Compartilhar via

Migrar do HSM Dedicado do Azure para o HSM Gerenciado do Azure ou o HSM de Nuvem do Azure

Os clientes de HSM dedicados do Azure que desejam fazer a transição para o HSM de Nuvem do Azure ou para o HSM Gerenciado do Azure podem encontrar diretrizes neste artigo. Essa transição envolve a criação de novas chaves e a atualização de aplicativos para usar os novos serviços.

Aviso

Os clientes não podem migrar materiais de chave existentes do HSM Dedicado do Azure para o Azure Cloud HSM ou Azure HSM Gerenciado devido a restrições conhecidas do HSM Thales Luna. Você deve criar novas chaves no HSM da Nuvem do Azure ou no HSM Gerenciado do Azure ao fazer a transição do HSM Dedicado do Azure.

A Microsoft não tem acesso a HSMs dedicados alocados aos clientes porque os dispositivos são alocados dentro do espaço de endereço IP privado dos clientes. Os clientes são responsáveis por coordenar com suas equipes internas para criar novas chaves no HSM de Nuvem do Azure ou no HSM Gerenciado do Azure, atualizar seus aplicativos para usar as novas chaves e testar para garantir uma transição tranquila.

Restrições do HSM Thales Luna

A exportação de chaves protegidas por HSM de um HSM Thales Luna para o Azure Cloud HSM ou HSM Gerenciado do Azure não será possível se a configuração de política de partição padrão, "exportação de chave", estiver desabilitada. Esse modo impede que chaves privadas existam fora de um HSM Luna confiável no domínio de clonagem designado.

Os clientes de HSM dedicado do Azure que usam grupos de Alta Disponibilidade (HA) para dar suporte ao BCDR em vários dispositivos normalmente têm o "modo de clonagem habilitado" e a "exportação de chave desabilitada". Como resultado, os materiais de chave existentes não podem ser transitórios e novas chaves devem ser criadas no HSM da Nuvem do Azure ou no HSM Gerenciado do Azure.

Os HSMs thales Luna com "modo de clonagem ativado" e "exportação de chave" desabilitados não podem exportar chaves.

Aviso

Alterar as políticas de partição no HSM Thales Luna é um processo destrutivo. Se você aplicar uma alteração na política de partição, ela zera o HSM, e todos os materiais de chave e conteúdos serão perdidos. Se você não tiver certeza do estado da política de partição, poderá executar partition showPolicies em seu Azure Dedicated HSM para visualizar as políticas atuais.

Transição para o HSM de Nuvem do Azure

Os clientes podem consultar o guia de integração do Azure Cloud HSM, os guias de integração e a documentação de visão geral para provisionar e ativar seus recursos de HSM na Nuvem do Azure. Para obter detalhes adicionais sobre cenários de uso e práticas recomendadas, consulte as perguntas frequentes sobre O HSM na Nuvem do Azure.

Provisionar e ativar o HSM do Azure Cloud

Para começar a usar o HSM do Azure Cloud, você precisa provisionar e ativar seus recursos de HSM. Siga os guias abaixo para obter instruções detalhadas.

Criar chaves no HSM de Nuvem do Azure

A criação de chaves no HSM de Nuvem do Azure é simples. Você pode aprender a criar, listar, excluir, fazer backup, recuperar ou importar chaves, referindo-se à Visão Geral do HSM do Azure Cloud, que fornece todos os comandos e diretrizes necessários para gerenciar chaves HSM.

Ler as práticas recomendadas usando o HSM da Nuvem do Azure

O Azure Cloud HSM é um serviço de nuvem que protege chaves de criptografia. Como essas chaves são confidenciais e críticas para os negócios, certifique-se de proteger o acesso aos HSMs de nuvem permitindo apenas aplicativos e usuários autorizados. O artigo de práticas recomendadas , juntamente com gerenciamento de chaves, segurança e gerenciamento de usuários, fornece uma visão geral do modelo de acesso. Ele explica a autenticação, a autorização e o controle de acesso baseado em função que você deve seguir.

Transição para o HSM Gerenciado do Azure

Os clientes podem provisionar e ativar rapidamente um HSM Gerenciado usando os guias de referência de Início Rápido abaixo:

Provisionamento e ativação de um HSM Gerenciado

Para começar a usar o HSM Gerenciado do Azure, você precisa provisioná-lo e ativá-lo. Use os guias a seguir para obter instruções passo a passo.

Criar chaves no HSM Gerenciado do Azure

A criação de chaves no HSM Gerenciado do Azure é essencial para proteger seus dados. Consulte os recursos a seguir para obter instruções detalhadas.

Ler as práticas recomendadas usando o HSM Gerenciado do Azure

O HSM Gerenciado do Azure é um serviço de nuvem que protege chaves de criptografia. Como essas chaves são confidenciais e críticas para os negócios, certifique-se de proteger o acesso aos HSMs gerenciados permitindo apenas aplicativos e usuários autorizados. Nossas práticas recomendadas e artigo sobre o Controle de Acesso ao HSM Gerenciado fornecem uma visão geral do modelo de acesso. Ele explica a autenticação, a autorização e o controle de acesso baseado em função aos quais você deverá aderir.

Perguntas frequentes

Os clientes podem migrar chaves de HSM dedicadas para hsm de nuvem ou HSM gerenciado?

Não, as chaves existentes não podem ser migradas devido a restrições no HSM Thales Luna. Os clientes devem criar novas chaves no HSM da Nuvem do Azure ou no HSM Gerenciado do Azure.

Os clientes podem alterar as políticas de partição no HSM dedicado para habilitar a exportação de chaves?

Não. Alterar políticas de partição para clonagem de chave ou exportação de chave é um processo destrutivo. Somente no momento da criação da partição essa política pode ser definida. Se você alterar essa política depois de criar as chaves, as configurações de fábrica serão restauradas e você perderá todos os materiais de chave. Essa política é imposta por meio do firmware Thales.

Próximas etapas

Para saber mais sobre o HSM de Nuvem do Azure e o HSM Gerenciado do Azure, explore os seguintes recursos:

  • Last updated on