Perguntas frequentes

Um Módulo de Segurança de Hardware (HSM) é um dispositivo de computação física usado para proteger e gerenciar chaves criptográficas. Chaves armazenadas em HSMs podem ser usadas para operações criptográficas. O material da chave permanece com segurança em módulos de hardware invioláveis e invioláveis. O HSM permite apenas que aplicativos autenticados e autorizados usem as chaves. O material chave nunca sai do limite de proteção do HSM.

O HSM Dedicado do Azure é um serviço baseado em nuvem que fornece HSMs hospedados em datacenters do Azure que são conectados diretamente à rede virtual de um cliente. Esses HSMs são dispositivos dedicados de rede Thales Luna 7 HSM. Eles são implantados diretamente no espaço de endereço IP privado dos clientes e a Microsoft não tem acesso à funcionalidade criptográfica dos HSMs. Somente o cliente tem total controle administrativo e criptográfico sobre esses dispositivos. Os clientes são responsáveis pelo gerenciamento do dispositivo e podem obter logs de atividade completos diretamente de seus dispositivos. Os HSMs Dedicados ajudam os clientes a atender aos requisitos normativos/de conformidade, como FIPS 140-2 Nível 3, HIPAA, PCI-DSS e eIDAS e muitos outros.

Os clientes devem ter um Gerente de Conta Microsoft designado e atender ao requisito monetário de 5 milhões (USD$5M) de dólares ou mais em receita total comprometida com o Azure anualmente para se qualificarem para a integração e o uso do HSM Dedicado do Azure.

A Microsoft fez uma parceria com a Thales para fornecer o serviço HSM Dedicado do Azure. O dispositivo específico usado é o Thales Luna 7 HSM modelo A790. Este dispositivo não apenas fornece firmware validado FIPS 140-2 Nível 3, mas também oferece baixa latência, alto desempenho e alta capacidade por meio de 10 partições.

Os HSMs são usados para armazenar chaves criptográficas que são usadas para funcionalidade criptográfica, como TLS (segurança de camada de transporte), criptografia de dados, PKI (infraestrutura de chave pública), DRM (gerenciamento de direitos digitais) e assinatura de documentos.

Os clientes podem provisionar HSMs em regiões específicas usando o PowerShell ou a interface de linha de comando. O cliente especifica a qual rede virtual os HSMs estão conectados e, uma vez provisionados, os HSMs ficam disponíveis na sub-rede designada em endereços IP atribuídos no espaço de endereços IP privados do cliente. Em seguida, os clientes podem se conectar aos HSMs usando SSH para gerenciamento e administração de dispositivos, configurar conexões de cliente HSM, inicializar HSMs, criar partições, definir e designar funções como o oficial de partição, o agente de criptografia e o usuário de criptografia. Em seguida, o cliente usa as ferramentas/SDK/software de cliente HSM fornecidos pela Thales para realizar operações criptográficas a partir dos seus aplicativos.

A Thales fornece todo o software para o dispositivo HSM após provisionado pela Microsoft. O software está disponível no Portal de suporte ao cliente da Thales. Os clientes que usam o serviço de HSM Dedicado precisam estar registrados no suporte da Thales e ter uma ID de cliente que permita acesso e download do software relevante. O software cliente suportado é a versão 7.2, que é compatível com a versão 7.0.3 do firmware validado FIPS 140-2 Nível 3.

Os itens a seguir incorrem em custo extra ao usar o serviço HSM Dedicado.

• O uso de um dispositivo de backup dedicado no local é viável com o serviço de HSM dedicado, mas incorre em um custo extra e deve ser obtido diretamente da Thales.
• O HSM Dedicado é fornecido com uma licença de 10 partições. Um cliente pode solicitar mais partições e pagar por mais licenças diretamente da Thales.
• O HSM dedicado requer infraestrutura de rede (rede virtual, Gateway de VPN, etc.) e recursos como máquinas virtuais para configuração de dispositivos. Esses recursos incorrem em custos adicionais e não estão incluídos no preço do serviço HSM Dedicado.

Não. Neste momento, o HSM Dedicado do Azure fornece apenas HSMs com autenticação baseada em senha.

Não. O serviço de HSM Dedicado do Azure não dá suporte a módulos de funcionalidade.

A Microsoft oferece Thales Luna 7 HSM modelo A790 apenas por meio do serviço de HSM Dedicado e não é possível hospedar qualquer dispositivo fornecido por clientes.

O serviço de HSM Dedicado do Azure usa HSMs Thales Luna 7. Esses dispositivos não dão suporte à funcionalidade específica do HSM de pagamento (por exemplo, PIN ou ETF) ou certificações. Se você quiser que o serviço de HSM Dedicado do Azure ofereça suporte a HSMs de pagamento no futuro, passe os comentários para seu representante de Conta da Microsoft.

Desde de outubro de 2022, o HSM Dedicado está disponível em 22 regiões. Outras regiões são planejadas e podem ser discutidas por meio de seu Representante de Conta da Microsoft.

• Leste dos EUA
• Leste dos EUA 2
• Oeste dos EUA
• Oeste dos EUA 2
• Leste do Canadá
• Canadá Central
• Centro-Sul dos Estados Unidos
• Sudeste Asiático
• Centro da Índia
• Sul da Índia
• Leste do Japão
• Oeste do Japão
• Norte da Europa
• Europa Ocidental
• Sul do Reino Unido
• Oeste do Reino Unido
• Leste da Austrália
• Australia Southeast
• Norte da Suíça
• Oeste da Suíça
• US Gov – Virgínia
• Governo dos EUA do Texas

Você usa ferramentas/SDK/software de cliente HSM da Thales para realizar operações criptográficas de seus aplicativos. O software está disponível no Portal de suporte ao cliente da Thales. Os clientes que usam o serviço de HSM Dedicado precisam estar registrados no suporte da Thales e ter uma ID de cliente que permita acesso e download do software relevante.

Sim, você precisa usar o emparelhamento de rede virtual dentro de uma região para estabelecer conectividade entre redes virtuais. Para conectividade entre regiões, você deve usar Gateway de VPN.

Sim, você pode sincronizar HSMs locais com o HSM Dedicado. VPN ponto-a-ponto ou conectividade ponto-a-ponto pode ser usada para estabelecer conectividade com sua rede local.

Não. Os HSMs Dedicados do Azure só podem ser acessados de dentro da sua rede virtual.

Sim, se você tiver HSMs Thales Luna 7 locais. Existem vários métodos. Consulte a Documentação do HSM Thales.

• Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
• Virtual: VMware, Hyper-V, Xen, KVM

Para ter alta disponibilidade, você precisa configurar sua configuração de aplicativo cliente HSM para usar partições de cada HSM. Consulte a documentação do software cliente do HSM Thales.

O HSM Dedicado do Azure usa dispositivos Thales Luna 7 HSM modelo A790 e eles oferecem suporte à autenticação baseada em senha.

PKCS#11, Java (JCA / JCE), CAPI da Microsoft e CNG, OpenSSL

Sim. Entre em contato com o representante da Thales para obter o guia de migração da Thales apropriado.

Não. O serviço de HSM Dedicado do Azure não dá suporte a módulos de funcionalidade.

O HSM Dedicado do Azure é a escolha apropriada para empresas migrando para aplicativos locais do Azure que usam HSMs. HSMs Dedicados apresentam uma opção para migrar um aplicativo com alterações mínimas. Se operações criptográficas forem executadas no código do aplicativo em execução em uma VM do Azure ou no Web App, elas poderão usar o HSM Dedicado. Em geral, software pré-embalado executado em modelos de IaaS (infraestrutura como serviço) que dão suporte a HSMs como repositório de chaves pode usar HSM Dedicado, como gerenciador de tráfego para TLS sem chave, ADCS (Serviços de Certificados do Active Directory) ou ferramentas PKI similares, ferramentas/aplicativos usados para assinatura de documentos, assinatura de código ou um SQL Server (IaaS) configurado com TDE (criptografia de banco de dados transparente) com chave primária em um HSM usando um provedor EKM (gerenciamento de chaves extensível). O Azure Key Vault é adequado para aplicativos "nascidos na nuvem" ou para cenários de criptografia em repouso nos quais os dados do cliente são processados por cenários PaaS (plataforma como um serviço) ou SaaS (Software como um serviço), como Chave do cliente do Office 365, Proteção de informações do Azure, criptografia de disco do Azure, criptografia do Azure Data Lake Store com chave gerenciada pelo cliente, criptografia de armazenamento do Azure com chave gerenciada pelo cliente e SQL do Azure com chave gerenciada pelo cliente.

O HSM Dedicado do Azure é mais adequado para cenários de migração nos quais você migra aplicativos locais para o Azure que já estão usando HSMs, proporcionando um método de migração para o Azure com poucas alterações no aplicativo. Se operações criptográficas forem executadas no código do aplicativo em execução na VM do Azure ou no Web App, o HSM Dedicado pode ser usado. Em geral, o software encapsulado em execução nos modelos IaaS (Infraestrutura como Serviço), que suportam HSMs como armazenamento de chaves, pode usar o Dedicate HSM das seguintes maneiras:

• Gerenciador de Tráfego para TLS sem chave
• ADCS (Serviços de Certificados do Active Directory)
• Ferramentas semelhantes de PKI
• Ferramentas/aplicativos usados para assinatura de documentos
• Assinatura de código
• SQL Server (IaaS) configurado com TDE (criptografia transparente de banco de dados) com chave primária em um HSM usando um provedor EKM (gerenciamento de chaves extensível)

Não. O HSM Dedicado é provisionado diretamente no espaço de Endereço IP privado de um cliente, de modo que não pode ser acessado por outros serviços do Azure ou da Microsoft.

Sim. Cada dispositivo HSM é totalmente dedicado a um único cliente e ninguém mais tem controle administrativo depois de provisionado e a senha do administrador é alterada.

A Microsoft não possui nenhum controle administrativo ou criptográfico sobre o HSM. A Microsoft tem acesso em nível de monitor por meio de uma conexão de porta serial para recuperar a telemetria básica, como temperatura e integridade do componente, para permitir que a Microsoft forneça notificações proativas sobre problemas de integridade. Se necessário, o cliente pode desativar essa conta.

O dispositivo HSM é fornecido com um usuário padrão administrador com sua senha padrão usual. A Microsoft não queria ter senhas padrão em uso enquanto qualquer dispositivo estivesse em um pool aguardando provisionamento pelos clientes. Isso não atenderia aos nossos requisitos de segurança estritos. Por esse motivo, definimos uma senha forte, que é descartada no momento do provisionamento. Além disso, no tempo de provisionamento, criamos um novo usuário na função de administrador chamado "administrador de locatários". O usuário "administrador do locatário" tem a senha padrão, que os clientes devem alterar como a primeira ação ao fazer logon pela primeira vez no dispositivo recém-provisionado. Esse processo garante altos níveis de segurança e mantém nossa promessa de controle administrativo exclusivo para nossos clientes. Deve-se observar que o usuário "administrador de locatários" pode ser usado para redefinir a senha de usuário administrador se um cliente preferir usar essa conta.

Não. A Microsoft não tem acesso às chaves armazenadas no HSM Dedicado alocado pelo cliente.

Não. O HSM Dedicado do Azure é um HSM bare-metal para o serviço de concessão. O serviço não armazena os dados do cliente. Todos os principais materiais e dados são armazenados no dispositivo HSM dos clientes. Cada dispositivo HSM é totalmente dedicado a um único cliente, para o qual eles têm controle administrativo total.

No entanto, o cliente tem controle administrativo completo, incluindo atualização de software/firmware, se forem necessários recursos específicos de diferentes versões de firmware. Antes de fazer alterações, consulte o Suporte da Thales sobre seu cenário de atualização de software/firmware.

Você pode gerenciar os HSMs Dedicados acessando-os usando o SSH.

O software cliente HSM Thales é usado para gerenciar os HSMs e as partições.

P: Como monitoro meu HSM? Um cliente tem acesso total aos logs de atividade do HSM via syslog e SNMP. Um cliente deve configurar um servidor syslog ou um servidor SNMP para receber os registros ou eventos dos HSMs.

Sim. Você pode enviar logs do dispositivo HSM para um servidor syslog

Sim. A configuração e a definição de alta disponibilidade são realizadas no software cliente do HSM fornecido pela Thales. HSMs da mesma rede virtual ou de outras VNETs na mesma região ou entre regiões, ou HSMs locais conectados a uma rede virtual usando VPN site a site ou ponto a ponto podem ser adicionados à mesma configuração de alta disponibilidade. Deve-se observar que isso sincroniza somente o material da chave e não itens de configuração específicos, como funções.

Sim. Eles devem atender aos requisitos de alta disponibilidade para HSMs Thales Luna 7

Não.

Dezesseis membros de um grupo de HA foram submetidos a testes completos com excelentes resultados.

Não há garantia de tempo de atividade específica fornecida para o serviço de HSM Dedicado. A Microsoft garante o acesso em nível de rede ao dispositivo e, portanto, aplicam-se os SLAs de rede padrão do Azure.

Os datacenters do Azure têm extensos controles de segurança físicos e de procedimentos. Além disso, os HSMs Dedicados são hospedados em uma área de acesso restrito adicional do datacenter. Essas áreas têm mais controles de acesso físico e vigilância por câmera de vídeo para aumentar a segurança.

O serviço de HSM Dedicado usa HSMs Thales Luna 7. Esses dispositivos dão suporte à detecção de violação física e lógica. Se houver um evento de adulteração, os HSMs serão automaticamente zerados.

É altamente recomendável usar um dispositivo de backup de HSM local para executar backup periódico regular dos HSMs para recuperação de desastre. Você deve usar uma conexão VPN ponto a ponto ou site a site com uma estação de trabalho local conectada a um dispositivo de backup HSM.

O suporte é fornecido pela Microsoft e Thales. Se você tiver um problema com o acesso ao hardware ou à rede, gere uma solicitação de suporte com a Microsoft e, se você tiver um problema com a configuração, software e desenvolvimento de aplicativos do HSM, abra uma solicitação de suporte com a Thales. Se você tiver um problema indeterminado, gere uma solicitação de suporte com a Microsoft e, em seguida, a Thales poderá ser envolvida conforme necessário.

Após se registrar no serviço, você receberá um ID de Cliente da Thales que permitirá o registro no portal de suporte ao cliente da Thales, possibilitando acesso a todo o software e documentação, bem como a solicitações de suporte diretamente com a Thales.

A Microsoft não tem a capacidade de se conectar a HSMs alocados a clientes. Os clientes devem atualizar e corrigir seus HSMs.

O HSM tem uma opção de reinicialização de linha de comando. No entanto, estamos enfrentando problemas em que a reinicialização para de responder intermitentemente e, por esse motivo, é recomendável para a reinicialização mais segura que você gera uma solicitação de suporte com a Microsoft para que o dispositivo seja reinicializado fisicamente.

Sim, o HSM Dedicado provisiona HSMs Thales Luna 7 que são FIPS 140-2 nível-3 validado.

O serviço de HSM Dedicado provisiona dispositivos HSM Thales Luna 7. Eles suportam uma ampla gama de tipos de chaves criptográficas e algoritmos, incluindo: Suporte completo ao pacote B

• Assimétrica:
  • RSA
  • DSA
  • Diffie-Hellman
  • Curva elíptica
  • Criptografia (ECDSA, ECDH, Ed25519, ECIES) com curvas nomeadas, definidas pelo usuário e de Brainpool, KCDSA
• Simétrica:
  • AES-GCM
  • DES triplo
  • DES
  • ARIA, SEED
  • RC2
  • RC4
  • RC5
  • CAST
  • Hash/Message Digest/HMAC: SHA-1, SHA-2, SM3
  • Derivação de chave: modo de contador SP 800-108
  • Encapsulamento de chave: SP 800-38F
  • Geração de Números Aleatórios: DRBG aprovado pelo FIPS 140-2 (modo SP 800-90 CTR), em conformidade com o BSI DRG.4

Sim. O serviço de HSM Dedicado provisiona dispositivos HSM Thales Luna 7 modelo A790 que são FIPS 140-2 nível-3 validados.

O serviço de HSM Dedicado usa dispositivos HSM Thales Luna 7. Esses dispositivos são HSMs validados FIPS 140-2 Nível 3. A configuração padrão implementada, o sistema operacional e o firmware também são validados pelo FIPS. Você não precisa executar nenhuma ação para conformidade com o FIPS 140-2 Nível 3.

Antes de solicitar o desprovisionamento, um cliente deve ter zerado o HSM usando as ferramentas do cliente HSM da Thales.

Dispositivos HSM Dedicado provisiona HSMs Thales Luna 7. Aqui está um resumo do desempenho máximo para algumas operações:

• RSA-2048: 10.000 transações por segundo
• ECC P256: 20.000 transações por segundo
• AES-GCM: 17.000 transações por segundo

O HSM Thales Luna 7 modelo A790 usado inclui uma licença para 10 partições no custo do serviço. O dispositivo tem um limite de 100 partições e a adição de partições até esse limite incorrerá em custos de licenciamento extras e exigirá a instalação de um novo arquivo de licença no dispositivo.

O número máximo de chaves é uma função da memória disponível. O Thales Luna 7 modelo A790 em uso tem 32 MB de memória. Os números a seguir também são aplicáveis a pares de chaves se forem usadas chaves assimétricas.

• RSA-2048 - 19,000
• ECC-P256 - 91,000

A capacidade varia de acordo com os atributos de chave específicos definidos no modelo de geração de chaves e no número de partições.