Perguntas mais frequentes (FAQ)

Um Módulo de Segurança de Hardware (HSM) é um dispositivo de computação física usado para proteger e gerenciar chaves criptográficas. As chaves armazenadas em HSMs podem ser usadas para operações criptográficas. O material-chave permanece em segurança em módulos de hardware invioláveis e invioláveis. O HSM só permite que aplicativos autenticados e autorizados usem as chaves. O material das chaves nunca sai do limite de proteção do HSM.

O HSM Dedicado do Azure é um serviço baseado em nuvem que fornece HSMs hospedados em datacenters do Azure que estão diretamente conectados à rede virtual de um cliente. Esses HSMs são dispositivos de rede Thales Luna 7 HSM dedicados. Eles são implantados diretamente no espaço de endereço IP privado de um cliente e a Microsoft não tem acesso à funcionalidade criptográfica dos HSMs. Somente o cliente tem controle administrativo e criptográfico total sobre esses dispositivos. Os clientes são responsáveis pelo gerenciamento do dispositivo e podem obter registros completos de atividades diretamente de seus dispositivos. HSMs dedicados ajudam os clientes a atender aos requisitos de conformidade/regulamentação, como FIPS 140-2 Nível 3, HIPAA, PCI-DSS e eIDAS e muitos outros.

Os clientes têm de ter um Gestor de Conta Microsoft atribuído e cumprir o requisito monetário de 5 milhões de USD (5 milhões de dólares) ou mais em receitas gerais comprometidas do Azure anualmente para se qualificarem para a integração e utilização do HSM Dedicado do Azure.

A Microsoft fez uma parceria com a Thales para fornecer o serviço HSM Dedicado do Azure. O dispositivo específico utilizado é o Thales Luna 7 HSM modelo A790. Este dispositivo não só fornece firmware validado FIPS 140-2 Level-3 , mas também oferece baixa latência, alto desempenho e alta capacidade através de 10 partições.

Os HSMs são usados para armazenar chaves criptográficas que são usadas para funcionalidade criptográfica, como TLS (segurança da camada de transporte), criptografia de dados, PKI (infraestrutura de chave pública), DRM (gerenciamento de direitos digitais) e assinatura de documentos.

Os clientes podem provisionar HSMs em regiões específicas usando o PowerShell ou a interface de linha de comando. O cliente especifica a qual rede virtual os HSMs estão conectados e, uma vez provisionados, os HSMs ficam disponíveis na sub-rede designada em endereços IP atribuídos no espaço de endereço IP privado do cliente. Em seguida, os clientes podem se conectar aos HSMs usando SSH para gerenciamento e administração de dispositivos, configurar conexões de cliente HSM, inicializar HSMs, criar partições, definir e atribuir funções como oficial de partição, oficial de criptografia e usuário de criptografia. Em seguida, o cliente usa ferramentas/SDK/software de cliente HSM fornecidos pela Thales para executar operações criptográficas a partir de seus aplicativos.

A Thales fornece todo o software para o dispositivo HSM uma vez provisionado pela Microsoft. O software está disponível no portal de apoio ao cliente da Thales. Os clientes que utilizam o serviço HSM dedicado devem estar registados no suporte da Thales e ter um ID de Cliente que permita o acesso e o download do software relevante. O software cliente suportado é a versão 7.2, que é compatível com o firmware validado FIPS 140-2 Nível 3 versão 7.0.3.

Os itens a seguir incorrem em custo extra ao usar o serviço HSM dedicado.

• O uso de um dispositivo de backup local dedicado é viável de usar com o serviço HSM dedicado, mas incorre em um custo extra e deve ser obtido diretamente da Thales.
• O HSM dedicado é fornecido com uma licença de partição 10. Um cliente pode solicitar mais partições e pagar por mais licenças diretamente originadas da Thales.
• O HSM dedicado requer infraestrutura de rede (rede virtual, VPN Gateway, etc.) e recursos como máquinas virtuais para configuração de dispositivos. Esses recursos incorrem em custos adicionais e não estão incluídos no preço do serviço HSM dedicado.

N.º O HSM Dedicado do Azure fornece apenas HSMs com autenticação baseada em senha.

N.º O serviço HSM Dedicado do Azure não suporta módulos de funcionalidade.

A Microsoft oferece apenas o modelo A790 do Thales Luna 7 HSM através do serviço HSM dedicado e não pode hospedar nenhum dispositivo fornecido pelo cliente.

O serviço HSM Dedicado do Azure usa HSMs Thales Luna 7. Esses dispositivos não suportam funcionalidades específicas de HSM de pagamento (como PIN ou EFT) ou certificações. Se pretender que o serviço HSM Dedicado do Azure suporte HSMs de Pagamento no futuro, transmita os comentários ao seu Representante de Conta Microsoft.

A partir de outubro de 2022, o HSM dedicado está disponível em 22 regiões. Outras regiões estão planeadas e podem ser discutidas através do seu Representante de Conta Microsoft.

• E.U.A. Leste
• E.U.A. Leste 2
• E.U.A. Oeste
• E.U.A. Oeste 2
• Leste do Canadá
• Canadá Central
• E.U.A. Centro-Sul
• Sudeste Asiático
• Índia Central
• Índia do Sul
• Leste do Japão
• Oeste do Japão
• Europa do Norte
• Europa Ocidental
• Sul do Reino Unido
• Oeste do Reino Unido
• Leste da Austrália
• Austrália Sudeste
• Norte da Suíça
• Oeste da Suíça
• US Gov - Virginia
• US Gov - Texas

Você usa as ferramentas/SDK/software do cliente HSM fornecidos pela Thales para executar operações criptográficas a partir de seus aplicativos. O software está disponível no portal de apoio ao cliente da Thales. Os clientes que utilizam o serviço HSM dedicado devem estar registados no suporte da Thales e ter um ID de Cliente que permita o acesso e o download do software relevante.

Sim, você precisa usar o emparelhamento de rede virtual dentro de uma região para estabelecer conectividade entre redes virtuais. Para conectividade entre regiões, você deve usar o Gateway de VPN.

Sim, você pode sincronizar HSMs locais com HSM dedicado. VPN ponto a ponto ou conectividade ponto a site podem ser usadas para estabelecer conectividade com sua rede local.

N.º Os HSMs Dedicados do Azure só são acessíveis a partir da sua rede virtual.

Sim, se você tiver HSMs Thales Luna 7 no local. Existem vários métodos. Consulte a documentação do Thales HSM.

• Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
• Virtual: VMware, Hyper-V, Xen, KVM

Para ter alta disponibilidade, você precisa configurar a configuração do aplicativo cliente HSM para usar partições de cada HSM. Consulte a documentação do software cliente Thales HSM.

O HSM Dedicado do Azure usa dispositivos Thales Luna 7 HSM modelo A790 e eles oferecem suporte à autenticação baseada em senha.

PKCS#11, Java (JCA/JCE), Microsoft CAPI e CNG, OpenSSL

Sim. Entre em contato com seu representante da Thales para obter o guia de migração apropriado da Thales.

N.º O serviço HSM Dedicado do Azure não suporta módulos de funcionalidade.

O HSM Dedicado do Azure é a opção apropriada para empresas que migram para aplicativos locais do Azure que usam HSMs. HSMs dedicados apresentam uma opção para migrar um aplicativo com alterações mínimas. Se as operações criptográficas forem executadas no código do aplicativo em execução em uma VM do Azure ou Aplicativo Web, eles poderão usar o HSM Dedicado. Em geral, o software empacotado por encolhimento executado em modelos IaaS (infraestrutura como serviço) que suportam HSMs como um armazenamento de chaves pode usar o HSM dedicado, como o gerenciador de tráfego para TLS sem chave, ADCS (Serviços de Certificados do Ative Directory) ou ferramentas PKI semelhantes, ferramentas/aplicativos usados para assinatura de documentos, assinatura de código ou um SQL Server (IaaS) configurado com TDE (criptografia de banco de dados transparente) com chave primária em um HSM usando um provedor EKM (gerenciamento extensível de chaves). O Azure Key Vault é adequado para aplicações "nascidas na nuvem" ou para cenários de encriptação em repouso em que os dados do cliente são processados por cenários PaaS (plataforma como serviço) ou SaaS (Software como serviço), como a Chave do Cliente do Office 365, a Proteção de Informações do Azure, a Encriptação de Disco do Azure, a encriptação da Loja Azure Data Lake com chave gerida pelo cliente, a encriptação do Armazenamento do Azure com chave gerida pelo cliente, e SQL do Azure com chave gerenciada pelo cliente.

O HSM Dedicado do Azure é mais adequado para cenários de migração nos quais você migra aplicativos locais para o Azure que já estão usando HSMs, fornecendo um método de baixo atrito para migrar para o Azure com alterações mínimas no aplicativo. Se as operações criptográficas forem executadas no código do aplicativo em execução na VM do Azure ou no Aplicativo Web, o HSM Dedicado poderá ser usado. Em geral, o software empacotado por encolhimento executado em modelos IaaS (infraestrutura como serviço) que suportam HSMs como um armazenamento de chaves pode usar o HSM dedicado, como:

• Gerenciador de tráfego para TLS sem chave
• ADCS (Serviços de Certificados do Ative Directory)
• Ferramentas de PKI semelhantes
• Ferramentas/aplicativos usados para assinatura de documentos
• Assinatura de código
• SQL Server (IaaS) configurado com TDE (criptografia de banco de dados transparente) com chave primária em um HSM usando um provedor EKM (gerenciamento extensível de chaves)

N.º O HSM dedicado é provisionado diretamente no espaço de endereço IP privado de um cliente, portanto, não é acessível por outros serviços do Azure ou da Microsoft.

Sim. Cada dispositivo HSM é totalmente dedicado a um único cliente e ninguém mais tem controle administrativo depois de provisionado e a senha de administrador alterada.

A Microsoft não tem qualquer controlo administrativo ou criptográfico sobre o HSM. A Microsoft tem acesso de nível de monitor via conexão de porta serial para recuperar telemetria básica, como temperatura e integridade do componente, para permitir que a Microsoft forneça notificação proativa de problemas de integridade. Se necessário, o cliente pode desativar esta conta.

O dispositivo HSM vem com um usuário padrão de admin com sua senha padrão usual. A Microsoft não queria ter senhas padrão em uso enquanto qualquer dispositivo está em um pool aguardando provisionamento pelos clientes. Isto não cumpriria os nossos rigorosos requisitos de segurança. Por esse motivo, definimos uma senha forte, que é descartada no momento do provisionamento. Além disso, no momento do provisionamento, criamos um novo usuário na função de administrador chamado "administrador de locatário". O usuário "administrador do locatário" tem a senha padrão, que os clientes alteram como a primeira ação ao fazer login pela primeira vez no dispositivo recém-provisionado. Este processo garante elevados graus de segurança e mantém a nossa promessa de controlo administrativo exclusivo para os nossos clientes. Deve-se notar que o usuário "tenant admin" pode ser usado para redefinir a senha do usuário admin se um cliente preferir usar essa conta.

N.º A Microsoft não tem acesso às chaves armazenadas no HSM dedicado alocado pelo cliente.

N.º O HSM Dedicado do Azure é um HSM baremetal para serviço de locação. O nosso serviço não armazena dados de clientes. Todos os principais materiais e dados são armazenados no dispositivo HSM do cliente. Cada dispositivo HSM é totalmente dedicado a um único cliente, para o qual eles têm controle administrativo total.

O cliente tem controlo administrativo total, incluindo a atualização de software/firmware se forem necessárias funcionalidades específicas de diferentes versões de firmware. Antes de fazer alterações, consulte o Suporte da Thales sobre o seu cenário de atualização de software/firmware.

Você pode gerenciar HSMs dedicados acessando-os usando SSH.

O software cliente Thales HSM é usado para gerenciar os HSMs e partições.

Um cliente tem acesso total aos logs de atividade do HSM via syslog e SNMP. Um cliente deve configurar um servidor syslog ou SNMP para receber os logs ou eventos dos HSMs.

Sim. Você pode enviar logs do dispositivo HSM para um servidor syslog

Sim. A configuração e a configuração de alta disponibilidade são realizadas no software cliente HSM fornecido pela Thales. HSMs da mesma rede virtual ou outras VNETs na mesma região ou entre regiões, ou HSMs locais conectados a uma rede virtual usando VPN site a site ou ponto a ponto podem ser adicionados à mesma configuração de alta disponibilidade. Deve-se notar que isso sincroniza apenas o material chave e não itens de configuração específicos, como funções.

Sim. Eles devem atender aos requisitos de alta disponibilidade para HSMs Thales Luna 7

N.º

Dezasseis membros de um grupo de HA foram submetidos a testes a todo o vapor com excelentes resultados.

Não há nenhuma garantia específica de tempo de atividade fornecida para o serviço HSM dedicado. A Microsoft garante o acesso em nível de rede ao dispositivo e, portanto, SLAs de rede padrão do Azure se aplicam.

Os datacenters do Azure têm amplos controles de segurança físicos e processuais. Além disso, os HSMs dedicados são hospedados em uma área de acesso restrito adicional do datacenter. Essas áreas têm mais controles de acesso físico e vigilância por câmeras de vídeo para maior segurança.

O serviço HSM dedicado usa aparelhos Thales Luna 7 HSM . Esses dispositivos suportam deteção de adulteração física e lógica. Se houver um evento de violação, os HSMs serão automaticamente zerados.

É altamente recomendável usar um dispositivo de backup HSM local para executar backup periódico regular dos HSMs para recuperação de desastres. Você deve usar uma conexão VPN ponto a ponto ou site a site com uma estação de trabalho local conectada a um dispositivo de backup HSM.

O suporte é fornecido pela Microsoft e pela Thales. Se você tiver um problema com o hardware ou acesso à rede, faça uma solicitação de suporte com a Microsoft e, se tiver um problema com a configuração do HSM, software e desenvolvimento de aplicativos, levante uma solicitação de suporte com a Thales. Se você tiver um problema indeterminado, faça uma solicitação de suporte com a Microsoft e, em seguida, a Thales poderá ser contratada conforme necessário.

Depois de se registar no serviço, receberá um ID de Cliente Thales que permite o registo no portal de apoio ao cliente Thales, permitindo o acesso a todo o software e documentação, bem como pedidos de suporte diretamente com a Thales.

A Microsoft não tem a capacidade de se conectar a HSMs alocados para clientes. Os clientes devem atualizar e corrigir seus HSMs.

O HSM tem uma opção de reinicialização de linha de comando, no entanto, estamos enfrentando problemas em que a reinicialização para de responder intermitentemente e, por esse motivo, é recomendado para a reinicialização mais segura que você levante uma solicitação de suporte com a Microsoft para ter o dispositivo fisicamente reinicializado.

Sim, o HSM dedicado fornece HSMs Thales Luna 7 que são FIPS 140-2 Nível 3 validados.

Serviço HSM dedicado fornece aparelhos Thales Luna 7 HSM. Eles suportam uma ampla gama de tipos de chaves criptográficas e algoritmos, incluindo: Suporte completo ao Suite B

• Assimétrico:
  • RSA
  • DSA
  • Diffie-Hellman
  • Curva Elíptica
  • Criptografia (ECDSA, ECDH, Ed25519, ECIES) com curvas nomeadas, definidas pelo usuário e Brainpool, KCDSA
• Simétrico:
  • AES-GCM
  • Triplo DES
  • DES
  • ARIA, SEMENTES
  • RC2
  • RC4
  • RC5
  • CAST
  • Hash/Message Digest/HMAC: SHA-1, SHA-2, SM3
  • Derivação de chave: Modo de contador SP 800-108
  • Embrulho da chave: SP 800-38F
  • Geração de números aleatórios: DRBG aprovado pelo FIPS 140-2 (modo CTR SP 800-90), em conformidade com o BSI DRG.4

Sim. Serviço HSM dedicado fornece dispositivos Thales Luna 7 HSM modelo A790 que são FIPS 140-2 Nível 3 validados.

O serviço HSM dedicado fornece aparelhos Thales Luna 7 HSM. Esses dispositivos são HSMs validados pelo FIPS 140-2 Nível 3. A configuração padrão implantada, o sistema operacional e o firmware também são validados pelo FIPS. Você não precisa tomar nenhuma medida para conformidade com FIPS 140-2 Nível 3.

Antes de solicitar o desprovisionamento, um cliente deve ter zerado o HSM usando as ferramentas de cliente HSM fornecidas pela Thales.

Disposições HSM dedicadas Thales Luna 7 HSMs. Aqui está um resumo do desempenho máximo para algumas operações:

• RSA-2048: 10.000 transações por segundo
• ECC P256: 20.000 transações por segundo
• AES-GCM: 17.000 transações por segundo

O modelo Thales Luna 7 HSM A790 usado inclui uma licença para 10 partições no custo do serviço. O dispositivo tem um limite de 100 partições e adicionar partições até este limite incorreria em custos de licenciamento adicionais e exigiria a instalação de um novo arquivo de licença no dispositivo.

O número máximo de teclas é uma função da memória disponível. O Thales Luna 7 modelo A790 em uso tem 32 MB de memória. Os números a seguir também são aplicáveis a pares de chaves se usarem chaves assimétricas.

• RSA-2048 - 19.000
• CEC-P256 - 91.000

A capacidade varia dependendo dos atributos de chave específicos definidos no modelo de geração de chaves e do número de partições.