Vanliga frågor och svar om Azure Cloud HSM

Microsoft Azure Cloud HSM är en tjänst som tillhandahåller säker lagring för kryptografiska nycklar med hjälp av maskinvarusäkerhetsmoduler (HSM) som uppfyller säkerhetsstandarden FIPS 140-3 nivå 3. Det är en kundhanterad tjänst med en enda klientorganisation med hög tillgänglighet som uppfyller branschstandarder.

Azure Cloud HSM stöder olika program, inklusive PKCS#11, avlastning av Secure Sockets Layer (SSL) eller TLS-bearbetning (Transport Layer Security), certifikatutfärdare (CA) skydd av privata nycklar och transparent datakryptering (TDE). Det stöder också dokument- och kodsignering.

Azure Cloud HSM ger hög tillgänglighet och redundans genom att gruppera flera HSM:er i ett kluster och automatiskt synkronisera över tre HSM-noder. HSM-klustret stöder belastningsutjämning av kryptografiska åtgärder. Periodiska HSM-säkerhetskopior hjälper till att säkerställa säker och enkel dataåterställning. Mer information finns i Vad är Azure Cloud HSM?.

En maskinvarusäkerhetsmodul (HSM) är en fysisk databehandlingsenhet som är utformad för att skydda och administrera kryptografiska nycklar. I HSM:er lagras och används nycklar på ett säkert sätt för kryptografiska åtgärder. Maskinvarumoduler som är manipuleringssäkra och manipuleringsavslöjande hjälper till att säkerställa konfidentialiteten och integriteten för dessa nycklar. Åtkomsten till nycklarna är begränsad till autentiserade och auktoriserade program, så nyckelmaterialet förblir alltid inom HSM:s skyddade gräns. Mer information finns i Sekera din Azure Cloud HSM-distribution.

Azure Cloud HSM använder Maskinvarusäkerhetsmoduler för Marvell LiquidSecurity. Mer information om maskinvaruspecifikationer och tjänstbegränsningar finns i Tjänstbegränsningar för Azure Cloud HSM.

Microsoft tillhandahåller all programvara och alla verktyg för Azure Cloud HSM via sin SDK. Du kan ladda ned Azure Cloud HSM SDK från GitHub. Mer information om integreringsalternativ finns i Azure Cloud HSM-integreringsguider.

Nej, Microsoft övervakar den inbyggda programvaran på maskinvaran. En tredje part (HSM-tillverkaren) underhåller maskinvaran. NIST utvärderar den inbyggda programvaran och måste signera den för att säkerställa efterlevnad av FIPS 140-3 Nivå 3-standarder. Mer information om maskinvaruhantering finns i Vad är Azure Cloud HSM?.

Azure erbjuder flera lösningar för lagring och hantering av kryptografiska nycklar i molnet: Azure Key Vault (standard- och premiumerbjudanden), Azure Managed HSM, Azure Cloud HSM och Azure Payment HSM. Det kan vara överväldigande för kunderna att bestämma vilken lösning som är bäst för dem. Ett flödesschema, baserat på vanliga krav på hög nivå och viktiga hanteringsscenarier, är tillgängligt för att hjälpa kunderna att fatta det här beslutet. Se Så här väljer du rätt nyckelhanteringslösning.

Azure Cloud HSM är bäst lämpad för migreringsscenarier, när du migrerar lokala applikationer som redan använder HSM till Azure. Azure Cloud HSM tillhandahåller ett alternativ med låg friktion för att migrera till Azure med minimala ändringar i programmet.

Om kryptografiska åtgärder utförs i ett programs kod som körs i en Azure virtuell dator eller webbapp kan en organisation använda Cloud HSM. I allmänhet kan krympförsluten programvara som körs i IaaS-modeller (infrastruktur som en tjänst) som stöder HSM som nyckelarkiv använda Cloud HSM. Den här programvaran innehåller:

• Active Directory Certificate Services (AD CS).
• SSL/TLS-avlastning för NGINX och Apache.
• Verktyg och program som används för dokumentsignering.
• Kodsignering.
• Java program som kräver en Java JCE-provider (Cryptography Extension).
• Microsoft SQL Server TDE (IaaS) via Extensible Key Management (EKM).
• Oracle TDE.

Mer information om hur du implementerar dessa scenarier finns i Azure Cloud HSM-integreringsguider.

Nej. Microsoft stöder inte "bring your own HSM" Azure Cloud HSM inte kan vara värd för några enheter som tillhandahålls av kunden. Mer information om tjänstarkitekturen finns i Vad är Azure Cloud HSM?.

Ja, men det beror på din arkitektur och konfiguration. Om din dedikerade HSM-distribution har konfigurerats i en ha-gruppering (hög tillgänglighet) kan du inte migrera nycklar. Anledningen är att nyckelexport är inaktiverad för att tillåta nyckelkloning (HA-gruppering), och att ändra dessa attribut är en destruktiv process. Om din dedikerade HSM-distribution har konfigurerats i en HA-gruppering måste du skapa nya nycklar när du migrerar till Azure Cloud HSM. Mer information om nyckelhantering finns i Key-hantering i Azure Cloud HSM.

Nej, Azure Cloud HSM har ingen penningpolitik. Introduktion av Azure Cloud HSM är öppen för alla kunder. Mer information om hur du kommer igång finns i onboardingguiden Azure Cloud HSM.

Du debiteras en timavgift för varje Azure Cloud HSM-kluster, som består av tre noder. När du har etablerat en Cloud HSM-resurs förblir den kontinuerligt aktiv (alltid på). Faktureringen startar när du etablerar en resurs i stället för när du har initierat HSM-resursen. Mer information om distributionsalternativ finns i Deploy Azure Cloud HSM med hjälp av PowerShell eller Deploy Azure Cloud HSM med hjälp av Azure-portalen.

Azure Cloud HSM kräver en nätverksinfrastruktur, till exempel ett virtuellt nätverk och en privat slutpunkt. Det kräver också resurser som virtuella datorer för enhetskonfiguration. Dessa resurser medför extra kostnader och ingår inte i prissättningen för Azure Cloud HSM-tjänsten. Mer information om nätverkskrav finns i Nätverkssäkerhet för Azure Cloud HSM.

Nej, en kostnadsfri nivå är inte tillgänglig för Azure Cloud HSM. Mer information om tjänsterbjudanden finns i Vad är Azure Cloud HSM?.

• Windows Server 2016, 2019 och 2022
• Linux (Ubuntu 20.04, Ubuntu 22.04, Ubuntu 24.04, RHEL 7, RHEL 8 och RHEL 9)
• CBL Mariner 2

Mer information om kompatibilitet och felsökning finns i Troubleshoot Azure Cloud HSM.

Du hanterar tjänstdistributionen genom att komma åt ditt Azure Cloud HSM-kluster via Secure Shell (SSH) och Azure Cloud HSM SDK från GitHub. Mer information om hanteringsåtgärder finns i Användarhantering i Azure Cloud HSM.

Azure Cloud HSM SDK innehåller programvara och verktyg för att utföra kryptografiska åtgärder i program. Azure Cloud HSM stöder olika gränssnitt, inklusive PKCS#11, OpenSSL, JCE, nyckellagringsprovider (KSP) och kryptografi-API: Nästa generation (CNG). De olika verktygen i SDK möjliggör sömlös interaktion med din HSM.

Du kan ladda ned Azure Cloud HSM SDK från GitHub. Mer information om anslutningsmetoder finns i Authentication i Azure Cloud HSM.

Azure Cloud HSM stöder endast lösenordsbaserad autentisering. Det stöder inte autentisering via en PIN-inmatningsenhet (PED). Mer information om autentiseringsmetoder finns i Authentication i Azure Cloud HSM.

Ja. Använd peering för virtuella nätverk i en region för att upprätta anslutningar mellan virtuella nätverk. För anslutningar mellan regioner använder du global peering för virtuella nätverk eller en VPN-gateway. Mer information om nätverkskonfigurationer finns i Nätverkssäkerhet för Azure Cloud HSM.

Nej. Även om Azure Cloud HSM inte direkt samverkar med lokala HSM:er kan du på ett säkert sätt överföra exportbara nycklar mellan Azure Cloud HSM och de flesta kommersiella HSM:er med hjälp av någon av flera nyckelomslutningsmetoder som stöds. Mer information om nyckelhantering finns i Key-hantering i Azure Cloud HSM.

Nej. Azure Cloud HSM-kluster är endast tillgängliga inifrån ditt virtuella nätverk. Mer information om tjänstbegränsningar finns i Vad är Azure Cloud HSM?.

Nej. Azure Cloud HSM etableras direkt i ditt privata IP-adressutrymme, så att andra Azure- eller Microsoft-tjänster inte kan komma åt den. Mer information om tjänstfunktioner och begränsningar finns i Vad är Azure Cloud HSM?.

Ja. Det finns flera metoder för BYOK (Bring Your Own Key) och lokala HSM:er som tillåter nyckelexport (nyckelomslutning). Mer information om viktiga importåtgärder finns i Key-hantering i Azure Cloud HSM.

Nej. Tjänsten Azure Cloud HSM stöder inte funktionsmoduler. Mer information om tjänstfunktioner finns i Azure Cloud HSM-tjänstbegränsningar.

Nej, du kan inte ändra certifikatet för partitionsägaren när du har laddat upp det. Om du laddar upp ett felaktigt certifikat måste du ta bort Azure Cloud HSM-resursen och distribuera igen. Mer information finns i Användarhantering i Azure Cloud HSM.

Nej. Du kan inte återställa en säkerhetskopia till dess källa Azure Cloud HSM-resurs eftersom den är i ett aktiverat tillstånd. Mer information om säkerhetskopierings- och återställningsåtgärder finns i Återställning och återställning i Azure Cloud HSM.

Nej. Azure Cloud HSM stöder inte återställning av en säkerhetskopia till dess HSM-källa eller någon Cloud HSM-resurs som redan är aktiverad. Annars kommer återställningsåtgärden att misslyckas och placera målmoln HSM-resursen i ett icke-funktionellt tillstånd. Mer information om återställningsprocessen finns i Restoration guidelines for Azure Cloud HSM.

Ja. Du kan återställa en säkerhetskopia till en annan Azure Cloud HSM-resurs i vilken region som helst, om den mottagande Cloud HSM-resursen inte är i ett aktiverat läge. Mer information om återställning mellan regioner finns i Återställning mellan regioner för Azure Cloud HSM.

Nej. Endast en hanterad identitet tillåts per Azure Cloud HSM-kluster. Mer information om identitets- och åtkomsthantering finns i Tillämpa en hanterad identitet och skapa ett lagringskonto.

Ja. Den minsta rollbaserade åtkomstkontrollrollen (RBAC) som krävs är Storage Blob Data Contributor. Du kan begränsa källan som skrivskyddad, men du behöver läs-/skrivbehörighet på måldestinationen. Mer information om åtkomstkontroll finns i Tillämpa en hanterad identitet och skapa ett lagringskonto.

Nej. Med Azure Cloud HSM har du exklusiv administrativ åtkomst till din HSM som en enda klientorganisation. Mer information om tjänstarkitekturen finns i Vad är Azure Cloud HSM?.

Nej. Microsoft har ingen åtkomst till de nycklar som lagras i kundallokerade HSM:er. Mer information om säkerhetskontroller finns i Sekera din Azure Cloud HSM-distribution.

I arkitekturen för Azure Cloud HSM är uppdelning av uppgifter och rollbaserad åtkomstkontroll grundläggande principer. Microsoft har ingen kryptografisk kontroll över kundallokerade HSM:er eller kontroll över HSM:s användare, förutom dess egen begränsade roll som installationsanvändare.

Microsoft har begränsade behörigheter till HSM. Dessa behörigheter tillåter övervakning, underhåll av hälsa och tillgänglighet, krypterade säkerhetskopior och extrahering och publicering av oföränderliga granskningsloggar till kundens angivna lagring. Dessa behörigheter tillåter inte att Microsoft använder nycklar som ägs av kryptografianvändare för att utföra kryptografiska åtgärder. Mer information om driftloggning finns i Konfigurations- och frågeåtgärdshändelseloggning för Azure Cloud HSM.

Nej, Azure Cloud HSM behåller inte kunddata. Alla viktiga material och data finns i kundens HSM. Varje Azure Cloud HSM-kluster är exklusivt avsett för en enda kund som har administrativ kontroll. Mer information om dataskydd finns i Sekera din Azure Cloud HSM-distribution.

Ja, Azure Cloud HSM erbjuder HSM:er som är verifierade för att uppfylla FIPS 140-3-nivå 3-standarder. Mer information finns i Efterlevnad och certifiering.

Ja, Azure Cloud HSM stöder eIDAS-efterlevnad enligt det österrikiska systemet. Mer information finns i Efterlevnad och certifiering.

Ja, Azure Cloud HSM tillhandahåller HSM:er som är verifierade för att uppfylla PCI- och PCI 3DS-standarder. Mer information finns i Efterlevnad och certifiering.

Azure Cloud HSM innehåller både fysiska och logiska mekanismer för identifiering av manipulering och svar som initierar nyckelborttagning (nollisering) av maskinvaran. Mer information finns i Fysisk säkerhet.

Microsoft tillhandahåller all support för Azure Cloud HSM. Om du stöter på problem som rör maskinvara, programvara, HSM-konfiguration eller nätverksåtkomst skickar du en supportbegäran till Microsoft. Mer information om vanliga problem och lösningar finns i Troubleshoot Azure Cloud HSM.

Azure datacenter har omfattande fysiska och procedurmässiga säkerhetskontroller. HSM:erna finns i ett område med begränsad åtkomst i datacentret med fysiska åtkomstkontroller och videoövervakning. Mer information finns i Fysisk säkerhet.

Nej. Microsoft har inte åtkomst till dina nycklar eller autentiseringsuppgifter och kan inte återställa dina nycklar om du förlorar dina autentiseringsuppgifter. Mer information om hantering av autentiseringsuppgifter finns i Användarhantering i Azure Cloud HSM.

Nej, Azure Cloud HSM har inte schemalagda underhållsperioder. Microsoft kan utföra underhåll för nödvändiga uppgraderingar eller felaktiga maskinvarubyten och meddelar kunderna i förväg om eventuella förväntade effekter. Mer information finns i Tjänståtgärder.

Information om serviceavtal finns i Servicenivåavtal (SERVICEAVTAL) för onlinetjänster. Mer information om tjänstens tillförlitlighet finns i Vad är Azure Cloud HSM?.