FAQ sur azure Cloud HSM

Microsoft Azure Cloud HSM est un service qui fournit un stockage sécurisé pour les clés de chiffrement à l’aide de modules de sécurité matériels (HSM) qui répondent à la norme de sécurité FIPS 140-3 de niveau 3. Il s’agit d’un service à locataire unique géré par le client et hautement disponible conforme aux normes du secteur.

Azure Cloud HSM prend en charge différentes applications, notamment PKCS#11, le déchargement du protocole SSL (Secure Sockets Layer) ou le traitement TLS (Transport Layer Security), la protection par clé privée de l’autorité de certification (CA) et le chiffrement transparent des données (TDE). Il prend également en charge la signature de document et de code.

Azure Cloud HSM offre une haute disponibilité et une redondance en regroupant plusieurs HSM dans un cluster et en synchronisant automatiquement sur trois instances HSM. Le cluster HSM prend en charge l’équilibrage de charge des opérations de chiffrement. Les sauvegardes HSM périodiques permettent de garantir une récupération de données sécurisée et simple. Pour plus d’informations, consultez Qu’est-ce qu’Azure Cloud HSM ?.

Un module de sécurité matériel (HSM) est un appareil de calcul physique conçu pour protéger et administrer des clés de chiffrement. Dans les modules HSM, les clés sont stockées et utilisées en toute sécurité pour les opérations de chiffrement. Les modules matériels résistants aux falsifications et évidents permettent de garantir la confidentialité et l’intégrité de ces clés. L’accès aux clés est limité aux applications authentifiées et autorisées, de sorte que le matériel de clé reste toujours dans la limite protégée du HSM. Pour plus d’informations, consultez Sécuriser votre déploiement azure Cloud HSM.

Azure Cloud HSM utilise des modules de sécurité matériel Marvell LiquidSecurity. Pour plus d’informations sur les spécifications de service, consultez les limites du service HSM Cloud Azure.

Microsoft fournit tous les logiciels et outils pour Azure Cloud HSM via son KIT SDK. Vous pouvez télécharger le Kit de développement logiciel (SDK) Azure Cloud HSM à partir de GitHub. Pour plus d’informations sur les options d’intégration, consultez les guides d’intégration azure Cloud HSM.

Non, Microsoft supervise le microprogramme sur le matériel. Un tiers (le fabricant du HSM) gère le matériel. NIST évalue le microprogramme et doit le signer pour garantir la conformité aux normes FIPS 140-3 de niveau 3. Pour plus d’informations sur la gestion du matériel, consultez Qu’est-ce qu’Azure Cloud HSM ?.

Azure offre plusieurs solutions pour le stockage et la gestion des clés de chiffrement dans le cloud : Azure Key Vault (offres standard et premium), Azure Managed HSM, Azure Cloud HSM et Azure Payment HSM. Il peut être écrasant pour les clients de décider quelle solution est la meilleure pour eux. Un organigramme, basé sur des exigences générales courantes et des scénarios de gestion clés, est disponible pour aider les clients à prendre cette décision. Découvrez comment choisir la solution de gestion des clés appropriée.

Azure Cloud HSM est mieux adapté aux scénarios de migration, lorsque vous migrez des applications locales qui utilisent déjà des HSM vers Azure. Azure Cloud HSM offre une option de faible friction pour migrer vers Azure avec des modifications minimales apportées à l’application.

Si des opérations de chiffrement sont effectuées dans le code d’une application s’exécutant dans une machine virtuelle Azure ou une application web, une organisation peut utiliser le HSM cloud. En général, les logiciels encapsulés s’exécutant dans des modèles IaaS (Infrastructure as a Service) qui prennent en charge les modules HSM en tant que magasin de clés peuvent utiliser le HSM cloud. Ce logiciel inclut les éléments suivants :

• Services de certificats Active Directory (AD CS).
• Déchargement SSL/TLS pour NGINX et Apache.
• Outils et applications utilisés pour la signature de documents.
• Signature de code.
• Applications Java qui nécessitent un fournisseur JCE (Java Cryptography Extension).
• Microsoft SQL Server TDE (IaaS) via EKM (Extensible Key Management).
• Oracle TDE.

Pour plus d’informations sur l’implémentation de ces scénarios, consultez les guides d’intégration azure Cloud HSM.

Non. Microsoft ne prend pas en charge « apportez votre propre HSM ». Azure Cloud HSM ne peut pas héberger d’appareils fournis par le client. Pour plus d’informations sur l’architecture de service, consultez Qu’est-ce qu’Azure Cloud HSM ?.

Oui, mais cela dépend de votre architecture et de votre configuration. Si votre déploiement HSM dédié est configuré dans un regroupement haute disponibilité (HA), vous ne pouvez pas migrer les clés. La raison est que l’exportation de clé est désactivée pour autoriser le clonage de clé (regroupement de haute disponibilité) et que la modification de ces attributs est un processus destructeur. Si votre déploiement HSM dédié est configuré dans un regroupement haute disponibilité, vous devez créer de nouvelles clés lors de la migration vers Azure Cloud HSM. Pour plus d’informations sur la gestion des clés, consultez Gestion des clés dans Azure Cloud HSM.

Non, Azure Cloud HSM n’a pas de politique monétaire. L’intégration d’Azure Cloud HSM est ouverte à tous les clients. Pour plus d’informations sur la prise en main, consultez le guide d’intégration du HSM Cloud Azure.

Vous avez des frais horaires pour chaque cluster HSM Cloud Azure, qui se compose de trois nœuds. Une fois que vous avez approvisionné une ressource HSM cloud, elle reste active en continu (toujours activée). La facturation commence lorsque vous approvisionnez une ressource, plutôt que lorsque vous terminez l’initialisation de la ressource HSM. Pour plus d’informations sur les options de déploiement, consultez Déployer azure Cloud HSM à l’aide de PowerShell ou déployer Azure Cloud HSM à l’aide du portail Azure.

Azure Cloud HSM nécessite une infrastructure réseau, telle qu’un réseau virtuel et un point de terminaison privé. Il nécessite également des ressources telles que des machines virtuelles pour la configuration de l’appareil. Ces ressources entraînent des coûts supplémentaires et ne sont pas incluses dans la tarification du service HSM Cloud Azure. Pour plus d’informations sur la configuration réseau requise, consultez Sécurité réseau pour azure Cloud HSM.

Non, un niveau gratuit n’est pas disponible pour azure Cloud HSM. Pour plus d’informations sur les offres de service, consultez Qu’est-ce qu’Azure Cloud HSM ?.

• Windows Server 2016, 2019 et 2022
• Linux (Ubuntu 20.04, Ubuntu 22.04, Ubuntu 24.04, RHEL 7, RHEL 8 et RHEL 9)
• CBL Mariner 2

Pour plus d’informations sur la compatibilité et la résolution des problèmes, consultez Résoudre les problèmes de HSM Cloud Azure.

Vous gérez votre déploiement de service en accédant à votre cluster Azure Cloud HSM via Secure Shell (SSH) et le Kit de développement logiciel (SDK) Azure Cloud HSM à partir de GitHub. Pour plus d’informations sur les opérations de gestion, consultez Gestion des utilisateurs dans Azure Cloud HSM.

Le SDK Azure Cloud HSM contient des logiciels et des outils permettant d’exécuter des opérations de chiffrement au sein d’applications. Azure Cloud HSM prend en charge différentes interfaces, notamment PKCS#11, OpenSSL, JCE, le fournisseur de stockage de clés (KSP) et l’API de chiffrement : CNG (Next Generation). La gamme d’outils du Kit de développement logiciel (SDK) permet une interaction transparente avec votre HSM.

Vous pouvez télécharger le Kit de développement logiciel (SDK) Azure Cloud HSM à partir de GitHub. Pour plus d’informations sur les méthodes de connectivité, consultez Authentification dans Azure Cloud HSM.

Azure Cloud HSM prend uniquement en charge l’authentification par mot de passe. Il ne prend pas en charge l’authentification par le biais d’un périphérique d’entrée de code confidentiel (PED). Pour plus d’informations sur les méthodes d’authentification, consultez Authentification dans Azure Cloud HSM.

Oui. Utilisez le peering de réseaux virtuels au sein d’une région pour établir la connectivité entre les réseaux virtuels. Pour la connectivité entre régions, utilisez le peering de réseaux virtuels globaux ou une passerelle VPN. Pour plus d’informations sur les configurations réseau, consultez Sécurité réseau pour azure Cloud HSM.

Non. Bien qu’Azure Cloud HSM n’interopére pas directement avec des modules HSM locaux, vous pouvez transférer en toute sécurité des clés exportables entre azure Cloud HSM et la plupart des HSM commerciaux à l’aide de l’une de plusieurs méthodes d’habillage de clés prises en charge. Pour plus d’informations sur la gestion des clés, consultez Gestion des clés dans Azure Cloud HSM.

Non. Les clusters HSM Cloud Azure sont accessibles uniquement à partir de votre réseau virtuel. Pour plus d’informations sur les limitations du service, consultez Qu’est-ce qu’Azure Cloud HSM ?.

Non. Azure Cloud HSM est approvisionné directement dans votre espace d’adressage IP privé, afin que d’autres services Azure ou Microsoft ne puissent pas y accéder. Pour plus d’informations sur les fonctionnalités et limitations du service, consultez Qu’est-ce qu’Azure Cloud HSM ?.

Oui. Il existe plusieurs méthodes pour apporter votre propre clé (BYOK) et avoir des modules HSM locaux qui autorisent l’exportation de clé (wrapper de clé). Pour plus d’informations sur les opérations d’importation de clés, consultez Gestion des clés dans Azure Cloud HSM.

Non. Le service HSM Cloud Azure ne prend pas en charge les modules de fonctionnalité. Pour plus d’informations sur les fonctionnalités de service, consultez les limites du service HSM Cloud Azure.

Non. Vous ne pouvez pas modifier le certificat de propriétaire de partition une fois que vous l’avez chargé. Si vous chargez PO.crt en erreur, vous devez supprimer votre ressource Azure Cloud HSM et la déployer à nouveau.

Non. Vous ne pouvez pas restaurer une sauvegarde dans sa ressource azure Cloud HSM source, car elle est dans un état activé. Pour plus d’informations sur les opérations de sauvegarde et de restauration, consultez Sauvegarde et restauration dans azure Cloud HSM.

Non. Azure Cloud HSM ne prend pas en charge la restauration d’une sauvegarde sur son HSM source ou toute ressource HSM cloud déjà activée. Sinon, l’opération de restauration échoue et place la ressource HSM cloud de destination dans un état non fonctionnels. Pour plus d’informations sur le processus de restauration, consultez les instructions de restauration pour azure Cloud HSM.

Oui. Vous pouvez restaurer une sauvegarde vers une autre ressource Azure Cloud HSM dans n’importe quelle région, si la ressource HSM cloud de destination n’est pas dans un état activé. Pour plus d’informations sur la restauration interrégion, consultez récupération interrégion pour azure Cloud HSM.

Non. Une seule identité managée est autorisée par cluster HSM Cloud Azure. Pour plus d’informations sur la gestion des identités et des accès, consultez Appliquer une identité managée et créer un compte de stockage.

Oui. Le rôle de contrôle d’accès en fonction du rôle (RBAC) minimal requis est Contributeur aux données Blob de stockage. Vous pouvez restreindre la source en lecture seule, mais vous avez besoin d’autorisations en lecture/écriture sur la destination. Pour plus d’informations sur le contrôle d’accès, consultez Appliquer une identité managée et créer un compte de stockage.

Non. Avec Azure Cloud HSM, vous disposez d’un accès administratif exclusif à votre HSM en tant que locataire unique. Pour plus d’informations sur l’architecture de service, consultez Qu’est-ce qu’Azure Cloud HSM ?.

Non. Microsoft n’a pas accès aux clés stockées dans les HSM alloués par le client. Pour plus d’informations sur les contrôles de sécurité, consultez Sécuriser votre déploiement azure Cloud HSM.

Dans l’architecture du HSM cloud Azure, la séparation des tâches et du contrôle d’accès en fonction du rôle est des principes fondamentaux. Microsoft n’a aucun contrôle de chiffrement sur les HSM alloués par le client ou le contrôle sur les utilisateurs du HSM, autre que son propre rôle limité en tant qu’utilisateur de l’appliance.

Microsoft dispose d’autorisations restreintes pour le module HSM. Ces autorisations permettent la surveillance, la maintenance de l’intégrité et de la disponibilité, les sauvegardes chiffrées et l’extraction et la publication des journaux d’audit immuables dans le stockage spécifié par le client. Ces autorisations ne permettent pas à Microsoft d’utiliser des clés détenues par des utilisateurs de chiffrement pour effectuer des opérations de chiffrement. Pour plus d’informations sur la journalisation opérationnelle, consultez Configurer et interroger la journalisation des événements d’opération pour Azure Cloud HSM.

Non, Azure Cloud HSM ne conserve pas les données client. Tous les matériaux et données clés sont hébergés dans le HSM du client. Chaque cluster HSM Cloud Azure est exclusivement désigné pour un seul client disposant d’un contrôle administratif. Pour plus d’informations sur la protection des données, consultez Sécuriser votre déploiement azure Cloud HSM.

Oui, Azure Cloud HSM propose des modules HSM validés pour répondre aux normes FIPS 140-3 de niveau 3. Pour connaître les procédures de vérification de l’authenticité de votre HSM, notamment la vérification de la certification FIPS 140-3 de niveau 3 à partir de NIST, reportez-vous au guide d’intégration. Pour plus d’informations sur la conformité, consultez Qu’est-ce qu’Azure Cloud HSM ?.

Oui. Azure Cloud HSM prend en charge la conformité eIDAS sous le schéma autrichien en fournissant une gestion sécurisée des clés, des opérations de chiffrement et du matériel validé FIPS 140-3 de niveau 3 pour répondre à des exigences strictes pour les signatures électroniques et les scellés qualifiés, afin de garantir la conformité réglementaire. En savoir plus dans le certificat QSCD. Pour plus d’informations sur les normes de sécurité, consultez Sécuriser votre déploiement azure Cloud HSM.

Azure Cloud HSM intègre à la fois des mécanismes de détection et de réponse de falsification physique et logique qui lancent la suppression de clé (zéroisation) du matériel. Ces mesures sont conçues pour détecter la falsification si la barrière physique est compromise.

En outre, les modules HSM sont protégés contre les attaques de connexion par force brute. Le système verrouille les agents de chiffrement après un nombre défini de tentatives d’accès infructueuses. De même, des tentatives répétées infructueuses d’accès à un HSM avec des informations d’identification d’utilisateur de chiffrement (CU) entraînent le verrouillage de l’utilisateur. Une co doit ensuite déverrouiller la cu. Le déverrouillage d’un co nécessite getChallenge et de signer le défi via PO.key OpenSSL, suivi unlockCO de commandes et changePswd de commandes. Pour plus d’informations sur les fonctionnalités de sécurité, consultez Sécuriser votre déploiement azure Cloud HSM.

Microsoft facilite toute la prise en charge du HSM cloud Azure. Si vous rencontrez des problèmes liés au matériel, aux logiciels, à la configuration HSM ou à l’accès réseau, envoyez une demande de support à Microsoft. Pour plus d’informations sur les problèmes courants et les solutions, consultez Résoudre les problèmes liés à Azure Cloud HSM.

Les centres de données Azure ont des contrôles de sécurité physiques et procéduraux étendus. En outre, les modules HSM dans Azure Cloud HSM sont hébergés dans une zone d’accès restreint du centre de données, avec des contrôles d’accès physiques et une surveillance vidéo pour renforcer la sécurité. Pour plus d’informations sur la sécurité physique, consultez Sécuriser votre déploiement azure Cloud HSM.

Non. Microsoft n’a pas accès à vos clés ou informations d’identification et ne peut pas récupérer vos clés si vous perdez vos informations d’identification. Pour plus d’informations sur la gestion des informations d’identification, consultez Gestion des utilisateurs dans Azure Cloud HSM.

Non, bien que Microsoft puisse avoir besoin d’effectuer une maintenance pour les mises à niveau nécessaires ou le matériel défectueux. Nous informons les clients à l’avance si nous prévoyons un impact. Pour plus d’informations sur les considérations opérationnelles, consultez Sécuriser votre déploiement azure Cloud HSM.

Pour connaître les contrats de niveau de service, consultez Contrats de niveau de service (SLA) pour les services en ligne. Pour plus d’informations sur la fiabilité du service, consultez Qu’est-ce qu’Azure Cloud HSM ?.