder ein VPN-Gateway. Weitere Informationen zu Netzwerkkonfigurationen finden Sie unter Netzwerksicherheit für Azure Cloud HSM.

Nein. Obwohl Azure Cloud HSM nicht direkt mit lokalen HSMs interoperiert, können Sie exportierbare Schlüssel sicher zwischen Azure Cloud HSM und den meisten kommerziellen HSMs übertragen, indem Sie eine von mehreren unterstützten Schlüsselumbruchmethoden verwenden. Weitere Informationen zur Schlüsselverwaltung finden Sie unter Schlüsselverwaltung in Azure Cloud HSM.

Nein. Auf Azure Cloud HSM-Cluster kann nur innerhalb Ihres virtuellen Netzwerks zugegriffen werden. Weitere Informationen zu Dienstbeschränkungen finden Sie unter Was ist Azure Cloud HSM?.

Nein. Azure Cloud HSM wird direkt in Ihrem privaten IP-Adressraum bereitgestellt, sodass andere Azure- oder Microsoft-Dienste nicht darauf zugreifen können. Weitere Informationen zu Dienstfunktionen und -einschränkungen finden Sie unter Was ist Azure Cloud HSM?.

Ja. Es gibt mehrere Methoden zum Mitführen eines eigenen Schlüssels (BYOK) und mit lokalen HSMs, die den Schlüsselexport (Schlüsselumbruch) zulassen. Weitere Informationen zu wichtigen Importvorgängen finden Sie unter Schlüsselverwaltung in Azure Cloud HSM.

Nein. Der Azure Cloud HSM-Dienst unterstützt keine Funktionalitätsmodule. Weitere Informationen zu Dienstfunktionen finden Sie unter Azure Cloud HSM-Dienstbeschränkungen.

Nein. Sie können das Partitionsbesitzerzertifikat nach dem Hochladen nicht mehr ändern. Wenn Sie einen Fehler beim Hochladen haben PO.crt , müssen Sie Ihre Azure Cloud HSM-Ressource löschen und erneut bereitstellen.

Nein. Sie können eine Sicherung nicht in ihrer Azure Cloud HSM-Quellressource wiederherstellen, da sie sich in einem aktivierten Zustand befindet. Weitere Informationen zu Sicherungs- und Wiederherstellungsvorgängen finden Sie unter Sicherung und Wiederherstellung in Azure Cloud HSM.

Nein. Azure Cloud HSM unterstützt das Wiederherstellen einer Sicherung auf deren Quell-HSM oder einer bereits aktivierten Cloud HSM-Ressource nicht. Andernfalls schlägt der Wiederherstellungsvorgang fehl und legt die Ziel-Cloud HSM-Ressource in einen nicht funktionsfreien Zustand. Weitere Informationen zum Wiederherstellungsprozess finden Sie in den Richtlinien zur Wiederherstellung von Azure Cloud HSM.

Ja. Sie können eine Sicherung in einer anderen Azure Cloud HSM-Ressource in einer beliebigen Region wiederherstellen, wenn sich die Ziel-Cloud HSM-Ressource nicht in einem aktivierten Zustand befindet. Weitere Informationen zur regionsübergreifenden Wiederherstellung finden Sie unter Regionsübergreifende Wiederherstellung für Azure Cloud HSM.

Nein. Pro Azure Cloud HSM-Cluster ist nur eine verwaltete Identität zulässig. Weitere Informationen zur Identitäts- und Zugriffsverwaltung finden Sie unter Anwenden einer verwalteten Identität und Erstellen eines Speicherkontos.

Ja. Die erforderliche Rolle für die rollenbasierte Zugriffssteuerung (RBAC) ist "Storage Blob Data Contributor". Sie können die Quelle als schreibgeschützt einschränken, aber Sie benötigen Lese-/Schreibberechtigungen für das Ziel. Weitere Informationen zur Zugriffssteuerung finden Sie unter Anwenden einer verwalteten Identität und Erstellen eines Speicherkontos.

Nein. Mit Azure Cloud HSM haben Sie exklusiven administrativen Zugriff auf Ihr HSM als einzelner Mandant. Weitere Informationen zur Dienstarchitektur finden Sie unter Was ist Azure Cloud HSM?.

Nein. Microsoft hat keinen Zugriff auf die schlüssel, die in vom Kunden zugewiesenen HSMs gespeichert sind. Weitere Informationen zu Sicherheitskontrollen finden Sie unter Sichern Ihrer Azure Cloud HSM-Bereitstellung.

In der Architektur von Azure Cloud HSM sind die Trennung von Aufgaben und rollenbasierte Zugriffssteuerung grundlegende Prinzipien. Microsoft hat keine kryptografische Kontrolle über vom Kunden zugewiesene HSMs oder die Kontrolle über die Benutzer des HSM, außer über seine eigene eingeschränkte Rolle als Appliance-Benutzer.

Microsoft hat eingeschränkte Berechtigungen für das HSM. Diese Berechtigungen ermöglichen die Überwachung, Wartung von Integrität und Verfügbarkeit, verschlüsselte Sicherungen und Extraktion und Veröffentlichung unveränderlicher Überwachungsprotokolle an den angegebenen Speicher des Kunden. Diese Berechtigungen erlauben Microsoft nicht, Schlüssel im Besitz von Kryptografiebenutzern zu verwenden, um kryptografische Vorgänge auszuführen. Weitere Informationen zur Betriebsprotokollierung finden Sie unter Konfigurieren und Abfragen der Ereignisprotokollierung für Azure Cloud HSM.

Nein, Azure Cloud HSM speichert keine Kundendaten. Alle wichtigen Materialien und Daten sind im HSM des Kunden untergebracht. Jeder Azure Cloud HSM-Cluster wird ausschließlich für einen einzelnen Kunden bestimmt, der über administrative Kontrolle verfügt. Weitere Informationen zum Datenschutz finden Sie unter Sichern Ihrer Azure Cloud HSM-Bereitstellung.

Ja, Azure Cloud HSM bietet HSMs, die überprüft werden, um die FIPS 140-3 Level 3-Standards zu erfüllen. Verfahren zur Überprüfung der Echtheit Ihres HSM, einschließlich der Überprüfung der FIPS 140-3 Level 3-Zertifizierung von NIST, finden Sie im Onboarding-Handbuch. Weitere Informationen zur Compliance finden Sie unter Was ist Azure Cloud HSM?.

Ja. Azure Cloud HSM unterstützt die eIDAS-Compliance im rahmen des österreichischen Schemas, indem sichere Schlüsselverwaltung, kryptografische Vorgänge und FIPS 140-3 Validierte Hardware bereitgestellt werden, um strenge Anforderungen an qualifizierte elektronische Signaturen und Siegel zu erfüllen, um die Einhaltung gesetzlicher Vorschriften zu gewährleisten. Weitere Informationen finden Sie im QSCD-Zertifikat. Weitere Informationen zu Sicherheitsstandards finden Sie unter Sichern Ihrer Azure Cloud HSM-Bereitstellung.

Azure Cloud HSM umfasst sowohl physische als auch logische Manipulationserkennungs- und Reaktionsmechanismen, die die Schlüssellöschung (Nullisierung) der Hardware initiieren. Diese Maßnahmen sollen Manipulationen erkennen, wenn die physische Barriere kompromittiert wird.

Darüber hinaus werden HSMs vor Brute-Force-Anmeldeangriffen geschützt. Das System sperrt Kryptografie officer (COs) nach einer reihe von erfolglosen Zugriffsversuchen aus. Ebenso führen wiederholte erfolglose Versuche, auf ein HSM mit Kryptografiebenutzeranmeldeinformationen (CU) zuzugreifen, dazu, dass der Benutzer gesperrt wird. Ein CO muss dann das CU entsperren. Das Entsperren eines CO erfordert getChallenge und signiert die Herausforderung PO.key über OpenSSL, gefolgt von unlockCO und changePswd Befehlen. Weitere Informationen zu Sicherheitsfeatures finden Sie unter Sichern Ihrer Azure Cloud HSM-Bereitstellung.

Microsoft erleichtert alle Unterstützung für Azure Cloud HSM. Wenn Probleme im Zusammenhang mit Hardware, Software, HSM-Konfiguration oder Netzwerkzugriff auftreten, senden Sie eine Supportanfrage an Microsoft. Weitere Informationen zu häufig auftretenden Problemen und Lösungen finden Sie unter "Problembehandlung bei Azure Cloud HSM".

Azure-Rechenzentren verfügen über umfangreiche physische und verfahrenstechnische Sicherheitskontrollen. Darüber hinaus werden die HSMs in Azure Cloud HSM in einem eingeschränkten Zugriffsbereich des Rechenzentrums gehostet, mit physischen Zugriffssteuerungen und Videoüberwachung für zusätzliche Sicherheit. Weitere Informationen zur physischen Sicherheit finden Sie unter Sichern Ihrer Azure Cloud HSM-Bereitstellung.

Nein. Microsoft hat keinen Zugriff auf Ihre Schlüssel oder Anmeldeinformationen und kann Ihre Schlüssel nicht wiederherstellen, wenn Sie Ihre Anmeldeinformationen verlieren. Weitere Informationen zur Verwaltung von Anmeldeinformationen finden Sie unter "Benutzerverwaltung" in Azure Cloud HSM.

Nein, obwohl Microsoft möglicherweise Wartungen für erforderliche Upgrades oder fehlerhafte Hardware durchführen muss. Wir benachrichtigen Kunden im Voraus, wenn wir auswirkungen erwarten. Weitere Informationen zu betrieblichen Überlegungen finden Sie unter Sichern Ihrer Azure Cloud HSM-Bereitstellung.

Informationen zu Vereinbarungen auf Serviceebene finden Sie unter Service Level Agreements (SLAs) für Onlinedienste. Weitere Informationen zur Dienstzulässigkeit finden Sie unter Was ist Azure Cloud HSM?.