Compartir a través de

Migración de Azure Dedicated HSM a Azure Managed HSM o Azure Cloud HSM

Los clientes de Azure Dedicated HSM que quieran realizar la transición a Azure Cloud HSM o Azure Managed HSM pueden encontrar instrucciones en este artículo. Esta transición implica la creación de nuevas claves y la actualización de aplicaciones para usar los nuevos servicios.

Advertencia

Los clientes no pueden migrar materiales clave existentes de Azure Dedicated HSM a Azure Cloud HSM o Azure Managed HSM debido a restricciones conocidas de Thales Luna HSM. Debe crear nuevas claves en Azure Cloud HSM o Azure Managed HSM al realizar la transición de Azure Dedicated HSM.

Microsoft no tiene acceso a los HSM dedicados asignados a los clientes porque los dispositivos se asignan dentro del espacio de direcciones IP privadas de los clientes. Los clientes son responsables de coordinarse con sus equipos internos para crear nuevas claves en Azure Cloud HSM o Azure Managed HSM, actualizar sus aplicaciones para usar las nuevas claves y probar para garantizar una transición sin problemas.

Restricciones de Thales Luna HSM

La exportación de claves protegidas con HSM desde thales Luna HSM a Azure Cloud HSM o HSM administrado por Azure no es posible si la configuración de directiva de partición predeterminada, "exportación de claves", está deshabilitada. Este modo impide que las claves privadas existan fuera de un Luna HSM de confianza, en el dominio de clonación designado.

Los clientes de Azure Dedicated HSM que utilizan Grupos de Alta Disponibilidad (HA) para admitir su BCDR en múltiples dispositivos generalmente tienen el "modo de clonación" activado y la "exportación de claves" deshabilitada. Como resultado, no se pueden realizar transiciones de materiales clave existentes y se deben crear nuevas claves en Azure Cloud HSM o HSM administrado de Azure.

Thales Luna HSM con "modo de clonación activado" y "exportación de claves" deshabilitado no pueden exportar claves.

Advertencia

Cambiar las directivas de partición en el HSM Thales Luna es un proceso destructivo. Si aplica un cambio de directiva de partición, se reduce a cero el HSM y se pierden todos los materiales y contenidos clave. Si no está seguro del estado de la directiva de partición, puede ejecutar partition showPolicies en azure Dedicated HSM para ver las directivas actuales.

Transición a Azure Cloud HSM

Los clientes pueden consultar la guía de incorporación de Azure Cloud HSM, las guías de integración y la documentación de información general para aprovisionar y activar sus recursos de Azure Cloud HSM. Para más información sobre los escenarios de uso y los procedimientos recomendados, consulte preguntas más frecuentes sobre Azure Cloud HSM.

Aprovisionamiento y activación del HSM en la nube de Azure

Para empezar a trabajar con Azure Cloud HSM, debe aprovisionar y activar los recursos de HSM. Siga las guías siguientes para obtener instrucciones detalladas.

Creación de claves en Azure Cloud HSM

La creación de claves en Azure Cloud HSM es sencilla. Puede aprender a crear, enumerar, eliminar, realizar copias de seguridad, recuperar o importar claves haciendo referencia a La información general de HSM en la nube de Azure, que proporciona todos los comandos y instrucciones necesarios para administrar claves HSM.

Lea los procedimientos recomendados mediante Azure Cloud HSM.

Azure Cloud HSM es un servicio en la nube que protege las claves de cifrado. Dado que estas claves son confidenciales y críticas para la empresa, asegúrese de proteger el acceso a los HSM en la nube al permitir solo aplicaciones y usuarios autorizados. El artículo procedimientos recomendados , junto con la administración de claves y la seguridad y la administración de usuarios, proporciona información general sobre el modelo de acceso. Se explica la autenticación, la autorización y el control de acceso basado en roles que debe seguir.

Transición a HSM administrado de Azure

Los clientes pueden aprovisionar y activar rápidamente un HSM administrado mediante las guías de referencia de inicio rápido siguientes:

Aprovisionamiento y activación de un HSM administrado

Para empezar a usar Azure Managed HSM, debe aprovisionarlo y activarlo. Use las siguientes guías para obtener instrucciones paso a paso.

Creación de claves en HSM administrado de Azure

La creación de claves en HSM administrado de Azure es esencial para proteger los datos. Consulte los siguientes recursos para obtener instrucciones detalladas.

Lea los procedimientos recomendados con HSM administrado de Azure.

Azure Managed HSM es un servicio en la nube que protege las claves de cifrado. Dado que estas claves son confidenciales y críticas para la empresa, asegúrese de proteger el acceso a los HSM administrados al permitir solo aplicaciones y usuarios autorizados. Nuestros procedimientos recomendados y el artículo sobre el control de acceso de HSM administrado proporcionan información general sobre el modelo de acceso. Se detalla la autenticación, la autorización y el control de acceso basado en roles que deberá seguir.

Preguntas más frecuentes

¿Los clientes pueden migrar claves de HSM dedicadas a HSM en la nube o HSM administrado?

No, las claves existentes no se pueden migrar debido a restricciones en thales Luna HSM. Los clientes deben crear nuevas claves en Azure Cloud HSM o Azure Managed HSM.

¿Los clientes pueden cambiar las directivas de partición en Dedicated HSM para habilitar la exportación de claves?

No. Cambiar las directivas de partición para la clonación de claves o la exportación de claves es un proceso destructivo. Solo en el momento de la creación de particiones se puede establecer esta directiva. Si cambia esta política después de crear claves, restablecerá la configuración de fábrica y perderá todo el material de claves. Esta directiva se aplica a través del firmware de Thales.

Pasos siguientes

Para más información sobre Azure Cloud HSM y Azure Managed HSM, explore los siguientes recursos:

  • Last updated on