Perguntas frequentes sobre o HSM de Nuvem do Azure

O HSM de Nuvem do Microsoft Azure é um serviço que fornece armazenamento seguro para chaves criptográficas usando HSMs (módulos de segurança de hardware) que atendem ao padrão de segurança fips 140-3 nível 3. É um serviço gerenciado pelo cliente, de locatário único e altamente disponível que está em conformidade com os padrões do setor.

O Azure Cloud HSM dá suporte a vários aplicativos, incluindo PKCS#11, descarregamento de SSL (Secure Sockets Layer) ou processamento de TLS (Transport Layer Security), proteção de chave privada da AUTORIDADE de Certificação (AC) e TDE (transparent Data Encryption). Ele também dá suporte à assinatura de documento e código.

O HSM de Nuvem do Azure fornece alta disponibilidade e redundância agrupando vários HSMs em um cluster e sincronizando automaticamente em três instâncias de HSM. O cluster HSM dá suporte ao balanceamento de carga de operações criptográficas. Backups de HSM periódicos ajudam a garantir a recuperação de dados segura e simples. Para obter mais informações, consulte o que é hsm de nuvem do Azure?.

Um HSM (módulo de segurança de hardware) é um dispositivo de computação física projetado para proteger e administrar chaves criptográficas. Nos HSMs, as chaves são armazenadas com segurança e usadas para operações criptográficas. Módulos de hardware invioláveis e invioláveis ajudam a garantir a confidencialidade e a integridade dessas chaves. O acesso às chaves é restrito a aplicativos autenticados e autorizados, portanto, o material de chave sempre permanece dentro do limite protegido do HSM. Para obter mais informações, consulte Proteger sua implantação do HSM na Nuvem do Azure.

O HSM de Nuvem do Azure usa módulos de segurança de hardware do Marvell LiquidSecurity. Para obter mais informações sobre especificações de serviço, consulte os limites de serviço do HSM na Nuvem do Azure.

A Microsoft fornece todos os softwares e ferramentas para o Azure Cloud HSM por meio de seu SDK. Você pode baixar o SDK do HSM do Azure Cloud no GitHub. Para obter mais informações sobre opções de integração, consulte os guias de integração do HSM na Nuvem do Azure.

Não, a Microsoft supervisiona o firmware no hardware. Um terceiro (o fabricante do HSM) mantém o hardware. O NIST avalia o firmware e deve assiná-lo para garantir a conformidade com os padrões fips 140-3 de nível 3. Para obter mais informações sobre o gerenciamento de hardware, consulte o que é o HSM de Nuvem do Azure?.

O Azure oferece várias soluções para armazenamento e gerenciamento de chaves criptográficas na nuvem: Azure Key Vault (ofertas padrão e premium), HSM Gerenciado do Azure, HSM de Nuvem do Azure e HSM de Pagamento do Azure. Pode ser impressionante para os clientes decidirem qual solução é melhor para eles. Um fluxograma, baseado em requisitos comuns de alto nível e cenários de gerenciamento de chaves, está disponível para ajudar os clientes a tomar essa decisão. Veja Como escolher a solução de gerenciamento de chaves correta.

O HSM de Nuvem do Azure é mais adequado para cenários de migração quando você está migrando aplicativos locais que já estão usando HSMs para o Azure. O HSM de Nuvem do Azure fornece uma opção de baixo atrito para migrar para o Azure com alterações mínimas para o aplicativo.

Se as operações criptográficas forem executadas no código de um aplicativo em execução em uma máquina virtual ou aplicativo Web do Azure, uma organização poderá usar o HSM na Nuvem. Em geral, o software encapsulado em execução em modelos iaaS (infraestrutura como serviço) que dão suporte a HSMs como um repositório de chaves pode usar o HSM na Nuvem. Este software inclui:

• Serviços de Certificados do Active Directory (AD CS).
• Descarregamento de SSL/TLS para NGINX e Apache.
• Ferramentas e aplicativos usados para assinatura de documento.
• Assinatura de código.
• Aplicativos Java que exigem um provedor JCE (Java Cryptography Extension).
• Microsoft SQL Server TDE (IaaS) por meio do Gerenciamento Extensível de Chaves (EKM).
• Oracle TDE.

Para obter mais informações sobre como implementar esses cenários, consulte os guias de integração do Azure Cloud HSM.

Não. A Microsoft não dá suporte a "traga seu próprio HSM". O Azure Cloud HSM não pode hospedar nenhum dispositivo fornecido pelo cliente. Para obter mais informações sobre a arquitetura de serviço, consulte o que é hsm de nuvem do Azure?.

Sim, mas depende de sua arquitetura e configuração. Se sua implantação de HSM dedicada estiver configurada em um agrupamento de ALTA DISPONIBILIDADE (HA), você não poderá migrar chaves. O motivo é que a exportação de chave está desabilitada para permitir a clonagem de chave (agrupamento de HA) e alterar esses atributos é um processo destrutivo. Se sua implantação de HSM dedicada estiver configurada em um agrupamento de HA, você deverá criar novas chaves ao migrar para o HSM da Nuvem do Azure. Para obter mais informações sobre o gerenciamento de chaves, consulte o gerenciamento de chaves no HSM de Nuvem do Azure.

Não, o Azure Cloud HSM não tem uma política monetária. A integração do Azure Cloud HSM está aberta a todos os clientes. Para obter mais informações sobre como começar, consulte o guia de integração do Azure Cloud HSM.

Você incorre em uma taxa por hora para cada cluster do Azure Cloud HSM, que consiste em três nós. Depois de provisionar um recurso de HSM na nuvem, ele permanecerá continuamente ativo (sempre ativado). A cobrança começa quando você provisiona um recurso, em vez de concluir a inicialização do recurso HSM. Para obter mais informações sobre opções de implantação, consulte Implantar o HSM de Nuvem do Azure usando o PowerShell ou implantar o Azure Cloud HSM usando o portal do Azure.

O HSM de Nuvem do Azure requer uma infraestrutura de rede, como uma rede virtual e um ponto de extremidade privado. Ele também requer recursos como máquinas virtuais para a configuração do dispositivo. Esses recursos incorrem em custos extras e não estão incluídos nos preços do serviço HSM na Nuvem do Azure. Para obter mais informações sobre os requisitos de rede, consulte Segurança de rede para o HSM de Nuvem do Azure.

Não, uma camada gratuita não está disponível para o HSM de Nuvem do Azure. Para obter mais informações sobre ofertas de serviço, consulte o que é o HSM de Nuvem do Azure?.

• Windows Server 2016, 2019 e 2022
• Linux (Ubuntu 20.04, Ubuntu 22.04, Ubuntu 24.04, RHEL 7, RHEL 8 e RHEL 9)
• CBL Mariner 2

Para obter mais informações sobre compatibilidade e solução de problemas, consulte Solucionar problemas do HSM de Nuvem do Azure.

Você gerencia sua implantação de serviço acessando o cluster do Azure Cloud HSM por meio do SSH (Secure Shell) e do SDK do HSM do Azure Cloud do GitHub. Para obter mais informações sobre operações de gerenciamento, consulte Gerenciamento de usuários no Azure Cloud HSM.

O SDK do HSM na Nuvem do Azure contém software e ferramentas para executar operações criptográficas em aplicativos. O Azure Cloud HSM dá suporte a várias interfaces, incluindo PKCS#11, OpenSSL, JCE, KSP (provedor de armazenamento de chaves) e API de Criptografia: CNG (Próxima Geração). O intervalo de ferramentas no SDK permite a interação perfeita com o HSM.

Você pode baixar o SDK do HSM do Azure Cloud no GitHub. Para obter mais informações sobre métodos de conectividade, consulte Autenticação no Azure Cloud HSM.

O Azure Cloud HSM dá suporte apenas à autenticação baseada em senha. Ele não dá suporte à autenticação por meio de um PED (dispositivo de entrada PIN). Para obter mais informações sobre métodos de autenticação, consulte Autenticação no Azure Cloud HSM.

Sim. Use o emparelhamento de rede virtual em uma região para estabelecer conectividade entre redes virtuais. Para conectividade entre regiões, use o emparelhamento de rede virtual global ou um gateway de VPN. Para obter mais informações sobre configurações de rede, consulte Segurança de rede para O HSM de Nuvem do Azure.

Não. Embora o HSM de Nuvem do Azure não interopere diretamente com HSMs locais, você pode transferir chaves exportáveis com segurança entre o HSM da Nuvem do Azure e a maioria dos HSMs comerciais usando um dos vários métodos de encapsulamento de chave com suporte. Para obter mais informações sobre o gerenciamento de chaves, consulte o gerenciamento de chaves no HSM de Nuvem do Azure.

Não. Os clusters HSM da Nuvem do Azure só podem ser acessados de dentro de sua rede virtual. Para obter mais informações sobre limitações de serviço, consulte o que é hsm de nuvem do Azure?.

Não. O HSM de Nuvem do Azure é provisionado diretamente em seu espaço de endereço IP privado, para que outros serviços do Azure ou da Microsoft não possam acessá-lo. Para obter mais informações sobre funcionalidades e limitações de serviço, consulte o que é o HSM de Nuvem do Azure?.

Sim. Há vários métodos para trazer sua própria chave (BYOK) e ter HSMs locais que permitem a exportação de chave (encapsulamento de chave). Para obter mais informações sobre operações de importação de chaves, consulte o gerenciamento de chaves no HSM de Nuvem do Azure.

Não. O serviço HSM de Nuvem do Azure não dá suporte a módulos de funcionalidade. Para obter mais informações sobre os recursos de serviço, consulte os limites de serviço do HSM na Nuvem do Azure.

Não. Você não pode alterar o certificado de proprietário da partição depois de carregá-lo. Se você carregar por PO.crt erro, precisará excluir o recurso HSM do Azure Cloud e implantar novamente.

Não. Você não pode restaurar um backup para seu recurso de HSM de nuvem do Azure de origem porque ele está em um estado ativado. Para obter mais informações sobre operações de backup e restauração, consulte Backup e restauração no HSM de Nuvem do Azure.

Não. O HSM de Nuvem do Azure não dá suporte à restauração de um backup para seu HSM de origem ou qualquer recurso de HSM de nuvem que já esteja ativado. Caso contrário, a operação de restauração falhará e colocará o recurso HSM de nuvem de destino em um estado não funcional. Para obter mais informações sobre o processo de restauração, consulte as diretrizes de restauração para o HSM de Nuvem do Azure.

Sim. Você pode restaurar um backup para outro recurso de HSM de Nuvem do Azure em qualquer região, se o recurso HSM de nuvem de destino não estiver em um estado ativado. Para obter mais informações sobre restauração entre regiões, consulte a recuperação entre regiões para o HSM de Nuvem do Azure.

Não. Apenas uma identidade gerenciada é permitida por cluster HSM na Nuvem do Azure. Para obter mais informações sobre gerenciamento de identidade e acesso, consulte Aplicar uma identidade gerenciada e criar uma conta de armazenamento.

Sim. A função RBAC (controle de acesso baseado em função) mínima necessária é o Colaborador de Dados do Blob de Armazenamento. Você pode restringir a origem como somente leitura, mas precisa de permissões de leitura/gravação no destino. Para obter mais informações sobre o controle de acesso, consulte Aplicar uma identidade gerenciada e criar uma conta de armazenamento.

Não. Com o Azure Cloud HSM, você tem acesso administrativo exclusivo ao HSM como um único locatário. Para obter mais informações sobre a arquitetura de serviço, consulte o que é hsm de nuvem do Azure?.

Não. A Microsoft não tem acesso às chaves armazenadas em HSMs alocados pelo cliente. Para obter mais informações sobre controles de segurança, consulte Proteger sua implantação do Azure Cloud HSM.

Na arquitetura do HSM do Azure Cloud, a separação de tarefas e o controle de acesso baseado em função são princípios fundamentais. A Microsoft não tem nenhum controle criptográfico sobre HSMs alocados pelo cliente ou controle sobre os usuários do HSM, além de sua própria função limitada como usuário do dispositivo.

A Microsoft tem permissões restritas para o HSM. Essas permissões permitem monitoramento, manutenção de integridade e disponibilidade, backups criptografados e extração e publicação de logs de auditoria imutáveis para o armazenamento especificado pelo cliente. Essas permissões não permitem que a Microsoft use chaves de propriedade de usuários de criptografia para executar operações criptográficas. Para obter mais informações sobre o log operacional, consulte Configurar e consultar o log de eventos de operação para o HSM de Nuvem do Azure.

Não, o Azure Cloud HSM não retém dados do cliente. Todos os principais materiais e dados estão alojados no HSM do cliente. Cada cluster do Azure Cloud HSM é designado exclusivamente para um único cliente que tem controle administrativo. Para obter mais informações sobre proteção de dados, consulte Proteger sua implantação do Azure Cloud HSM.

Sim, o HSM de Nuvem do Azure oferece HSMs validados para atender aos padrões fips 140-3 de nível 3. Para obter procedimentos para verificar a autenticidade do HSM, incluindo a verificação da certificação FIPS 140-3 Nível 3 do NIST, consulte o guia de integração. Para obter mais informações sobre conformidade, consulte o que é o HSM de Nuvem do Azure?.

Sim. O Azure Cloud HSM dá suporte à conformidade com eIDAS no esquema austríaco, fornecendo gerenciamento seguro de chaves, operações criptográficas e hardware validado fips 140-3 nível 3 para atender a requisitos rigorosos de assinaturas e selos eletrônicos qualificados, para ajudar a garantir a conformidade regulatória. Saiba mais no certificado QSCD. Para obter mais informações sobre padrões de segurança, consulte Proteger sua implantação do HSM na Nuvem do Azure.

O HSM de Nuvem do Azure incorpora mecanismos de detecção e resposta de violação física e lógica que iniciam a exclusão de chave (zeroização) do hardware. Essas medidas são projetadas para detectar a adulteração se a barreira física estiver comprometida.

Além disso, os HSMs são protegidos contra ataques de entrada de força bruta. O sistema bloqueia os COs (oficiais de criptografia) após um número definido de tentativas de acesso malsucedidas. Da mesma forma, repetidas tentativas malsucedidas de acessar um HSM com credenciais de usuário de criptografia () resultam no bloqueio do usuário. Em seguida, uma CO deve desbloquear a. Desbloquear um CO requer getChallenge e assinar o desafio PO.key por meio do OpenSSL, seguido por unlockCO comandos e changePswd por comandos. Para obter mais informações sobre recursos de segurança, consulte Proteger sua implantação do Azure Cloud HSM.

A Microsoft facilita todo o suporte para o HSM de Nuvem do Azure. Se você encontrar problemas relacionados a hardware, software, configuração de HSM ou acesso à rede, envie uma solicitação de suporte à Microsoft. Para obter mais informações sobre problemas e soluções comuns, consulte Solucionar problemas do HSM de Nuvem do Azure.

Os datacenters do Azure têm amplos controles de segurança física e processual. Além disso, os HSMs no Azure Cloud HSM são hospedados em uma área de acesso restrito do datacenter, com controles de acesso físico e vigilância por vídeo para maior segurança. Para obter mais informações sobre segurança física, consulte Proteger sua implantação do Azure Cloud HSM.

Não. A Microsoft não tem acesso às suas chaves ou credenciais e não pode recuperar suas chaves se você perder suas credenciais. Para obter mais informações sobre o gerenciamento de credenciais, consulte Gerenciamento de usuário no HSM de Nuvem do Azure.

Não, embora a Microsoft precise executar a manutenção para atualizações necessárias ou hardware defeituoso. Notificaremos os clientes com antecedência se anteciparmos qualquer impacto. Para obter mais informações sobre considerações operacionais, consulte Proteger sua implantação do Azure Cloud HSM.

Para contratos de nível de serviço, consulte SLAs (Contratos de Nível de Serviço) para Serviços Online. Para obter mais informações sobre a confiabilidade do serviço, consulte o que é o HSM da Nuvem do Azure?.