Azure 雲端 HSM 的常見問題

Microsoft Azure Cloud HSM 是一項服務，可使用符合 FIPS 140-3 層級 3 安全性標準的硬體安全性模組（HSM）為密碼編譯密鑰提供安全記憶體。 它是符合業界標準的客戶管理、單一租使用者、高可用性服務。

Azure 雲端 HSM 支援各種應用程式，包括 PKCS#11、卸除安全套接字層 （SSL） 或傳輸層安全性 （TLS） 處理、證書頒發機構單位 （CA） 私鑰保護，以及透明數據加密 （TDE）。 它也支援檔和程式代碼簽署。

Azure Cloud HSM 藉由將多個 HSM 分組至叢集，並自動跨三個 HSM 實例進行同步處理，以提供高可用性和備援。 HSM 叢集支持密碼編譯作業的負載平衡。 定期 HSM 備份有助於確保安全且簡單的數據復原。 如需詳細資訊，請參閱 什麼是 Azure 雲端 HSM？。

硬體安全性模組 （HSM） 是一種實體運算裝置，其設計目的是保護和管理密碼編譯密鑰。 在 HSM 中，金鑰會安全地儲存並用於密碼編譯作業。 防竄改和防竄改的硬體模組有助於確保這些密鑰的機密性和完整性。 密鑰的存取僅限於已驗證和授權的應用程式，因此金鑰數據一律會保留在 HSM 的受保護界限內。 如需詳細資訊，請參閱 保護您的 Azure 雲端 HSM 部署。

Azure Cloud HSM 使用 Marvell LiquidSecurity 硬體安全性模組。 如需服務規格的詳細資訊，請參閱 Azure 雲端 HSM 服務限制。

Microsoft透過其 SDK 提供 Azure Cloud HSM 的所有軟體和工具。 您可以從 GitHub 下載 Azure Cloud HSM SDK。 如需整合選項的詳細資訊，請參閱 Azure 雲端 HSM 整合指南。

否，Microsoft會監督硬體上的韌體。 第三方 （HSM 製造商） 會維護硬體。 NIST 會評估韌體，並必須簽署它，以確保符合 FIPS 140-3 層級 3 標準。 如需硬體管理的詳細資訊，請參閱 什麼是 Azure 雲端 HSM？。

Azure 為雲端中的密碼編譯密鑰記憶體和管理提供多個解決方案：Azure Key Vault（標準和進階供應專案）、Azure 受控 HSM、Azure 雲端 HSM 和 Azure 付款 HSM。 對於客戶來說，決定哪一個解決方案最適合客戶可能很壓倒性。 流程圖是根據常見的高階需求和關鍵管理案例，可協助客戶做出此決策。 請參閱 如何選擇正確的金鑰管理解決方案。

當您將已使用 HSM 的內部部署應用程式移轉至 Azure 時，Azure 雲端 HSM 最適合移轉案例。 Azure Cloud HSM 提供低摩擦選項，可透過對應用程式進行最少變更來遷移至 Azure。

如果在 Azure 虛擬機或 Web 應用程式中執行的應用程式程式代碼中執行密碼編譯作業，組織可以使用 Cloud HSM。 一般而言，在基礎結構即服務 （IaaS） 模型中執行的壓縮包裝軟體可支援 HSM 作為密鑰存放區，可以使用雲端 HSM。 此軟體包括：

• Active Directory 憑證服務 （AD CS） 。
• NGINX 和 Apache 的 SSL/TLS 卸除。
• 用於檔案簽署的工具和應用程式。
• 程式代碼簽署。
• 需要 Java 密碼編譯延伸模組 （JCE） 提供者的 Java 應用程式。
• Microsoft SQL Server TDE （IaaS） 透過可延伸金鑰管理 （EKM） 。
• Oracle TDE。

如需實作這些案例的詳細資訊，請參閱 Azure Cloud HSM 整合指南。

否。 Microsoft不支援「攜帶您自己的 HSM」。Azure 雲端 HSM 無法裝載任何客戶提供的裝置。 如需服務架構的詳細資訊，請參閱 什麼是 Azure 雲端 HSM？。

是，但它取決於您的架構和設定。 如果您的專用 HSM 部署是在高可用性 （HA） 群組中設定，則您無法移轉密鑰。 原因是已停用金鑰導出以允許金鑰複製（HA 群組），而變更這些屬性是破壞性程式。 如果您的專用 HSM 部署是在 HA 群組中設定，則必須在移轉至 Azure Cloud HSM 時建立新的密鑰。 如需金鑰管理的詳細資訊，請參閱 Azure 雲端 HSM 中的密鑰管理。

否，Azure 雲端 HSM 沒有貨幣政策。 將 Azure 雲端 HSM 上線已開放給所有客戶。 如需入門的詳細資訊，請參閱 Azure Cloud HSM 上線指南。

每個 Azure 雲端 HSM 叢集每小時會產生費用，其中包含三個節點。 布建雲端 HSM 資源之後，它會持續保持作用中（一律開啟）。 當您布建資源，而不是完成 HSM 資源初始化時，計費就會開始。 如需部署選項的詳細資訊，請參閱 使用 PowerShell 部署 Azure 雲端 HSM 或使用 Azure 入口網站部署 Azure 雲端 HSM。

Azure 雲端 HSM 需要網路基礎結構，例如虛擬網路和私人端點。 它也需要資源，例如虛擬機以進行裝置設定。 這些資源會產生額外費用，且不包含在 Azure 雲端 HSM 服務定價中。 如需網路需求的詳細資訊，請參閱 Azure 雲端 HSM 的網路安全性。

否，Azure Cloud HSM 無法使用免費層。 如需服務供應專案的詳細資訊，請參閱 什麼是 Azure 雲端 HSM？。

• Windows Server 2016、2019 和 2022
• Linux （Ubuntu 20.04、Ubuntu 22.04、Ubuntu 24.04、RHEL 7、RHEL 8 和 RHEL 9）
• CBL 水手 2

如需相容性和疑難解答的詳細資訊，請參閱 針對 Azure 雲端 HSM 進行疑難解答。

您可以從 GitHub 存取 Azure 雲端 HSM 叢集，以透過安全殼層 （SSH） 和 Azure Cloud HSM SDK 來管理您的服務部署。 如需管理作業的詳細資訊，請參閱 Azure 雲端 HSM 中的使用者管理。

Azure Cloud HSM SDK 包含軟體和工具，可在應用程式內執行密碼編譯作業。 Azure Cloud HSM 支援各種介面，包括 PKCS#11、OpenSSL、JCE、密鑰儲存提供者 （KSP） 和密碼編譯 API：新一代 （CNG）。 SDK 中的工具範圍可讓您與 HSM 順暢互動。

您可以從 GitHub 下載 Azure Cloud HSM SDK。 如需連線方法的詳細資訊，請參閱 Azure 雲端 HSM 中的驗證。

Azure Cloud HSM 僅支持密碼型驗證。 它不支援透過 PIN 輸入裝置進行驗證（PED）。 如需驗證方法的詳細資訊，請參閱 Azure 雲端 HSM 中的驗證。

是的。 使用區域內的 虛擬網路對等互連 來建立跨虛擬網路的連線。 針對跨區域連線，請使用 全域虛擬網路對等互連 或 VPN 閘道。 如需網路組態的詳細資訊，請參閱 Azure 雲端 HSM 的網路安全性。

否。 雖然 Azure 雲端 HSM 不會直接與內部部署 HSM 互通，但您可以使用數個支援的密鑰包裝方法之一，安全地在 Azure 雲端 HSM 與大部分商業 HSM 之間傳輸可導出的密鑰。 如需金鑰管理的詳細資訊，請參閱 Azure 雲端 HSM 中的密鑰管理。

否。 Azure 雲端 HSM 叢集只能從虛擬網路內部存取。 如需服務限制的詳細資訊，請參閱 什麼是 Azure 雲端 HSM？。

否。 Azure 雲端 HSM 會直接布建到您的私人 IP 位址空間，因此其他 Azure 或Microsoft服務無法存取它。 如需服務功能和限制的詳細資訊，請參閱 什麼是 Azure 雲端 HSM？。

是的。 有多個方法可以攜帶您自己的密鑰（BYOK），並具有允許密鑰導出的內部部署 HSM（金鑰包裝）。 如需金鑰匯入作業的詳細資訊，請參閱 Azure 雲端 HSM 中的金鑰管理。

否。 Azure 雲端 HSM 服務不支援功能模組。 如需服務功能的詳細資訊，請參閱 Azure 雲端 HSM 服務限制。

否。 上傳數據分割之後，您無法變更分割區擁有者憑證。 如果您上傳 PO.crt 錯誤，您必須刪除 Azure Cloud HSM 資源並再次部署。

否。 您無法將備份還原至其來源 Azure Cloud HSM 資源，因為它處於啟動狀態。 如需備份和還原作業的詳細資訊，請參閱 Azure 雲端 HSM 中的備份和還原。

否。 Azure 雲端 HSM 不支援將備份還原至其來源 HSM 或任何已啟用的雲端 HSM 資源。 否則，還原作業將會失敗，並將目的地 Cloud HSM 資源置於非功能狀態。 如需還原程式的詳細資訊，請參閱 Azure 雲端 HSM 的還原指導方針。

是的。 如果目的地雲端 HSM 資源未處於啟動狀態，您可以將備份還原至任何區域中的另一個 Azure Cloud HSM 資源。 如需跨區域還原的詳細資訊，請參閱 Azure 雲端 HSM 的跨區域復原。

否。 每個 Azure 雲端 HSM 叢集只允許一個受控識別。 如需身分識別和存取管理的詳細資訊，請參閱 套用受控識別並建立記憶體帳戶。

是的。 所需的最低角色型訪問控制 （RBAC） 角色是記憶體 Blob 資料參與者。 您可以將來源限制為唯讀，但您需要目的地的讀取/寫入許可權。 如需訪問控制的詳細資訊，請參閱 套用受控識別並建立記憶體帳戶。

否。 使用 Azure Cloud HSM 時，您可以以單一租使用者身分存取 HSM 的獨佔系統管理存取權。 如需服務架構的詳細資訊，請參閱 什麼是 Azure 雲端 HSM？。

否。 Microsoft無法存取儲存在客戶配置 HSM 中的金鑰。 如需安全性控制的詳細資訊，請參閱 保護您的 Azure 雲端 HSM 部署。

在 Azure 雲端 HSM 的架構中，職責和角色型訪問控制的區隔是基本原則。 Microsoft對於客戶配置的 HSM 沒有任何密碼編譯控制，或對 HSM 的用戶進行任何密碼編譯控制，除了自己作為設備使用者的限制角色之外。

Microsoft具有 HSM 的限制許可權。 這些許可權允許監視、維護健全狀況和可用性、加密備份，以及擷取和發佈不可變的稽核記錄給客戶的指定記憶體。 這些許可權不允許Microsoft使用密碼編譯用戶所擁有的密鑰來執行密碼編譯作業。 如需作業記錄的詳細資訊，請參閱 設定和查詢 Azure Cloud HSM 的作業事件記錄。

否，Azure 雲端 HSM 不會保留客戶數據。 所有重要數據和數據都儲存在客戶的 HSM 內。 每個 Azure 雲端 HSM 叢集都會針對具有系統管理控制權的單一客戶獨佔指定。 如需數據保護的詳細資訊，請參閱 保護您的 Azure 雲端 HSM 部署。

是，Azure 雲端 HSM 提供經過驗證以符合 FIPS 140-3 層級 3 標準的 HSM。 如需驗證 HSM 真實性的程式，包括檢查 來自 NIST 的 FIPS 140-3 層級 3 認證，請參閱 上線指南。 如需合規性的詳細資訊，請參閱 什麼是 Azure 雲端 HSM？。

是的。 Azure Cloud HSM 透過提供安全密鑰管理、密碼編譯作業和 FIPS 140-3 層級 3 驗證的硬體，以符合合格電子簽章和密封的嚴格需求，以支援 eIDAS 合規性，以協助確保法規合規性。 深入瞭解 QSCD 憑證。 如需安全性標準的詳細資訊，請參閱 保護您的 Azure 雲端 HSM 部署。

Azure Cloud HSM 同時包含實體和邏輯竄改偵測，以及起始硬體密鑰刪除（零化）的響應機制。 這些措施的設計目的是在實體屏障遭到入侵時偵測竄改。

此外，HSM 會受到保護，以防止暴力密碼破解登入攻擊。 在一組失敗的存取嘗試之後，系統會鎖定密碼編譯官員（COS）。 同樣地，重複嘗試使用密碼編譯使用者 （CU） 認證存取 HSM 時失敗，會導致鎖定使用者。 然後，CO 必須解除鎖定 CU。 解除鎖定 CO 需要 getChallenge 並透過 OpenSSL 簽署挑戰 PO.key ，後面接著 unlockCO 和 changePswd 命令。 如需安全性功能的詳細資訊，請參閱 保護 Azure 雲端 HSM 部署。

Microsoft可協助所有 Azure 雲端 HSM 支援。 如果您遇到與硬體、軟體、HSM 設定或網路存取相關的任何問題，請將支援要求提交至Microsoft。 如需常見問題和解決方案的詳細資訊，請參閱 針對 Azure 雲端 HSM 進行疑難解答。

Azure 數據中心具有廣泛的實體和程式性安全性控制。 此外，Azure 雲端 HSM 中的 HSM 會裝載在資料中心的受限存取區域中，並具有實體訪問控制和視訊監視，以增加安全性。 如需實體安全性的詳細資訊，請參閱 保護 Azure 雲端 HSM 部署。

否。 Microsoft無法存取您的金鑰或認證，而且如果您遺失認證，就無法復原密鑰。 如需認證管理的詳細資訊，請參閱 Azure Cloud HSM 中的使用者管理。

否，雖然Microsoft可能需要針對必要的升級或故障硬體執行維護。 如果我們預期有任何影響，我們會事先通知客戶。 如需作業考慮的詳細資訊，請參閱 保護您的 Azure 雲端 HSM 部署。

如需服務等級協定，請參閱在線服務的服務等級協定（SLA）。 如需服務可靠性的詳細資訊，請參閱 什麼是 Azure 雲端 HSM？。