Preguntas más frecuentes sobre Azure Cloud HSM

Microsoft Azure Cloud HSM es un servicio que proporciona almacenamiento seguro para claves criptográficas mediante módulos de seguridad de hardware (HSM) que cumplen el estándar de seguridad FIPS 140-3 de nivel 3. Es un servicio de alta disponibilidad administrado por el cliente y administrado por el cliente que cumple con los estándares del sector.

Azure Cloud HSM admite varias aplicaciones, como PKCS#11, descarga de procesamiento de capa de sockets seguros (SSL) o procesamiento de seguridad de la capa de transporte (TLS), protección de claves privadas de entidad de certificación (CA) y cifrado de datos transparente (TDE). También admite la firma de documentos y código.

Azure Cloud HSM proporciona alta disponibilidad y redundancia mediante la agrupación de varios HSM en un clúster y la sincronización automática entre tres instancias de HSM. El clúster de HSM admite el equilibrio de carga de las operaciones criptográficas. Las copias de seguridad periódicas de HSM ayudan a garantizar una recuperación de datos segura y sencilla. Para más información, consulte ¿Qué es Azure Cloud HSM?.

Un módulo de seguridad de hardware (HSM) es un dispositivo informático físico diseñado para proteger y administrar claves criptográficas. En los HSM, las claves se almacenan de forma segura y se usan para las operaciones criptográficas. Los módulos de hardware resistentes a alteraciones y evidentes para alteraciones ayudan a garantizar la confidencialidad e integridad de esas claves. El acceso a las claves está restringido a las aplicaciones autenticadas y autorizadas, por lo que el material de clave siempre permanece dentro del límite protegido del HSM. Para más información, consulte Protección de la implementación de HSM en la nube de Azure.

Azure Cloud HSM usa módulos de seguridad de hardware Marvell LiquidSecurity. Para más información sobre las especificaciones de servicio, consulte Límites de servicio de Azure Cloud HSM.

Microsoft proporciona todo el software y las herramientas para Azure Cloud HSM a través de su SDK. Puede descargar el SDK de Azure Cloud HSM desde GitHub. Para más información sobre las opciones de integración, consulte Guías de integración de Azure Cloud HSM.

No, Microsoft supervisa el firmware en el hardware. Un tercero (fabricante del HSM) mantiene el hardware. NIST evalúa el firmware y debe firmarlo para garantizar el cumplimiento de los estándares FIPS 140-3 level 3. Para más información sobre la administración de hardware, consulte ¿Qué es Azure Cloud HSM?.

Azure ofrece varias soluciones para el almacenamiento y la administración de claves criptográficas en la nube: Azure Key Vault (ofertas estándar y premium), HSM administrado de Azure, Azure Cloud HSM y Azure Payment HSM. Puede ser abrumador para que los clientes decidan qué solución es la mejor para ellos. Un diagrama de flujo, basado en los requisitos generales comunes y los escenarios de administración clave, está disponible para ayudar a los clientes a tomar esta decisión. Consulte Cómo elegir la solución de administración de claves adecuada.

Azure Cloud HSM es más adecuado para escenarios de migración, al migrar aplicaciones locales que ya usan HSM a Azure. Azure Cloud HSM proporciona una opción de baja fricción para migrar a Azure con cambios mínimos en la aplicación.

Si las operaciones criptográficas se realizan en el código de una aplicación que se ejecuta en una máquina virtual o aplicación web de Azure, una organización puede usar Cloud HSM. En general, el software encapsulado de reducción que se ejecuta en modelos de infraestructura como servicio (IaaS) que admiten HSM como almacén de claves puede usar HSM en la nube. Este software incluye:

• Servicios de certificados de Active Directory (AD CS).
• Descarga de SSL/TLS para NGINX y Apache.
• Herramientas y aplicaciones usadas para la firma de documentos.
• Firma de código.
• Aplicaciones Java que requieren un proveedor de extensión de criptografía de Java (JCE).
• Microsoft SQL Server TDE (IaaS) a través de la administración extensible de claves (EKM).
• TDE de Oracle.

Para más información sobre cómo implementar estos escenarios, consulte Guías de integración de Azure Cloud HSM.

No. Microsoft no admite "traiga su propio HSM". Azure Cloud HSM no puede hospedar ningún dispositivo proporcionado por el cliente. Para más información sobre la arquitectura del servicio, consulte ¿Qué es Azure Cloud HSM?.

Sí, pero depende de la arquitectura y la configuración. Si la implementación de Dedicated HSM está configurada en una agrupación de alta disponibilidad (HA), no puede migrar claves. La razón es que la exportación de claves está deshabilitada para permitir la clonación de claves (agrupación de alta disponibilidad) y cambiar esos atributos es un proceso destructivo. Si la implementación de Dedicated HSM está configurada en una agrupación de alta disponibilidad, debe crear nuevas claves al migrar a Azure Cloud HSM. Para más información sobre la administración de claves, consulte Administración de claves en Azure Cloud HSM.

No, Azure Cloud HSM no tiene una directiva monetaria. La incorporación de Azure Cloud HSM está abierta a todos los clientes. Para más información sobre cómo empezar, consulte la guía de incorporación de Azure Cloud HSM.

Se incurre en una tarifa por hora por cada clúster de HSM en la nube de Azure, que consta de tres nodos. Después de aprovisionar un recurso HSM en la nube, permanece activo continuamente (siempre activado). La facturación se inicia al aprovisionar un recurso, en lugar de cuando termine de inicializar el recurso HSM. Para más información sobre las opciones de implementación, consulte Implementación de Azure Cloud HSM mediante PowerShell o Implementación de Azure Cloud HSM mediante Azure Portal.

Azure Cloud HSM requiere una infraestructura de red, como una red virtual y un punto de conexión privado. También requiere recursos como máquinas virtuales para la configuración del dispositivo. Estos recursos incurren en costos adicionales y no se incluyen en los precios del servicio HSM en la nube de Azure. Para más información sobre los requisitos de red, consulte Seguridad de red para Azure Cloud HSM.

No, un nivel gratis no está disponible para Azure Cloud HSM. Para más información sobre las ofertas de servicio, consulte ¿Qué es Azure Cloud HSM?.

• Windows Server 2016, 2019 y 2022
• Linux (Ubuntu 20.04, Ubuntu 22.04, Ubuntu 24.04, RHEL 7, RHEL 8 y RHEL 9)
• CBL Mariner 2

Para más información sobre la compatibilidad y la solución de problemas, consulte Solución de problemas de HSM en la nube de Azure.

Para administrar la implementación del servicio, acceda al clúster de Azure Cloud HSM mediante Secure Shell (SSH) y el SDK de Azure Cloud HSM desde GitHub. Para más información sobre las operaciones de administración, consulte Administración de usuarios en Azure Cloud HSM.

El SDK de Azure Cloud HSM contiene software y herramientas para ejecutar operaciones criptográficas dentro de las aplicaciones. Azure Cloud HSM admite varias interfaces, como PKCS#11, OpenSSL, JCE, proveedor de almacenamiento de claves (KSP) y Cryptography API: Next Generation (CNG). La gama de herramientas del SDK permite una interacción perfecta con el HSM.

Puede descargar el SDK de Azure Cloud HSM desde GitHub. Para más información sobre los métodos de conectividad, consulte Autenticación en Azure Cloud HSM.

Azure Cloud HSM solo admite la autenticación basada en contraseña. No admite la autenticación a través de un dispositivo de entrada de PIN (PED). Para más información sobre los métodos de autenticación, consulte Autenticación en Azure Cloud HSM.

Sí. Use el emparejamiento de redes virtuales dentro de una región para establecer la conectividad entre redes virtuales. Para la conectividad entre regiones, use el emparejamiento de red virtual global o una puerta de enlace de VPN. Para más información sobre las configuraciones de red, consulte Seguridad de red para Azure Cloud HSM.

No. Aunque Azure Cloud HSM no interopera directamente con HSM locales, puede transferir claves exportables de forma segura entre Azure Cloud HSM y la mayoría de los HSM comerciales mediante uno de varios métodos de encapsulado de claves admitidos. Para más información sobre la administración de claves, consulte Administración de claves en Azure Cloud HSM.

No. Los clústeres de Azure Cloud HSM solo son accesibles desde dentro de la red virtual. Para más información sobre las limitaciones del servicio, consulte ¿Qué es Azure Cloud HSM?.

No. Azure Cloud HSM se aprovisiona directamente en el espacio de direcciones IP privadas, por lo que otros servicios de Azure o Microsoft no pueden acceder a él. Para más información sobre las funcionalidades y limitaciones del servicio, consulte ¿Qué es Azure Cloud HSM?.

Sí. Hay varios métodos para traer su propia clave (BYOK) y tener HSM locales que permitan la exportación de claves (encapsulado de claves). Para más información sobre las operaciones de importación de claves, consulte Administración de claves en Azure Cloud HSM.

No. El servicio Azure Cloud HSM no admite módulos de funcionalidad. Para más información sobre las funcionalidades de servicio, consulte Límites de servicio de Azure Cloud HSM.

No. No puede cambiar el certificado de propietario de la partición después de cargarlo. Si carga PO.crt en caso de error, debe eliminar el recurso de Azure Cloud HSM e implementarlo de nuevo.

No. No se puede restaurar una copia de seguridad en su recurso HSM en la nube de Azure de origen porque está en un estado activado. Para más información sobre las operaciones de copia de seguridad y restauración, consulte Copia de seguridad y restauración en Azure Cloud HSM.

No. Azure Cloud HSM no admite la restauración de una copia de seguridad en su HSM de origen ni en ningún recurso de HSM en la nube que ya esté activado. De lo contrario, se producirá un error en la operación de restauración y se colocará el recurso HSM en la nube de destino en un estado no funcional. Para más información sobre el proceso de restauración, consulte Directrices de restauración para Azure Cloud HSM.

Sí. Puede restaurar una copia de seguridad en otro recurso de Azure Cloud HSM en cualquier región, si el recurso HSM en la nube de destino no está en un estado activado. Para más información sobre la restauración entre regiones, consulte Recuperación entre regiones para Azure Cloud HSM.

No. Solo se permite una identidad administrada por clúster de HSM en la nube de Azure. Para más información sobre la administración de identidades y acceso, consulte Aplicación de una identidad administrada y creación de una cuenta de almacenamiento.

Sí. El rol mínimo de control de acceso basado en rol (RBAC) necesario es Colaborador de datos de Storage Blob. Puede restringir el origen como de solo lectura, pero necesita permisos de lectura y escritura en el destino. Para obtener más información sobre el control de acceso, consulte Aplicación de una identidad administrada y creación de una cuenta de almacenamiento.

No. Con Azure Cloud HSM, tiene acceso administrativo exclusivo a su HSM como un solo inquilino. Para más información sobre la arquitectura del servicio, consulte ¿Qué es Azure Cloud HSM?.

No. Microsoft no tiene acceso a las claves almacenadas en HSM asignados por el cliente. Para más información sobre los controles de seguridad, consulte Protección de la implementación de Azure Cloud HSM.

En la arquitectura de Azure Cloud HSM, la separación de tareas y el control de acceso basado en roles son principios fundamentales. Microsoft no tiene ningún control criptográfico sobre los HSM asignados por el cliente ni sobre los usuarios del HSM, aparte de su propio rol limitado como usuario del dispositivo.

Microsoft tiene permisos restringidos para el HSM. Estos permisos permiten la supervisión, el mantenimiento del estado y la disponibilidad, las copias de seguridad cifradas y la extracción y publicación de registros de auditoría inmutables en el almacenamiento especificado del cliente. Estos permisos no permiten a Microsoft usar claves propiedad de los usuarios de criptografía para realizar operaciones criptográficas. Para más información sobre el registro operativo, consulte Configuración y consulta del registro de eventos de operación de consulta para Azure Cloud HSM.

No, Azure Cloud HSM no conserva los datos de los clientes. Todos los materiales y datos clave se hospedan en el HSM del cliente. Cada clúster de Azure Cloud HSM se designa exclusivamente para un único cliente que tenga control administrativo. Para más información sobre la protección de datos, consulte Protección de la implementación de Azure Cloud HSM.

Sí, Azure Cloud HSM ofrece HSM que se validan para cumplir los estándares FIPS 140-3 nivel 3. Para conocer los procedimientos para comprobar la autenticidad de su HSM, incluida la comprobación de la certificación FIPS 140-3 nivel 3 de NIST, consulte la guía de incorporación. Para más información sobre el cumplimiento, consulte ¿Qué es Azure Cloud HSM?.

Sí. Azure Cloud HSM admite el cumplimiento de eIDAS en el esquema austriaco al proporcionar administración segura de claves, operaciones criptográficas y hardware validado de FIPS 140-3 nivel 3 para cumplir con estrictos requisitos para firmas y sellos electrónicos calificados, para ayudar a garantizar el cumplimiento normativo. Obtenga más información en el certificado de QSCD. Para más información sobre los estándares de seguridad, consulte Protección de la implementación de Azure Cloud HSM.

Azure Cloud HSM incorpora mecanismos de detección de alteraciones físicas y lógicas y de respuesta que inician la eliminación de claves (ceroización) del hardware. Estas medidas están diseñadas para detectar alteraciones si la barrera física está comprometida.

Además, los HSM se protegen contra ataques de inicio de sesión por fuerza bruta. El sistema bloquea a los oficiales de criptografía (OC) después de un número establecido de intentos de acceso incorrectos. Del mismo modo, los intentos incorrectos repetidos de acceder a un HSM con credenciales de usuario de criptografía (CU) provocan el bloqueo del usuario. A continuación, un CO debe desbloquear la CU. Desbloquear un CO requiere getChallenge y firmar el desafío con PO.key a través de OpenSSL, seguido de unlockCO comandos y changePswd . Para más información sobre las características de seguridad, consulte Protección de la implementación de Azure Cloud HSM.

Microsoft facilita toda la compatibilidad con Azure Cloud HSM. Si encuentra algún problema relacionado con el hardware, el software, la configuración de HSM o el acceso a la red, envíe una solicitud de soporte técnico a Microsoft. Para más información sobre los problemas y soluciones comunes, consulte Solución de problemas de Azure Cloud HSM.

Los centros de datos de Azure tienen amplios controles de seguridad físicos y de procedimientos. Además, los HSM de Azure Cloud HSM se hospedan en un área de acceso restringido del centro de datos, con controles de acceso físico y vigilancia de vídeo para mayor seguridad. Para más información sobre la seguridad física, consulte Protección de la implementación de Azure Cloud HSM.

No. Microsoft no tiene acceso a las claves o credenciales y no puede recuperar las claves si pierde sus credenciales. Para más información sobre la administración de credenciales, consulte Administración de usuarios en Azure Cloud HSM.

No, aunque Microsoft podría necesitar realizar el mantenimiento de actualizaciones necesarias o hardware defectuoso. Notificamos a los clientes con antelación si anticipamos cualquier impacto. Para más información sobre las consideraciones operativas, consulte Protección de la implementación de Azure Cloud HSM.

Para obtener contratos de nivel de servicio, consulte Acuerdos de Nivel de Servicio (SLA) para Online Services. Para más información sobre la confiabilidad del servicio, consulte ¿Qué es Azure Cloud HSM?.