Partager via

Migrer d’Azure Dedicated HSM vers Azure Managed HSM ou Azure Cloud HSM

Les clients HSM dédiés Azure qui souhaitent passer à Azure Cloud HSM ou Azure Managed HSM peuvent trouver des conseils dans cet article. Cette transition implique la création de nouvelles clés et la mise à jour d’applications pour utiliser les nouveaux services.

Avertissement

Les clients ne peuvent pas migrer des matériaux clés existants d’Azure Dedicated HSM vers Azure Cloud HSM ou Azure Managed HSM en raison de restrictions connues du HSM Thales Luna. Vous devez créer de nouvelles clés dans azure Cloud HSM ou Azure Managed HSM lors de la transition d’Azure Dedicated HSM.

Microsoft n’a pas accès aux HSM dédiés alloués aux clients, car les appareils sont alloués dans l’espace d’adressage IP privé des clients. Les clients sont responsables de la coordination avec leurs équipes internes pour créer de nouvelles clés dans Azure Cloud HSM ou Azure Managed HSM, mettre à jour leurs applications pour utiliser les nouvelles clés et tester pour garantir une transition fluide.

Les restrictions de Thales Luna HSM

L’exportation de clés protégées par HSM à partir d’un HSM Thales Luna HSM vers Azure Cloud HSM ou Azure Managed HSM n’est pas possible si le paramètre de stratégie de partition par défaut, « exportation de clé », est désactivé. Ce mode empêche les clés privées d’être existantes en dehors d’un HSM Luna approuvé dans le domaine de clonage désigné.

Les clients Azure Dedicated HSM utilisant des groupes High-Availability (HA) pour prendre en charge leur BCDR sur plusieurs appareils ont généralement le « mode clonage activé » et l’option « exportation de clé » désactivée. Par conséquent, les matériaux de clé existants ne peuvent pas être transférés et de nouvelles clés doivent être créées dans Azure Cloud HSM ou Azure Managed HSM.

Les modules HSM Thales Luna avec « mode clonage activé » et « exportation de clé » désactivés ne peuvent pas exporter de clés.

Avertissement

La modification des stratégies de partition sur votre HSM Thales Luna est un processus destructeur. Si vous appliquez une modification de stratégie de partition, elle supprime le HSM, et tous les matériaux et contenus clés sont perdus. Si vous n’êtes pas sûr de l’état de votre stratégie de partition, vous pouvez exécuter des partitions showPolicies sur votre HSM dédié Azure pour afficher les stratégies actuelles.

Passer à Azure Cloud HSM

Les clients peuvent consulter le guide d’intégration azure Cloud HSM, les guides d’intégration et la documentation de vue d’ensemble pour approvisionner et activer leurs ressources HSM Cloud Azure. Pour plus d’informations sur les scénarios d’utilisation et les bonnes pratiques, consultez le FORUM aux questions sur azure Cloud HSM.

Provisionner et activer votre HSM Cloud Azure

Pour commencer à utiliser Azure Cloud HSM, vous devez provisionner et activer vos ressources HSM. Suivez les guides ci-dessous pour obtenir des instructions détaillées.

Créer des clés dans azure Cloud HSM

La création de clés dans azure Cloud HSM est simple. Vous pouvez apprendre à créer, lister, supprimer, sauvegarder, récupérer ou importer des clés en faisant référence à la vue d’ensemble du module HSM Cloud Azure, qui fournit toutes les commandes et conseils nécessaires pour gérer les clés HSM.

Lire les bonnes pratiques à l’aide d’Azure Cloud HSM

Azure Cloud HSM est un service cloud qui protège les clés de chiffrement. Comme ces clés sont sensibles et critiques pour l’entreprise, veillez à sécuriser l’accès à vos modules HSM cloud en autorisant uniquement les applications et les utilisateurs autorisés. L’article sur les bonnes pratiques , ainsi que la gestion des clés et la sécurité et la gestion des utilisateurs, fournit une vue d’ensemble du modèle d’accès. Il explique l’authentification, l’autorisation et le contrôle d’accès en fonction du rôle que vous devez suivre.

Transition vers Azure Managed HSM

Les clients peuvent approvisionner et activer rapidement un HSM managé à l’aide des guides de référence de démarrage rapide ci-dessous :

Approvisionner et activer un HSM managé

Pour commencer à utiliser Azure Managed HSM, vous devez l’approvisionner et l’activer. Utilisez les guides suivants pour obtenir des instructions pas à pas.

Créer des clés dans Azure Managed HSM

La création de clés dans Azure Managed HSM est essentielle pour sécuriser vos données. Reportez-vous aux ressources suivantes pour obtenir des instructions détaillées.

Lire les bonnes pratiques à l’aide d’Azure Managed HSM

Azure Managed HSM est un service cloud qui protège les clés de chiffrement. Comme ces clés sont sensibles et critiques pour l’entreprise, veillez à sécuriser l’accès à vos modules HSM managés en autorisant uniquement les applications et utilisateurs autorisés. Nos meilleures pratiques et notre article sur le contrôle d’accès HSM managé fournit une vue d’ensemble du modèle d’accès. Il explique l’authentification et l’autorisation, ainsi que le contrôle d’accès en fonction du rôle auquel vous souhaitez adhérer.

Questions fréquentes

Les clients peuvent-ils migrer des clés HSM dédiées vers un HSM cloud ou un HSM managé ?

Non, les clés existantes ne peuvent pas être migrées en raison de restrictions dans le HSM Thales Luna. Les clients doivent créer de nouvelles clés dans azure Cloud HSM ou Azure Managed HSM.

Les clients peuvent-ils modifier les stratégies de partition sur HSM dédié pour activer l’exportation de clé ?

Non. La modification des stratégies de partition pour le clonage de clé ou l’exportation de clé est un processus destructeur. Uniquement au moment de la création de partition, cette stratégie peut être définie. Si vous modifiez cette stratégie après avoir créé des clés, vous réinitialiserez les paramètres d’usine et perdrez tous vos éléments de clé. Cette stratégie est appliquée via le microprogramme Thales.

Étapes suivantes

Pour en savoir plus sur azure Cloud HSM et Azure Managed HSM, explorez les ressources suivantes :

  • Last updated on