Często zadawane pytania dotyczące modułu HSM w chmurze platformy Azure

Moduł HSM w chmurze platformy Microsoft Azure to usługa, która zapewnia bezpieczny magazyn kluczy kryptograficznych przy użyciu sprzętowych modułów zabezpieczeń (HSM), które spełniają standard zabezpieczeń FIPS 140-3 poziom 3. Jest to usługa zarządzana przez klienta z jedną dzierżawą o wysokiej dostępności zgodna ze standardami branżowymi.

Moduł HSM w chmurze platformy Azure obsługuje różne aplikacje, w tym PKCS#11, odciążanie protokołu Secure Sockets Layer (SSL) lub przetwarzania protokołu TRANSPORT Layer Security (TLS), ochrony kluczy prywatnych urzędu certyfikacji (CA) i przezroczystego szyfrowania danych (TDE). Obsługuje również podpisywanie dokumentów i kodu.

Moduł HSM w chmurze platformy Azure zapewnia wysoką dostępność i nadmiarowość, grupując wiele modułów HSM w klastrze i automatycznie synchronizując je w trzech wystąpieniach modułu HSM. Klaster HSM obsługuje równoważenie obciążenia operacji kryptograficznych. Okresowe kopie zapasowe modułu HSM pomagają zapewnić bezpieczne i proste odzyskiwanie danych. Aby uzyskać więcej informacji, zobacz Co to jest moduł HSM w chmurze platformy Azure?

Sprzętowy moduł zabezpieczeń (HSM) to fizyczne urządzenie obliczeniowe przeznaczone do ochrony kluczy kryptograficznych i administrowania nimi. W ramach modułów HSM klucze są bezpiecznie przechowywane i używane do operacji kryptograficznych. Moduły sprzętowe odporne na naruszenia i widoczne dla naruszenia pomagają zapewnić poufność i integralność tych kluczy. Dostęp do kluczy jest ograniczony do uwierzytelnionych i autoryzowanych aplikacji, więc materiał klucza zawsze pozostaje w granicach chronionego modułu HSM. Aby uzyskać więcej informacji, zobacz Zabezpieczanie wdrożenia modułu HSM w chmurze platformy Azure.

Moduł HSM w chmurze platformy Azure używa modułów zabezpieczeń sprzętowych Marvell LiquidSecurity. Aby uzyskać więcej informacji na temat specyfikacji usług, zobacz Azure Cloud HSM service limits (Limity usługi Azure Cloud HSM).

Firma Microsoft dostarcza wszystkie oprogramowanie i narzędzia dla modułu HSM w chmurze platformy Azure za pomocą zestawu SDK. Zestaw SDK modułu HSM w chmurze platformy Azure można pobrać z usługi GitHub. Aby uzyskać więcej informacji na temat opcji integracji, zobacz Przewodniki integracji modułu HSM w chmurze platformy Azure.

Nie, firma Microsoft nadzoruje oprogramowanie układowe na sprzęcie. Inna firma (producent HSM) utrzymuje sprzęt. NIST ocenia oprogramowanie układowe i musi podpisać go, aby zapewnić zgodność ze standardami FIPS 140-3 poziom 3. Aby uzyskać więcej informacji na temat zarządzania sprzętem, zobacz Co to jest moduł HSM w chmurze platformy Azure?.

Platforma Azure oferuje wiele rozwiązań do kryptograficznego magazynu kluczy i zarządzania nimi w chmurze: Azure Key Vault (oferty w warstwie Standardowa i Premium), Zarządzany moduł HSM platformy Azure, moduł HSM w chmurze platformy Azure i moduł HSM usługi Azure Payment. Może to być przytłaczające dla klientów, aby zdecydować, które rozwiązanie jest dla nich najlepsze. Schemat blokowy, oparty na typowych wymaganiach wysokiego poziomu i scenariuszach zarządzania kluczami, jest dostępny, aby pomóc klientom w podjęciu tej decyzji. Zobacz Jak wybrać odpowiednie rozwiązanie do zarządzania kluczami.

Moduł HSM w chmurze platformy Azure najlepiej nadaje się do scenariuszy migracji podczas migrowania aplikacji lokalnych, które już używają modułów HSM na platformę Azure. Moduł HSM w chmurze platformy Azure zapewnia opcję niskiego tarcia migracji na platformę Azure z minimalnymi zmianami w aplikacji.

Jeśli operacje kryptograficzne są wykonywane w kodzie aplikacji uruchomionym na maszynie wirtualnej platformy Azure lub w aplikacji internetowej, organizacja może używać modułu HSM w chmurze. Ogólnie rzecz biorąc, oprogramowanie pakowane w ramach infrastruktury jako usługi (IaaS), które obsługuje moduły HSM jako magazyn kluczy, mogą używać modułu HSM w chmurze. To oprogramowanie obejmuje:

• Usługi certyfikatów Active Directory (AD CS).
• Odciążanie protokołu SSL/TLS dla serwerów NGINX i Apache.
• Narzędzia i aplikacje używane do podpisywania dokumentów.
• Podpisywanie kodu.
• Aplikacje Java, które wymagają dostawcy rozszerzenia JCE (Java Cryptography Extension).
• Funkcja TDE (IaaS) programu Microsoft SQL Server za pośrednictwem rozszerzalnego zarządzania kluczami (EKM).
• Oracle TDE.

Aby uzyskać więcej informacji na temat implementowania tych scenariuszy, zobacz Przewodniki integracji modułu HSM w chmurze platformy Azure.

Nie. Firma Microsoft nie obsługuje "bring your own HSM". Moduł HSM w chmurze platformy Azure nie może hostować żadnych urządzeń dostarczonych przez klienta. Aby uzyskać więcej informacji na temat architektury usługi, zobacz Co to jest moduł HSM w chmurze platformy Azure?

Tak, ale zależy to od architektury i konfiguracji. Jeśli wdrożenie dedykowanego modułu HSM jest skonfigurowane w grupowaniu wysokiej dostępności, nie można migrować kluczy. Przyczyną jest to, że eksport kluczy jest wyłączony, aby umożliwić klonowanie kluczy (grupowanie ha), a zmiana tych atrybutów jest procesem destrukcyjnym. Jeśli wdrożenie dedykowanego modułu HSM jest skonfigurowane w grupowaniu wysokiej dostępności, podczas migracji do modułu HSM w chmurze platformy Azure należy utworzyć nowe klucze. Aby uzyskać więcej informacji na temat zarządzania kluczami, zobacz Zarządzanie kluczami w module HSM w chmurze platformy Azure.

Nie, moduł HSM w chmurze platformy Azure nie ma zasad pieniężnych. Dołączanie modułu HSM w chmurze platformy Azure jest otwarte dla wszystkich klientów. Aby uzyskać więcej informacji na temat rozpoczynania pracy, zobacz Przewodnik dołączania modułu HSM w chmurze platformy Azure.

Opłata godzinowa jest naliczana za każdy klaster MODUŁ HSM w chmurze platformy Azure, który składa się z trzech węzłów. Po aprowizacji zasobu modułu HSM w chmurze pozostaje ona stale aktywna (zawsze włączona). Rozliczenia są uruchamiane podczas aprowizowania zasobu, a nie po zakończeniu inicjowania zasobu HSM. Aby uzyskać więcej informacji na temat opcji wdrażania, zobacz Wdrażanie modułu HSM w chmurze platformy Azure przy użyciu programu PowerShell lub Wdrażanie modułu HSM w chmurze platformy Azure przy użyciu witryny Azure Portal.

Moduł HSM w chmurze platformy Azure wymaga infrastruktury sieciowej, takiej jak sieć wirtualna i prywatny punkt końcowy. Wymaga również zasobów, takich jak maszyny wirtualne na potrzeby konfiguracji urządzenia. Te zasoby generują dodatkowe koszty i nie są uwzględniane w cenniku usługi Azure Cloud HSM. Aby uzyskać więcej informacji na temat wymagań sieciowych, zobacz Zabezpieczenia sieci dla modułu HSM w chmurze platformy Azure.

Nie, warstwa Bezpłatna nie jest dostępna dla modułu HSM w chmurze platformy Azure. Aby uzyskać więcej informacji na temat ofert usług, zobacz Co to jest moduł HSM w chmurze platformy Azure?.

• Windows Server 2016, 2019 i 2022
• Linux (Ubuntu 20.04, Ubuntu 22.04, Ubuntu 24.04, RHEL 7, RHEL 8 i RHEL 9)
• CBL Mariner 2

Aby uzyskać więcej informacji na temat zgodności i rozwiązywania problemów, zobacz Rozwiązywanie problemów z modułem HSM w chmurze platformy Azure.

Wdrożenie usługi można zarządzać przez uzyskanie dostępu do klastra modułu HSM w chmurze platformy Azure za pośrednictwem protokołu Secure Shell (SSH) i zestawu SDK modułu HSM w chmurze platformy Azure z usługi GitHub. Aby uzyskać więcej informacji na temat operacji zarządzania, zobacz Zarządzanie użytkownikami w module HSM w chmurze platformy Azure.

Zestaw SDK modułu HSM w chmurze platformy Azure zawiera oprogramowanie i narzędzia do wykonywania operacji kryptograficznych w aplikacjach. Moduł HSM w chmurze platformy Azure obsługuje różne interfejsy, w tym PKCS#11, OpenSSL, JCE, dostawcę magazynu kluczy (KSP) i interfejs API kryptografii: Następna generacja (CNG). Zakres narzędzi w zestawie SDK umożliwia bezproblemową interakcję z modułem HSM.

Zestaw SDK modułu HSM w chmurze platformy Azure można pobrać z usługi GitHub. Aby uzyskać więcej informacji na temat metod łączności, zobacz Authentication in Azure Cloud HSM (Uwierzytelnianie w module HSM w chmurze platformy Azure).

Moduł HSM w chmurze platformy Azure obsługuje tylko uwierzytelnianie oparte na hasłach. Nie obsługuje uwierzytelniania za pośrednictwem urządzenia wprowadzania numeru PIN (PED). Aby uzyskać więcej informacji na temat metod uwierzytelniania, zobacz Authentication in Azure Cloud HSM (Uwierzytelnianie w module HSM w chmurze platformy Azure).

Tak. Użyj komunikacji równorzędnej sieci wirtualnych w regionie, aby nawiązać łączność między sieciami wirtualnymi. W przypadku łączności między regionami użyj globalnej komunikacji równorzędnej sieci wirtualnych lub bramy sieci VPN. Aby uzyskać więcej informacji na temat konfiguracji sieci, zobacz Zabezpieczenia sieciowe dla modułu HSM w chmurze platformy Azure.

Nie. Chociaż moduł HSM w chmurze platformy Azure nie współdziała bezpośrednio z lokalnymi modułami HSM, można bezpiecznie przenosić klucze eksportowalne między modułem HSM w chmurze platformy Azure i większością komercyjnych modułów HSM przy użyciu jednej z kilku obsługiwanych metod zawijania kluczy. Aby uzyskać więcej informacji na temat zarządzania kluczami, zobacz Zarządzanie kluczami w module HSM w chmurze platformy Azure.

Nie. Klastry HSM w chmurze platformy Azure są dostępne tylko z poziomu sieci wirtualnej. Aby uzyskać więcej informacji na temat ograniczeń usługi, zobacz Co to jest moduł HSM w chmurze platformy Azure?

Nie. Moduł HSM w chmurze platformy Azure jest aprowizowany bezpośrednio w prywatnej przestrzeni adresowej IP, więc inne usługi platformy Azure lub firmy Microsoft nie mogą uzyskać do niej dostępu. Aby uzyskać więcej informacji na temat możliwości i ograniczeń usługi, zobacz Co to jest moduł HSM w chmurze platformy Azure?

Tak. Istnieje wiele metod przenoszenia własnego klucza (BYOK) i lokalnych modułów HSM, które umożliwiają eksportowanie klucza (zawijanie klucza). Aby uzyskać więcej informacji na temat operacji importowania kluczy, zobacz Zarządzanie kluczami w module HSM w chmurze platformy Azure.

Nie. Usługa Azure Cloud HSM nie obsługuje modułów funkcjonalności. Aby uzyskać więcej informacji na temat możliwości usługi, zobacz Azure Cloud HSM service limits (Limity usługi Azure Cloud HSM).

Nie. Nie można zmienić certyfikatu właściciela partycji po jego przekazaniu. Jeśli przekażesz błąd PO.crt , musisz usunąć zasób modułu HSM w chmurze platformy Azure i wdrożyć go ponownie.

Nie. Nie można przywrócić kopii zapasowej do źródłowego zasobu modułu HSM w chmurze platformy Azure, ponieważ jest on w stanie aktywowanym. Aby uzyskać więcej informacji na temat operacji tworzenia kopii zapasowych i przywracania, zobacz Tworzenie kopii zapasowych i przywracanie w module HSM w chmurze platformy Azure.

Nie. Moduł HSM w chmurze platformy Azure nie obsługuje przywracania kopii zapasowej do źródłowego modułu HSM ani żadnego już aktywowanego zasobu modułu HSM w chmurze. W przeciwnym razie operacja przywracania zakończy się niepowodzeniem i umieści docelowy zasób modułu HSM w chmurze w stanie niefunkcjonalnym. Aby uzyskać więcej informacji na temat procesu przywracania, zobacz Wskazówki dotyczące przywracania modułu HSM w chmurze platformy Azure.

Tak. Możesz przywrócić kopię zapasową do innego zasobu modułu HSM w chmurze platformy Azure w dowolnym regionie, jeśli docelowy zasób HSM w chmurze nie jest w stanie aktywowanym. Aby uzyskać więcej informacji na temat przywracania między regionami, zobacz Odzyskiwanie między regionami dla modułu HSM w chmurze platformy Azure.

Nie. Tylko jedna tożsamość zarządzana jest dozwolona dla klastra modułu HSM w chmurze platformy Azure. Aby uzyskać więcej informacji na temat zarządzania tożsamościami i dostępem, zobacz Stosowanie tożsamości zarządzanej i tworzenie konta magazynu.

Tak. Wymagana jest minimalna rola kontroli dostępu na podstawie ról (RBAC) to Współautor danych obiektu blob usługi Storage. Źródło można ograniczyć jako tylko do odczytu, ale potrzebujesz uprawnień do odczytu/zapisu w miejscu docelowym. Aby uzyskać więcej informacji na temat kontroli dostępu, zobacz Stosowanie tożsamości zarządzanej i tworzenie konta magazynu.

Nie. Dzięki modułowi HSM w chmurze platformy Azure masz wyłączny dostęp administracyjny do modułu HSM jako jednej dzierżawy. Aby uzyskać więcej informacji na temat architektury usługi, zobacz Co to jest moduł HSM w chmurze platformy Azure?

Nie. Firma Microsoft nie ma dostępu do kluczy przechowywanych w przydzielonych przez klienta modułach HSM. Aby uzyskać więcej informacji na temat mechanizmów kontroli zabezpieczeń, zobacz Zabezpieczanie wdrożenia modułu HSM w chmurze platformy Azure.

W architekturze modułu HSM w chmurze platformy Azure rozdzielenie obowiązków i kontroli dostępu opartej na rolach są podstawowymi zasadami. Firma Microsoft nie ma żadnej kontroli kryptograficznej nad przydzielonymi przez klienta modułami HSM ani kontrolą nad użytkownikami modułu HSM, poza własną ograniczoną rolą jako użytkownik urządzenia.

Firma Microsoft ma ograniczone uprawnienia do modułu HSM. Te uprawnienia umożliwiają monitorowanie, konserwację kondycji i dostępności, zaszyfrowane kopie zapasowe oraz wyodrębnianie i publikowanie niezmiennych dzienników inspekcji w określonym magazynie klienta. Te uprawnienia nie zezwalają firmie Microsoft na używanie kluczy należących do użytkowników kryptografii w celu wykonywania operacji kryptograficznych. Aby uzyskać więcej informacji na temat rejestrowania operacyjnego, zobacz Konfigurowanie rejestrowania zdarzeń operacji i wykonywania zapytań dla modułu HSM w chmurze platformy Azure.

Nie, moduł HSM w chmurze platformy Azure nie przechowuje danych klientów. Wszystkie kluczowe materiały i dane znajdują się w module HSM klienta. Każdy klaster modułu HSM w chmurze platformy Azure jest przeznaczony wyłącznie dla jednego klienta, który ma kontrolę administracyjną. Aby uzyskać więcej informacji na temat ochrony danych, zobacz Zabezpieczanie wdrożenia modułu HSM w chmurze platformy Azure.

Tak, moduł HSM w chmurze platformy Azure oferuje moduły HSM zweryfikowane pod kątem spełnienia standardów FIPS 140-3 poziom 3. Procedury weryfikacji autentyczności modułu HSM, w tym sprawdzenie certyfikatu FIPS 140-3 poziomu 3 od firmy NIST, zapoznaj się z przewodnikiem dołączania. Aby uzyskać więcej informacji na temat zgodności, zobacz Co to jest moduł HSM w chmurze platformy Azure?.

Tak. Moduł HSM w chmurze platformy Azure obsługuje zgodność z usługą eIDAS w ramach programu austriackiego, zapewniając bezpieczne zarządzanie kluczami, operacje kryptograficzne i zweryfikowane sprzęt FIPS 140-3 poziom 3 w celu spełnienia rygorystycznych wymagań dotyczących kwalifikowanych podpisów elektronicznych i uszczelnień w celu zapewnienia zgodności z przepisami. Dowiedz się więcej w temacie Certyfikat QSCD. Aby uzyskać więcej informacji na temat standardów zabezpieczeń, zobacz Zabezpieczanie wdrożenia modułu HSM w chmurze platformy Azure.

Moduł HSM w chmurze platformy Azure obejmuje zarówno fizyczne, jak i logiczne mechanizmy wykrywania naruszenia oraz reagowania, które inicjują usuwanie klucza (zerowanie) sprzętu. Te środki są przeznaczone do wykrywania manipulacji w przypadku naruszenia bariery fizycznej.

Ponadto moduły HSM są chronione przed atakami polegającymi na atakach polegających na brutalnym logowaniu. System blokuje funkcjonariuszy kryptografii (CO) po określonej liczbie nieudanych prób dostępu. Podobnie powtarzające się nieudane próby uzyskania dostępu do modułu HSM przy użyciu poświadczeń użytkownika kryptografii (CU) powodują zablokowanie użytkownika. Co musi następnie odblokować cu. Odblokowanie co wymaga getChallenge i podpisanie wyzwania PO.key za pomocą protokołu OpenSSL, a następnie unlockCO polecenia i changePswd . Aby uzyskać więcej informacji na temat funkcji zabezpieczeń, zobacz Zabezpieczanie wdrożenia modułu HSM w chmurze platformy Azure.

Firma Microsoft ułatwia obsługę modułu HSM w chmurze platformy Azure. Jeśli wystąpią jakiekolwiek problemy związane ze sprzętem, oprogramowaniem, konfiguracją modułu HSM lub dostępem do sieci, prześlij wniosek o pomoc techniczną do firmy Microsoft. Aby uzyskać więcej informacji na temat typowych problemów i rozwiązań, zobacz Rozwiązywanie problemów z modułem HSM w chmurze platformy Azure.

Centra danych platformy Azure mają rozbudowane mechanizmy kontroli zabezpieczeń fizycznych i proceduralnych. Ponadto moduły HSM w module HSM w chmurze platformy Azure są hostowane w ograniczonym obszarze dostępu centrum danych z kontrolą dostępu fizycznego i nadzoru wideo w celu zapewnienia dodatkowych zabezpieczeń. Aby uzyskać więcej informacji na temat zabezpieczeń fizycznych, zobacz Zabezpieczanie wdrożenia modułu HSM w chmurze platformy Azure.

Nie. Firma Microsoft nie ma dostępu do kluczy ani poświadczeń i nie może odzyskać kluczy, jeśli utracisz poświadczenia. Aby uzyskać więcej informacji na temat zarządzania poświadczeniami, zobacz Zarządzanie użytkownikami w module HSM w chmurze platformy Azure.

Nie, chociaż firma Microsoft może wymagać przeprowadzenia konserwacji niezbędnych uaktualnień lub wadliwego sprzętu. Powiadamiamy klientów z wyprzedzeniem, jeśli przewidujemy jakikolwiek wpływ. Aby uzyskać więcej informacji na temat zagadnień operacyjnych, zobacz Zabezpieczanie wdrożenia modułu HSM w chmurze platformy Azure.

Aby uzyskać informacje na temat umów dotyczących poziomu usług, zobacz Umowy dotyczące poziomu usług (SLA) dla usług online. Aby uzyskać więcej informacji na temat niezawodności usługi, zobacz Co to jest moduł HSM w chmurze platformy Azure?.