Perguntas frequentes sobre o Azure Cloud HSM

O Microsoft Azure Cloud HSM é um serviço que fornece armazenamento seguro para chaves criptográficas usando módulos de segurança de hardware (HSMs) que atendem ao padrão de segurança FIPS 140-3 Nível 3. É um serviço gerenciado pelo cliente, de locatário único e altamente disponível que está em conformidade com os padrões do setor.

O Azure Cloud HSM dá suporte a vários aplicativos, incluindo PKCS#11, descarregamento do processamento SSL (Secure Sockets Layer) ou TLS (Transport Layer Security), proteção de chave privada da autoridade de certificação (CA) e criptografia de dados transparente (TDE). Também suporta assinatura de documentos e códigos.

O Azure Cloud HSM fornece alta disponibilidade e redundância agrupando vários HSMs em um cluster e sincronizando automaticamente em três instâncias do HSM. O cluster HSM oferece suporte ao balanceamento de carga de operações criptográficas. Os backups periódicos do HSM ajudam a garantir uma recuperação de dados segura e simples. Para obter mais informações, consulte O que é o Azure Cloud HSM?.

Um módulo de segurança de hardware (HSM) é um dispositivo de computação física projetado para proteger e administrar chaves criptográficas. Dentro dos HSMs, as chaves são armazenadas com segurança e usadas para operações criptográficas. Módulos de hardware invioláveis e invioláveis ajudam a garantir a confidencialidade e a integridade dessas chaves. O acesso às chaves é restrito a aplicativos autenticados e autorizados, portanto, o material da chave sempre permanece dentro do limite protegido do HSM. Para obter mais informações, consulte Proteger sua implantação do Azure Cloud HSM.

O Azure Cloud HSM usa módulos de segurança de hardware do Marvell LiquidSecurity. Para obter mais informações sobre especificações de serviço, consulte Limites de serviço do Azure Cloud HSM.

A Microsoft fornece todo o software e ferramentas para o Azure Cloud HSM através do seu SDK. Você pode baixar o SDK do Azure Cloud HSM do GitHub. Para obter mais informações sobre opções de integração, consulte Guias de integração do Azure Cloud HSM.

Não, a Microsoft supervisiona o firmware no hardware. Um terceiro (o fabricante do HSM) mantém o hardware. O NIST avalia o firmware e deve assiná-lo para garantir a conformidade com os padrões FIPS 140-3 Nível 3. Para obter mais informações sobre gerenciamento de hardware, consulte O que é o Azure Cloud HSM?.

O Azure oferece várias soluções para armazenamento e gerenciamento de chaves criptográficas na nuvem: Azure Key Vault (ofertas padrão e premium), Azure Managed HSM, Azure Cloud HSM e Azure Payment HSM. Pode ser difícil para os clientes decidir qual a melhor solução para eles. Um fluxograma, baseado em requisitos comuns de alto nível e cenários-chave de gerenciamento, está disponível para ajudar os clientes a tomar essa decisão. Consulte Como escolher a solução certa de gerenciamento de chaves.

O Azure Cloud HSM é mais adequado para cenários de migração, quando você está migrando aplicativos locais que já estão usando HSMs para o Azure. O Azure Cloud HSM fornece uma opção de baixo atrito para migrar para o Azure com alterações mínimas no aplicativo.

Se as operações criptográficas forem executadas no código de um aplicativo em execução em uma máquina virtual ou aplicativo Web do Azure, uma organização poderá usar o Cloud HSM. Em geral, o software empacotado por encolhimento executado em modelos de infraestrutura como serviço (IaaS) que suportam HSMs como um armazenamento de chaves pode usar o Cloud HSM. Este software inclui:

• Serviços de Certificados do Ative Directory (AD CS).
• Descarregamento de SSL/TLS para NGINX e Apache.
• Ferramentas e aplicações utilizadas para assinatura de documentos.
• Assinatura de código.
• Aplicações Java que requerem um fornecedor Java Cryptography Extension (JCE).
• Microsoft SQL Server TDE (IaaS) por meio do Gerenciamento Extensível de Chaves (EKM).
• Oracle TDE.

Para obter mais informações sobre como implementar esses cenários, consulte Guias de integração do Azure Cloud HSM.

Não. A Microsoft não suporta "traga seu próprio HSM". O Azure Cloud HSM não pode hospedar nenhum dispositivo fornecido pelo cliente. Para obter mais informações sobre a arquitetura de serviço, consulte O que é o Azure Cloud HSM?.

Sim, mas depende da sua arquitetura e configuração. Se a implantação do HSM dedicado estiver configurada em um agrupamento de alta disponibilidade (HA), não será possível migrar chaves. O motivo é que a exportação de chaves está desabilitada para permitir a clonagem de chaves (agrupamento HA), e alterar esses atributos é um processo destrutivo. Se sua implantação de HSM dedicado estiver configurada em um agrupamento de HA, você deverá criar novas chaves ao migrar para o Azure Cloud HSM. Para obter mais informações sobre gerenciamento de chaves, consulte Gerenciamento de chaves no Azure Cloud HSM.

Não, o Azure Cloud HSM não tem uma política monetária. A integração do Azure Cloud HSM está aberta a todos os clientes. Para obter mais informações sobre como começar, consulte Guia de integração do Azure Cloud HSM.

Você incorre em uma taxa por hora para cada cluster do Azure Cloud HSM, que consiste em três nós. Depois de provisionar um recurso do Cloud HSM, ele permanece continuamente ativo (sempre ativo). A cobrança começa quando você provisiona um recurso, em vez de quando termina de inicializar o recurso HSM. Para obter mais informações sobre opções de implantação, consulte Implantar o Azure Cloud HSM usando o PowerShell ou Implantar o Azure Cloud HSM usando o portal do Azure.

O Azure Cloud HSM requer uma infraestrutura de rede, como uma rede virtual e um ponto de extremidade privado. Também requer recursos como máquinas virtuais para configuração de dispositivos. Esses recursos incorrem em custos adicionais e não estão incluídos nos preços do serviço Azure Cloud HSM. Para obter mais informações sobre os requisitos de rede, consulte Segurança de rede para o Azure Cloud HSM.

Não, uma camada gratuita não está disponível para o Azure Cloud HSM. Para obter mais informações sobre ofertas de serviços, consulte O que é o Azure Cloud HSM?.

• Windows Server 2016, 2019 e 2022
• Linux (Ubuntu 20.04, Ubuntu 22.04, Ubuntu 24.04, RHEL 7, RHEL 8 e RHEL 9)
• CBL Mariner 2

Para obter mais informações sobre compatibilidade e solução de problemas, consulte Solucionar problemas do Azure Cloud HSM.

Você gerencia sua implantação de serviço acessando seu cluster do Azure Cloud HSM por meio do Secure Shell (SSH) e do SDK do Azure Cloud HSM do GitHub. Para obter mais informações sobre operações de gerenciamento, consulte Gerenciamento de usuários no Azure Cloud HSM.

O SDK do Azure Cloud HSM contém software e ferramentas para executar operações criptográficas em aplicativos. O Azure Cloud HSM suporta várias interfaces, incluindo PKCS#11, OpenSSL, JCE, fornecedor de armazenamento de chaves (KSP) e API de Criptografia: Nova Geração (CNG). A variedade de ferramentas no SDK permite uma interação perfeita com seu HSM.

Você pode baixar o SDK do Azure Cloud HSM do GitHub. Para obter mais informações sobre métodos de conectividade, consulte Autenticação no Azure Cloud HSM.

O Azure Cloud HSM dá suporte apenas à autenticação baseada em senha. Não suporta autenticação através de um dispositivo de entrada de PIN (PED). Para obter mais informações sobre métodos de autenticação, consulte Autenticação no Azure Cloud HSM.

Sim. Use o emparelhamento de rede virtual dentro de uma região para estabelecer conectividade entre redes virtuais. Para conectividade entre regiões, use o emparelhamento de rede virtual global ou um gateway VPN. Para obter mais informações sobre configurações de rede, consulte Segurança de rede para o Azure Cloud HSM.

Não. Embora o Azure Cloud HSM não interopere diretamente com HSMs locais, você pode transferir chaves exportáveis com segurança entre o Azure Cloud HSM e a maioria dos HSMs comerciais usando um dos vários métodos de encapsulamento de chave suportados. Para obter mais informações sobre gerenciamento de chaves, consulte Gerenciamento de chaves no Azure Cloud HSM.

Não. Os clusters do Azure Cloud HSM são acessíveis apenas de dentro da sua rede virtual. Para obter mais informações sobre limitações de serviço, consulte O que é o Azure Cloud HSM?.

Não. O Azure Cloud HSM é provisionado diretamente em seu espaço de endereço IP privado, portanto, outros serviços do Azure ou da Microsoft não podem acessá-lo. Para obter mais informações sobre recursos e limitações de serviço, consulte O que é o Azure Cloud HSM?.

Sim. Há vários métodos para trazer sua própria chave (BYOK) e ter HSMs locais que permitem a exportação de chaves (encapsulamento de chave). Para obter mais informações sobre operações de importação de chaves, consulte Gerenciamento de chaves no Azure Cloud HSM.

Não. O serviço Azure Cloud HSM não suporta módulos de funcionalidade. Para obter mais informações sobre os recursos de serviço, consulte Limites de serviço do Azure Cloud HSM.

Não. Não é possível alterar o certificado de proprietário da partição depois de carregá-lo. Se você carregar PO.crt por engano, precisará excluir seu recurso do Azure Cloud HSM e implantar novamente.

Não. Não é possível restaurar um backup para seu recurso Azure Cloud HSM de origem porque ele está em um estado ativado. Para obter mais informações sobre operações de backup e restauração, consulte Backup e restauração no Azure Cloud HSM.

Não. O Azure Cloud HSM não suporta a restauração de um backup para seu HSM de origem ou qualquer recurso do Cloud HSM que já esteja ativado. Caso contrário, a operação de restauração falhará e colocará o recurso Cloud HSM de destino em um estado não funcional. Para obter mais informações sobre o processo de restauração, consulte Diretrizes de restauração para o Azure Cloud HSM.

Sim. Você pode restaurar um backup para outro recurso do Azure Cloud HSM em qualquer região, se o recurso Cloud HSM de destino não estiver em um estado ativado. Para obter mais informações sobre restauração entre regiões, consulte Recuperação entre regiões para o Azure Cloud HSM.

Não. Apenas uma identidade gerenciada é permitida por cluster do Azure Cloud HSM. Para obter mais informações sobre gerenciamento de identidade e acesso, consulte Aplicar uma identidade gerenciada e criar uma conta de armazenamento.

Sim. A função mínima de controle de acesso baseado em função (RBAC) necessária é Storage Blob Data Contributor. Você pode restringir a origem como somente leitura, mas precisa de permissões de leitura/gravação no destino. Para obter mais informações sobre controle de acesso, consulte Aplicar uma identidade gerenciada e criar uma conta de armazenamento.

Não. Com o Azure Cloud HSM, você tem acesso administrativo exclusivo ao seu HSM como um único locatário. Para obter mais informações sobre a arquitetura de serviço, consulte O que é o Azure Cloud HSM?.

Não. A Microsoft não tem acesso às chaves armazenadas em HSMs alocados pelo cliente. Para obter mais informações sobre controles de segurança, consulte Proteger sua implantação do Azure Cloud HSM.

Na arquitetura do Azure Cloud HSM, a separação de funções e o controle de acesso baseado em função são princípios fundamentais. A Microsoft não tem nenhum controle criptográfico sobre HSMs alocados pelo cliente ou controle sobre os usuários do HSM, além de sua própria função limitada como usuário do dispositivo.

A Microsoft tem permissões restritas para o HSM. Essas permissões permitem monitoramento, manutenção de integridade e disponibilidade, backups criptografados e extração e publicação de logs de auditoria imutáveis no armazenamento especificado pelo cliente. Essas permissões não permitem que a Microsoft use chaves de propriedade de usuários de criptografia para executar operações criptográficas. Para obter mais informações sobre o log operacional, consulte Configurar e consultar o log de eventos de operação para o Azure Cloud HSM.

Não, o Azure Cloud HSM não retém dados de clientes. Todos os principais materiais e dados estão alojados no HSM do cliente. Cada cluster do Azure Cloud HSM é designado exclusivamente para um único cliente que tem controle administrativo. Para obter mais informações sobre proteção de dados, consulte Proteger sua implantação do Azure Cloud HSM.

Sim, o Azure Cloud HSM oferece HSMs validados para atender aos padrões FIPS 140-3 Nível 3. Para obter procedimentos para verificar a autenticidade do seu HSM, incluindo a verificação da certificação FIPS 140-3 Nível 3 do NIST, consulte o guia de integração. Para obter mais informações sobre conformidade, consulte O que é o Azure Cloud HSM?.

Sim. O Azure Cloud HSM dá suporte à conformidade com eIDAS sob o esquema austríaco, fornecendo gerenciamento seguro de chaves, operações criptográficas e hardware validado pelo FIPS 140-3 Nível 3 para atender aos requisitos rigorosos de assinaturas e selos eletrônicos qualificados, para ajudar a garantir a conformidade regulamentar. Saiba mais no Certificado QSCD. Para obter mais informações sobre padrões de segurança, consulte Proteger sua implantação do Azure Cloud HSM.

O Azure Cloud HSM incorpora mecanismos físicos e lógicos de deteção e resposta a adulterações que iniciam a exclusão de chave (zeragem) do hardware. Estas medidas destinam-se a detetar intervenções abusivas se a barreira física estiver comprometida.

Além disso, os HSMs são protegidos contra ataques de entrada por força bruta. O sistema bloqueia os oficiais de criptografia (COs) após um número definido de tentativas de acesso malsucedidas. Da mesma forma, repetidas tentativas malsucedidas de acessar um HSM com credenciais de usuário de criptografia () resultam no bloqueio do usuário. Um CO deve então desbloquear o. Desbloquear um CO requer getChallenge e assinar o desafio com PO.key via OpenSSL, seguido por unlockCO e changePswd comandos. Para obter mais informações sobre recursos de segurança, consulte Proteger sua implantação do Azure Cloud HSM.

A Microsoft facilita todo o suporte para o Azure Cloud HSM. Se você encontrar problemas relacionados a hardware, software, configuração de HSM ou acesso à rede, envie uma solicitação de suporte à Microsoft. Para obter mais informações sobre problemas e soluções comuns, consulte Solucionar problemas do Azure Cloud HSM.

Os datacenters do Azure têm amplos controles de segurança físicos e processuais. Além disso, os HSMs no Azure Cloud HSM são hospedados em uma área de acesso restrito do datacenter, com controles de acesso físico e vigilância por vídeo para maior segurança. Para obter mais informações sobre segurança física, consulte Proteger sua implantação do Azure Cloud HSM.

Não. A Microsoft não tem acesso às suas chaves ou credenciais e não pode recuperá-las se você perder suas credenciais. Para obter mais informações sobre gerenciamento de credenciais, consulte Gerenciamento de usuários no Azure Cloud HSM.

Não, embora a Microsoft possa precisar executar a manutenção para atualizações necessárias ou hardware defeituoso. Notificamos os clientes com antecedência se previrmos qualquer impacto. Para obter mais informações sobre considerações operacionais, consulte Proteger sua implantação do Azure Cloud HSM.

Para obter contratos de nível de serviço, consulte Contratos de nível de serviço (SLAs) para serviços online. Para obter mais informações sobre a confiabilidade do serviço, consulte O que é o Azure Cloud HSM?.