查找有关 Microsoft Azure 专用 HSM 的常见问题的解答。
基础知识
什么是硬件安全模块 (HSM)?
硬件安全模块 (HSM) 是用于保护和管理加密密钥的物理计算设备。 HSM 中存储的密钥可用于加密操作。 密钥材料安全保存在防篡改的硬件模块中。 HSM 仅允许经过身份验证和授权的应用程序使用密钥。 密匙材料永远不会离开 HSM 保护边界。
什么是 Azure 专用 HSM 产品/服务?
Azure 专用 HSM 是一种基于云的服务,提供由可直接连接到客户虚拟网络的 Azure 数据中心托管的 HSM。 这些 HSM 是专用的 Thales Luna 7 HSM 网络设备。 它们直接部署到客户的专用 IP 地址空间,Microsoft 没有任何权限访问 HSM 的加密功能。 只有客户才对这些设备拥有完全的管理和加密控制权。 客户负责设备的管理,他们可以直接从设备获取完整的活动日志。 专用 HSM 可帮助客户满足合规性/法规要求,例如 FIPS 140-2 级别 3、HIPAA、PCI-DSS、eIDAS 等。
专用 HSM 的加入和使用限制有哪些?
客户必须拥有指定的 Microsoft 客户经理,并满足 Azure 总承诺收入至少每年达 500 万美元这一货币要求,才有资格加入和使用 Azure 专用 HSM。
专用 HSM 使用哪些硬件?
Microsoft 与 Thales 合作提供 Azure 专用 HSM 服务。 使用的特定设备是 Thales Luna 7 HSM 型号 A790。 此设备不仅提供经过 FIPS 140-2 级别 3 验证的固件,而且还通过 10 个分区提供低延迟、高性能和高容量。
HSM 有什么作用?
HSM 用于存储 TLS(传输层安全性)、加密数据、PKI(公钥基础结构)、DRM(数字版权管理)等加密功能所用的加密密钥,以及用于对文件进行签名。
专用 HSM 的工作原理是怎样的?
客户可以使用 PowerShell 或命令行接口在特定区域内预配 HSM。 客户指定要将 HSM 连接到哪个虚拟网络;预配后,可以通过客户专用 IP 地址空间中分配的 IP 地址在指定的子网中使用 HSM。 然后,客户可以使用 SSH 连接到 HSM 进行设备管理和控制、建立 HSM 客户端连接、初始化 HSM、创建分区以及定义和分配角色(例如分区管理人员、加密管理人员和加密用户)。 接下来,客户使用 Thales 提供的 HSM 客户端工具/SDK/软件从其应用程序执行加密操作。
专用 HSM 服务提供哪些软件?
经过 Microsoft 预配后,Thales 将提供 HSM 设备的所有软件。 在 Thales 客户支持门户中可以获取这些软件。 使用专用 HSM 服务的客户需要注册 Thales 支持并获取一个客户 ID,这样才能访问和下载相关软件。 支持的客户端软件是与 FIPS 140-2 级别 3 验证的固件版本 7.0.3 兼容的版本 7.2。
专用 HSM 服务可能会产生哪些额外的成本?
使用专用 HSM 服务时,以下各项会产生额外的成本。
- 将专用本地备份设备与专用 HSM 服务配合使用是可行的,但这会产生额外的成本,并且应直接从 Thales 外购该设备。
- 专用 HSM 附带 10 个分区许可证。 如果客户需要更多分区,从 Thales 直接外购更多许可证会产生额外的成本。
- 专用 HSM 需要为设备配置使用网络基础结构(VNET、VPN 网关等)和资源(例如虚拟机)。 这些附加的资源会产生额外成本,且未包括在专用 HSM 服务的定价中。
Azure 专用 HSM 是否提供了基于密码的和基于 PED 的身份验证?
否。 Azure 专用 HSM 仅为 HSM 提供了基于密码的身份验证。
Azure 专用 HSM 是否支持功能模块?
否。 Azure 专用 HSM 服务不支持功能模块。
Azure 专用 HSM 是否将承载我的 HSM?
Microsoft 仅通过专用 HSM 服务提供 Thales Luna 7 HSM 型号 A790,而不能托管客户提供的任何设备。
Azure 专用 HSM 是否支持付款 (PIN/EFT) 功能?
Azure 专用 HSM 服务使用 Thales Luna 7 HSM。 这些设备不支持付款 HSM 特定的功能(例如 PIN 或 EFT)或认证。 如果你希望 Azure 专用 HSM 服务将来支持付款 HSM,请向 Microsoft 客户代表提供反馈。
专用 HSM 可在哪些 Azure 区域中使用?
从 2022 年 10 月起,专用 HSM 可在下面列出的 22 个区域中使用。 我们已规划更多支持区域,有关事宜可与 Microsoft 客户代表商讨。
- 美国东部
- 美国东部 2
- 美国西部
- 美国西部 2
- 加拿大东部
- 加拿大中部
- 美国中南部
- 东南亚
- 印度中部
- 印度南部
- 日本东部
- 日本西部
- 北欧
- 西欧
- 英国南部
- 英国西部
- 澳大利亚东部
- 澳大利亚东南部
- 瑞士北部
- 瑞士西部
- US Gov 弗吉尼亚州
- US Gov 德克萨斯州
互操作性
应用程序如何连接到专用 HSM?
可以使用 Thales 提供的 HSM 客户端工具/SDK/软件从应用程序执行加密操作。 在 Thales 客户支持门户中可以获取这些软件。 使用专用 HSM 服务的客户需要注册 Thales 支持并获取一个客户 ID,这样才能访问和下载相关软件。
应用程序是否可以从不同的 VNET 或跨区域连接到专用 HSM?
是否可将专用 HSM 与本地 HSM 同步?
是的,可将本地 HSM 与专用 HSM 同步。 可以使用点到点 VPN 或点到站点连接来与本地网络建立连接。
是否可以使用专用 HSM 中存储的密钥来加密其他 Azure 服务所用的数据?
不是。 只能从虚拟网络内部访问 Azure 专用 HSM。
是否可将现有本地 HSM 中的密钥导入到专用 HSM?
如果你有本地的 Thales Luna 7 HSM,则可以。 可以使用多种方法, 请参阅 Thales HSM 文档。
专用 HSM 客户端软件支持哪些操作系统?
- Windows、Linux、Solaris、AIX、HP-UX、FreeBSD
- 虚拟:VMware、Hyper-V、Xen、KVM
如何将客户端应用程序配置为使用多个 HSM 中的多个分区创建高可用性配置?
若要获得高可用性,需将 HSM 客户端应用程序配置设置为使用每个 HSM 中的分区。 请参阅 Thales HSM 客户端软件文档。
专用 HSM 支持哪些身份验证机制?
Azure 专用 HSM 使用 Thales Luna 7 HSM 型号 A790 设备,支持基于密码的身份验证。
可在专用 HSM 中使用哪些 SDK、API 和客户端软件?
PKCS#11、Java (JCA/JCE)、Microsoft CAPI、CNG 和 OpenSSL
是否可将 Luna 5/6 HSM 中的密钥导入/迁移到 Azure 专用 HSM?
是。 请联系 Thales 代表以获取相应的 Thales 迁移指南。
是否可以将功能模块安装到 Azure 专用 HSM?
否。 Azure 专用 HSM 服务不支持功能模块。
使用 HSM
如何确定是要使用 Azure Key Vault 还是 Azure 专用 HSM?
对于想要迁移到使用 HSM 的 Azure 本地应用程序的企业而言,Azure 专用 HSM 是适当的选择。 使用专用 HSM 提供的某个选项,只需进行极少量的更改即可迁移应用程序。 如果在 Azure VM 或 Web 应用上运行的应用程序代码中执行加密操作,则客户可以使用专用 HSM。 一般而言,在支持使用 HSM 作为密钥存储的 IaaS(基础结构即服务)模型中运行的套装软件可以使用专用 HSM,例如,适用于无密钥 TLS 的流量管理器、ADCS(Active Directory 证书服务)或类似 PKI 工具、用于文档签名或代码签名的工具/应用程序,或者配置为使用 EKM(可扩展密钥管理)提供程序通过 HSM 中的主密钥进行 TDE(透明数据库加密)的 SQL Server (IaaS)。 Azure 密钥保管库适合用于云原生的应用程序或静态加密方案,其中,客户数据由 PaaS(平台即服务)或 SaaS(软件即服务)方案处理,这些方案包括 Office 365 客户密钥、Azure 信息保护、Azure 磁盘加密、使用客户管理的密钥进行的 Azure Data Lake Store 加密、使用客户管理的密钥进行的 Azure 存储加密,以及使用客户管理的密钥的 Azure SQL。
Azure 专用 HSM 最适合哪些使用方案?
Azure 专用 HSM 是最适合迁移方案。 即,将已在使用 HSM 的本地应用程序迁移到 Azure。 使用专用 HSM 提供的一个低冲突选项,只需对应用程序进行极少量的更改,即可迁移到 Azure。 如果在 Azure VM 或 Web 应用上运行的应用程序代码中执行加密操作,则可以使用专用 HSM。 一般而言,在支持使用 HSM 作为密钥存储的 IaaS(基础结构即服务)模型中运行的套装软件可以使用专用 HSM,例如:
- 适用于无密钥 TLS 的流量管理器
- ADCS(Active Directory 证书服务)
- 类似的 PKI 工具
- 用于文档签名的工具/应用程序
- 代码签名
- 配置为使用 EKM(可扩展密钥管理)提供程序通过 HSM 中的主密钥进行 TDE(透明数据库加密)的 SQL Server (IaaS)
专用 HSM 是否可与 Office 365 客户密钥、Azure 信息保护、Azure Data Lake Store、磁盘加密、Azure 存储加密和 Azure SQL TDE 一起使用?
不是。 专用 HSM 直接在客户的专用 IP 地址空间中预配,因此,其他 Azure 或 Microsoft 服务无法访问它。
管理、访问和控制
客户是否可以获取专用 HSM 中 HSM 的完全独占控制权?
是。 每个 HSM 设备完全由一个客户专用,经预配或者更改管理员密码后,其他任何人都对它没有管理控制权。
Microsoft 对我的 HSM 拥有哪种访问级别?
Microsoft 对 HSM 没有任何管理或加密控制权。 但 Microsoft 确实拥有监视级别的访问权限,它可以通过串行端口连接来检索基本的遥测数据,例如温度和组件运行状况。 这样,Microsoft 便可以针对运行状况问题提供主动通知。 客户可根据需要禁用此帐户。
Microsoft 使用的“租户管理员”帐户是什么?我一般在 Thales Luna HSM 上使用的管理员用户是“管理员”。
HSM 设备附带一个采用常规默认密码的默认“管理员”用户。 当池中有任何设备正在等待客户预配时,Microsoft 不希望使用默认密码。 这不符合我们严格的安全要求。 出于此原因,我们设置了一个强密码,预配时会丢弃该密码。 此外,在预配时,我们将创建一个充当管理员角色的名为“租户管理员”的新用户。 此用户采用默认密码,客户在首次登录到新预配的设备时,第一个操作应该就是更改此密码。 此过程可确保较高程度的安全性,并根据我们的承诺让客户保持独有的管理控制权。 应注意的是,如果客户偏向于使用“租户管理员”帐户,可以使用此用户来重置“管理员”用户密码。
Microsoft 或 Microsoft 的任何员工是否可以访问我的专用 HSM 中的密钥?
不是。 Microsoft 对客户分配的专用 HSM 中存储的密钥没有任何访问权限。
Azure 专用 HSM 是否会存储客户数据?
不是。 Azure 专用 HSM 是用于租用服务的裸机 HSM。 我们的服务不会存储客户数据。 所有密钥材料和数据都存储在客户 HSM 设备中。 每台 HSM 设备完全专用于一名客户,客户对此设备拥有完全管理控制权。
是否可以在分配给我的 HSM 上升级软件/固件?
如果客户需要其他固件版本中的特定功能,他们拥有完全的管理控制权,包括升级软件/固件的权限。 在进行更改之前,请联系 HSMRequest@microsoft.com 来就升级事宜咨询 Microsoft
如何管理专用 HSM?
可以使用 SSH 访问专用 HSM,然后对其进行管理。
如何管理专用 HSM 上的分区?
可以使用 Thales HSM 客户端软件管理 HSM 和分区。
如何监视 HSM?
客户可以通过 syslog 和 SNMP 全权访问 HSM 活动日志。 客户需要设置 syslog 服务器或 SNMP 服务器才能从 HSM 接收日志或事件。
是否可以全权访问专用 HSM 中所有 HSM 操作的日志?
是。 可将来自 HSM 设备的日志发送到 syslog 服务器
高可用性
是否可在同一区域或跨多个区域配置高可用性?
是。 高可用性配置和设置在 Thales 提供的 HSM 客户端软件中执行。 可将相同区域或跨区域的相同 VNET 或其他 VNET 中的 HSM,或者使用站点到站点或点到点 VPN 连接到 VNET 的本地 HSM 添加到相同的高可用性配置。 应注意的是,这只会同步密钥材料,而不同步特定的配置项,例如角色。
是否可将本地网络中的 HSM 添加到包含 Azure 专用 HSM 的高可用性组?
是。 这些 HSM 必须符合 Thales Luna 7 HSM 的高可用性要求
是否可将本地网络中的 Luna 5/6 HSM 添加到包含 Azure 专用 HSM 的高可用性组?
错误。
在一个应用程序中可将多少个 HSM 添加到相同的高可用性配置?
高可用性组的 16 个成员已经过完全限制测试,且测试结果非常优秀。
支持
专用 HSM 服务的 SLA 是什么?
我们不为专用 HSM 服务提供具体的运行时间保证。 Microsoft 确保设备的网络级访问,因此标准 Azure 网络 SLA 适用。
Azure 专用 HSM 中使用的 HSM 受到怎样的保护?
Azure 数据中心提供全面的物理和程序性安全控制。 除此之外,专用 HSM 托管在数据中心内进一步限制访问的区域。 这些区域装配了其他物理访问控制机制和监控摄像头,安全性得到进一步提高。
如果出现安全漏洞或硬件篡改事件,会发生什么情况?
专用 HSM 服务使用 Thales Luna 7 HSM 设备。 这些设备支持物理和逻辑篡改检测。 如果出现篡改事件,HSM 将自动归零。
如何确保错误或恶意内部攻击不会导致专用 HSM 中的密钥丢失?
我们强烈建议使用本地 HSM 备份设备定期备份 HSM,以实现灾难恢复。 需要与连接到 HSM 备份设备的本地工作站建立对等连接或站点到站点 VPN 连接。
如何获取对专用 HSM 的支持?
支持由 Microsoft 和 Thales 两家公司提供。 如果你遇到硬件或网络访问相关的问题,请向 Microsoft 提出支持请求;如果遇到 HSM 配置、软件和应用程序开发相关的问题,请向 Thales 提出支持请求。 如果遇到不确定的问题,请向 Microsoft 提出支持请求,然后,在必要情况下 Thales 可以参与问题的解决。
如何获取 Thales Luna 7 HSM 的客户端软件、文档并访问其集成指南?
注册该服务后,系统会提供一个可用于在 Thales 客户支持门户中进行注册的 Thales 客户 ID。 这样,便可以访问所有软件和文档,并直接向 Thales 提出支持请求。
如果发现了安全漏洞,而 Thales 发布了相关的补丁,由谁负责升级或修补 OS/固件?
Microsoft 无法连接到分配给客户的 HSM。 客户必须自行升级和修补其 HSM。
如果我需要重新启动 HSM 该怎么办?
HSM 提供命令行重新启动选项,但是,我们遇到了重新启动间歇性停止响应的问题,出于此原因,为了以最安全的方式重新启动,我们建议向 Microsoft 提出支持请求,让他们以物理方式重新启动设备。
加密和标准
是否可以在专用 HSM 中安全存储最重要数据的加密密钥?
是。专用 HSM 将预配经过 FIPS 140-2 级别 3 验证的 Thales Luna 7 HSM。
专用 HSM 支持哪些加密密钥和算法?
专用 HSM 服务将预配 Thales Luna 7 HSM 设备。 这些设备支持多种加密密钥类型和算法,包括完全支持 Suite B
- 非对称:
- RSA
- DSA
- Diffie-Hellman
- 椭圆曲线
- 采用命名曲线、用户定义的曲线和 Brainpool 曲线的加密法(ECDSA、ECDH、Ed25519、ECIES);KCDSA
- 对称:
- AES-GCM
- 三重 DES
- DES
- ARIA、SEED
- RC2
- RC4
- RC5
- CAST
- 哈希/消息摘要/HMAC:SHA-1、SHA-2、SM3
- 密钥派生:SP 800-108 计数器模式
- 密钥包装:SP 800-38F
- 随机数生成:FIPS 140-2 批准的 DRBG(SP 800-90 CTR 模式),符合 BSI DRG.4
专用 HSM 是否已通过 FIPS 140-2 级别 3 验证?
是的。 专用 HSM 服务将预配 Thales Luna 7 HSM 型号 A790 设备,这些设备经过 FIPS 140-2 级别 3 验证。
如何确保在 FIPS 140-2 级别 3 验证模式下运行专用 HSM?
专用 HSM 服务将预配 Thales Luna 7 HSM 设备。 这些设备是经过 FIPS 140-2 级别 3 验证的 HSM。 默认部署的配置、操作系统和固件也已通过 FIPS 验证。 无需采取任何措施即可符合 FIPS 140-2 级别 3 的要求。
客户如何确保在取消预配 HSM 时擦除所有密钥材料?
在请求取消预配之前,客户必须使用 Thales 提供的 HSM 客户端工具将 HSM 归零。
性能和规模
专用 HSM 支持每秒多少次加密操作?
专用 HSM 将预配 Thales Luna 7 HSM。 下面是某些操作的最大性能摘要:
- RSA-2048:每秒 10,000 个事务
- ECC P256:每秒 20,000 个事务
- AES-GCM:每秒 17,000 个事务
在专用 HSM 中可以创建多少个分区?
使用的 Thales Luna 7 HSM 型号 A790 的服务费中包括 10 个分区的许可证。 设备的分区数限制为 100 个,达到此限制后再添加分区会产生额外的许可成本,并要求在设备上安装新的许可证文件。
专用 HSM 支持多少个密钥?
最大密钥数取决于可用的内存。 使用的 Thales Luna 7 型号 A790 具有 32 MB 内存。 如果使用非对称密钥,则以下数字也适用于密钥对。
- RSA-2048 - 19,000
- ECC-P256 - 91,000
容量根据密钥生成模板中设置的特定密钥属性和分区数而异。