Migrar do Azure Dedicated HSM para o Azure Managed HSM ou Azure Cloud HSM

Os clientes do Azure Dedicated HSM que desejam fazer a transição para o Azure Cloud HSM ou o Azure Managed HSM podem encontrar orientações neste artigo. Essa transição envolve a criação de novas chaves e a atualização de aplicativos para usar os novos serviços.

A Microsoft não tem acesso a HSMs dedicados alocados aos clientes porque os dispositivos são alocados dentro do espaço de endereço IP privado dos clientes. Os clientes são responsáveis por coordenar com suas equipes internas para criar novas chaves no Azure Cloud HSM ou no Azure Managed HSM, atualizar seus aplicativos para usar as novas chaves e testar para garantir uma transição suave.

Restrições do Thales Luna HSM

A exportação de chaves protegidas por HSM de um HSM Thales Luna para o Azure Cloud HSM ou Azure Managed HSM não é possível se a configuração de política de partição padrão, "exportação de chaves", estiver desabilitada. Esse modo impede que chaves privadas existam fora de um HSM Luna confiável no domínio de clonagem designado.

Os clientes de HSM dedicados do Azure que utilizam grupos de Alta Disponibilidade (HA) para apoiar o BCDR em vários dispositivos normalmente têm o "modo de clonagem ativo" e a "exportação de chaves" desativada. Como resultado, os materiais de chave existentes não podem ser transferidos e novas chaves devem ser criadas no Azure Cloud HSM ou no Azure Managed HSM.

Os HSMs Thales Luna com "modo de clonagem ativado" e "exportação de chaves" desativados não podem exportar chaves.

Transição para o Azure Cloud HSM

Os clientes podem consultar o guia de integração do Azure Cloud HSM, guias de integração e documentação de visão geral para provisionar e ativar seus recursos do Azure Cloud HSM. Para obter detalhes adicionais sobre cenários de uso e práticas recomendadas, consulte as Perguntas frequentes sobre o Azure Cloud HSM.

Provisionar e ativar o Azure Cloud HSM

Para começar a usar o Azure Cloud HSM, você precisa provisionar e ativar seus recursos do HSM. Siga os guias abaixo para obter instruções detalhadas.

• Visão geral do Azure Cloud HSM
• Guia de integração do Azure Cloud HSM
• Guias de Integração do Azure Cloud HSM

Criar chaves no Azure Cloud HSM

Criar chaves no Azure Cloud HSM é simples. Você pode aprender como criar, listar, excluir, fazer backup, recuperar ou importar chaves consultando a Visão geral do HSM na nuvem do Azure, que fornece todos os comandos e orientações necessários para gerenciar chaves HSM.

Leia as práticas recomendadas usando o Azure Cloud HSM

O Azure Cloud HSM é um serviço de nuvem que protege chaves de criptografia. Como essas chaves são confidenciais e críticas para os negócios, certifique-se de proteger o acesso aos seus HSMs na nuvem, permitindo apenas aplicativos e usuários autorizados. O artigo de práticas recomendadas , juntamente com o gerenciamento de chaves, segurança e gerenciamento de usuários, fornece uma visão geral do modelo de acesso. Ele explica a autenticação, a autorização e o controle de acesso baseado em função que você deve seguir.

Fazendo a transição para o HSM gerenciado do Azure

Os clientes podem provisionar e ativar rapidamente um HSM gerenciado usando os guias de referência do QuickStart abaixo:

Provisionar e ativar um HSM gerenciado

Para começar a usar o Azure Managed HSM, você precisa provisioná-lo e ativá-lo. Use os guias a seguir para obter instruções passo a passo.

• Visão geral do Azure Managed HSM
• Provisionar e ativar um HSM gerenciado usando a CLI do Azure
• Aprovisionar e ativar um HSM Gerido com o PowerShell
• Provisionar e ativar um HSM gerenciado usando o modelo do Azure Resource Manager

Criar chaves no Azure Managed HSM

Criar chaves no Azure Managed HSM é essencial para proteger seus dados. Consulte os recursos a seguir para obter instruções detalhadas.

• Gerenciar chaves em um HSM gerenciado do Azure usando a CLI do Azure

Leia as práticas recomendadas usando o Azure Managed HSM

O Azure Managed HSM é um serviço de nuvem que protege chaves de criptografia. Como essas chaves são confidenciais e críticas para os negócios, certifique-se de proteger o acesso aos HSMs gerenciados, permitindo apenas aplicativos e usuários autorizados. Nossas práticas recomendadas e o artigo sobre o controle de acesso gerenciado do HSM fornecem uma visão geral do modelo de acesso. Ele explica a autenticação e a autorização, bem como o controle de acesso baseado em função ao qual você deseja aderir.

Perguntas frequentes

Os clientes podem migrar chaves HSM dedicadas para o Cloud HSM ou HSM gerenciado?

Não, as chaves existentes não podem ser migradas devido a restrições no HSM Thales Luna. Os clientes devem criar novas chaves no Azure Cloud HSM ou no Azure Managed HSM.

Os clientes podem alterar as políticas de partição no HSM dedicado para permitir a exportação de chaves?

Não. Alterar as políticas de partição para clonagem ou exportação de chaves é um processo destrutivo. Somente no momento da criação da partição essa política pode ser definida. Se você alterar essa política depois de criar chaves, você será redefinido de fábrica e perderá todos os seus materiais de chave. Esta política é aplicada através do firmware Thales.

Próximos passos

Para saber mais sobre o Azure Cloud HSM e o Azure Managed HSM, explore os seguintes recursos:

• Visão geral do Azure Cloud HSM: saiba mais sobre os recursos e capacidades do Azure Cloud HSM.
• Visão geral do Azure Managed HSM: entenda os benefícios e os casos de uso do Azure Managed HSM.
• Guia de integração do Azure Cloud HSM: instruções passo a passo para começar a usar o Azure Cloud HSM.
• Guia de início rápido do Azure Managed HSM: guia de início rápido para provisionar e ativar o Azure Managed HSM.
• Perguntas frequentes sobre o Azure Cloud HSM: explore cenários de uso e práticas recomendadas para o Azure Cloud HSM.