編輯

常見問題集 (FAQ)

  • 常見問題集

尋找 Microsoft Azure 專用硬體安全模組 (HSM) 常見問題的解答。

基本概念

什麼是硬體安全模組 (HSM)?

HSM 是用來保護及管理密碼編譯金鑰的實體運算裝置。 儲存在 HSM 中的金鑰可用於密碼編譯作業。 金鑰內容會安全地存放於可防止及杜絕竄改的硬體模組中。 HSM 只會允許經過驗證和已授權的應用程式使用金鑰。 金鑰內容永遠不會離開 HSM 的保護界限。

Azure 專用硬體安全模組 (HSM) 的供應項目是什麼?

Azure 專用硬體安全模組 (HSM) 是雲端式服務,可提供裝載於 Azure 資料中心 (直接連線至客戶虛擬網路) 的 HSM。 這些 HSM 是專用的 Thales Luna 7 HSM 網路設備。 會直接部署至客戶的私人 IP 位址空間,Microsoft 對於 HSM 的密碼編譯功能並沒有任何存取權。 只有客戶對這些裝置擁有完整的系統管理和密碼編譯控制權。 客戶需負責管理裝置,且可以直接從裝置取得完整的活動記錄。 專用 HSM 可協助客戶滿足法規/合規性需求,例如 FIPS 140-2 等級 3、HIPAA、PCI DSS、eIDAS 以及許多其他需求。

專用 HSM 的上線和使用限制為何?

客戶必須擁有指派的 Microsoft 帳戶管理員,並符合 500 萬 ($5M) 美元或更高的整體認可 Azure 營收,以符合 Azure 專用 HSM 的上線和使用資格。

專用 HSM 使用什麼硬體?

Microsoft 與 Thales 合作,提供 Azure 專用 HSM 服務。 使用的特定裝置是 Thales Luna 7 HSM 型號 A790。 此裝置不只提供 FIPS 140-2 等級 3 驗證的韌體,也透過 10 個分割區提供低延遲、高效能和大容量服務。

硬體安全模組 (HSM) 的用途為何?

HSM 可用於儲存密碼編譯金鑰,以供密碼編譯功能使用,例如 TLS (傳輸層安全性)、資料加密、PKI (公開金鑰基礎結構)、DRM (數位版權管理) 及文件簽署等。

專用硬體安全模組 (HSM) 如何運作?

客戶可以使用 PowerShell 或命令列介面將 HSM 佈建至特定區域。 客戶可指定 HSM 要連線至哪個虛擬網路,並且在佈建後,HSM 即可在客戶的私人 IP 位址空間中,位於指派 IP 位址處的指定子網路中使用。 接著,客戶可以使用 SSH 連線至 HSM 進行設備管理,以設定 HSM 用戶端連線、將 HSM 初始化、建立分割區、定義及指派角色 (例如分割區人員、密碼編譯人員及密碼編譯使用者)。 然後,客戶將使用 Thales 提供的 HSM 用戶端工具/SDK/軟體,從其應用程式執行密碼編譯作業。

專用硬體安全模組 (HSM) 服務會隨附哪些軟體?

由 Microsoft 佈建 HSM 後,Thales 會提供 HSM 裝置的所有軟體。 您可在 Thales 客戶支援入口網站取得軟體。 使用專用 HSM 服務的客戶必須註冊 Thales 支援,並具備可存取和下載相關軟體的客戶識別碼。 支援的用戶端軟體是 7.2 版,與 FIPS 140-2 等級 3 驗證韌體 7.0.3 版相容。

專用 HSM 服務可能產生哪些額外成本?

使用專用 HSM 服務時,下列項目將會產生額外成本。

  • 您可以搭配使用專用的內部部署備份裝置與專用 HSM 服務,不過這會產生額外的成本,且應直接向 Thales 購買。
  • 專用 HSM 提供 10 個分割區授權。 如果客戶需要更多分割區,可直接向 Thales 購買額外授權,但這會產生額外的費用。
  • 專用 HSM 需要網路基礎結構 (VNET、VPN 閘道等) 以及虛擬機器等資源,以進行裝置設定。 這些額外的資源將會產生額外費用,且不包含在專用 HSM 服務定價中。

Azure 專用硬體安全模組 (HSM) 是否會提供密碼型和 PED 型的驗證?

否。 Azure 專用硬體安全模組 (HSM) 只對硬體安全模組 (HSM) 提供密碼型驗證。

Azure 專用 HSM 是否支援功能模組?

否。 Azure 專用 HSM 服務不支援功能模組。

Azure 專用硬體安全模組 (HSM) 是否會幫我裝載我的硬體安全模組 (HSM)?

Microsoft 僅透過專用 HSM 服務提供 Thales Luna 7 HSM 型號 A790,而無法主控任何客戶提供的裝置。

Azure 專用 HSM 是否支援付款 (PIN/EFT) 功能?

Azure 專用 HSM 服務使用 Thales Luna 7 HSM。 這些裝置不支援付款 HSM 的特定功能 (例如 PIN 或 EFT) 或認證。 如果您希望 Azure 專用 HSM 服務未來支援付款 HSM,請將意見反應轉達給 Microsoft 客戶代表。

哪些 Azure 區域提供專用 HSM?

自 2022 年 10 月起,下方列出的 22 個區域提供專用 HSM。 後續區域已在規劃中,您可以透過 Microsoft 客戶代表與我們討論。

  • 美國東部
  • 美國東部 2
  • 美國西部
  • 美國西部 2
  • 加拿大東部
  • 加拿大中部
  • 美國中南部
  • 東南亞
  • 印度中部
  • 印度南部
  • 日本東部
  • 日本西部
  • 北歐
  • 西歐
  • 英國南部
  • 英國西部
  • 澳大利亞東部
  • 澳大利亞東南部
  • 瑞士北部
  • 瑞士西部
  • US Gov 維吉尼亞州
  • US Gov 德克薩斯州

互通性

我的應用程式應如何連線至專用硬體安全模組 (HSM)?

您將使用 Thales 提供的 HSM 用戶端工具/SDK/軟體,從應用程式執行密碼編譯作業。 您可在 Thales 客戶支援入口網站取得軟體。 使用專用 HSM 服務的客戶必須註冊 Thales 支援,並具備可存取和下載相關軟體的客戶識別碼。

問:應用程式是否可以從不同 VNET 中,或是跨區域連線至專用硬體安全模組 (HSM)?

是,您必須使用區域內的 VNET 對等互連,建立虛擬網路之間的連線。 針對跨區域連線,您必須使用 VPN 閘道

我是否能透過內部部署 HSM 同步專用硬體安全模組 (HSM)?

是,您可以透過專用 HSM 同步內部部署 HSM。 點對點 VPN 或點對站連線可用於透過您的內部部署網路建立連線。

問:我是否可以使用儲存在專用硬體安全模組 (HSM) 的金鑰,來加密用於其他 Azure 服務的資料?

不可以。 您只能從您的虛擬網路內存取 Azure 專用硬體安全模組 (HSM)。

我是否可以從現有內部部署硬體安全模組 (HSM) 將金鑰匯入專用硬體安全模組 (HSM)?

是,如果您有內部部署 Thales Luna 7 HSM, 有數個方法可使用。 請參閱 Thales HSM 文件

問:專用硬體安全模組 (HSM) 用戶端軟體支援哪些作業系統?

  • Windows、Linux、Solaris、AIX、HP-UX、FreeBSD
  • 虛擬:VMware、Hyper-V、Xen、KVM

如何設定我的用戶端應用程式,從多個硬體安全模組 (HSM) 以多個分割區來建立高可用性設定?

若要具備高可用性,您需要將 HSM 用戶端應用程式設定設為使用每個 HSM 的分割區。 請參閱 Thales HSM 用戶端軟體文件。

專用硬體安全模組 (HSM) 支援哪些驗證機制?

Azure 專用 HSM 使用 Thales Luna 7 HSM 型號 A790 裝置,且其支援密碼型驗證。

問:哪些 SDK、API、用戶端軟體可搭配專用硬體安全模組 (HSM) 使用?

PKCS #11、Java (JCA/JCE)、Microsoft CAPI 和 CNG、OpenSSL

我是否可以從 Luna 5/6 將金鑰匯入/遷移至 Azure 專用硬體安全模組 (HSM)?

可以。 請洽詢您的 Thales 代表,以取得適當的 Thales 移轉指南。

我可以將功能模組安裝到 Azure 專用 HSM 嗎?

否。 Azure 專用 HSM 服務不支援功能模組。

使用您的 HSM

我應如何決定要使用 Azure Key Vault 還是 Azure 專用硬體安全模組 (HSM)?

對於要遷移至使用 HSM 之 Azure 內部部署應用程式的企業來說,Azure 專用硬體安全模組 (HSM) 是適當的選擇。 專用 HSM 可讓您以最低限度的變更來遷移應用程式。 如果密碼編譯作業在執行 Azure VM 或 Web 應用程式的程式碼中執行,則這些作業可以使用專用 HSM。 一般情況下,在 IaaS (基礎結構即服務) 模型 (支援 HSM 作為金鑰存放區) 中執行的壓縮包裝軟體,可以使用專用 HSM,例如用於無金鑰 TLS 的流量管理員、ADCS (Active Directory 憑證服務) 或類似的 PKI 工具、用於文件簽署與程式碼簽署的工具/應用程式,或使用 EKM (可延伸金鑰管理) 提供者在 HSM 中使用主要金鑰設定 TDE (透明資料庫加密) 的 SQL Server (IaaS)。 Azure Key Vault 適用於「雲端原生」應用程式,或其他案例的加密,其中客戶資料由 Paas (平台即服務) 處理,或 SaaS (軟體即服務) 案例 (例如 Office 365 客戶金鑰、Azure 資訊保護、Azure 磁碟加密、使用客戶自控金鑰的 Azure Data Lake Store 加密、Azure 儲存體加密以及 Azure SQL)。

哪些使用案例最適用於 Azure 專用硬體安全模組 (HSM)?

Azure 專用硬體安全模組 (HSM) 最適合移轉案例。 意即,如果您要將內部部署應用程式遷移至已使用 HSM 的 Azure, 這可讓遷移至 Azure 的過程更為平順,且幾乎不需要變更應用程式。 如果密碼編譯作業在執行 Azure VM 或 Web 應用程式的程式碼中執行,則可以使用專用 HSM。 一般情況下,在 IaaS (基礎結構即服務) 模型 (支援 HSM 作為金鑰存放區) 中執行的壓縮封裝軟體,可以使用專用 HSM,例如:

  • 用於無金鑰 TLS 的流量管理員
  • ADCS (Active Directory 憑證服務)
  • 類似的 PKI 工具
  • 用於簽署文件的工具/應用程式
  • 程式碼簽署
  • 使用 EKM (可延伸金鑰管理) 提供者之 HSM 中的主要金鑰,以 TDE (透明資料庫加密) 設定的 SQL Server (IaaS)

專用硬體安全模組 (HSM) 是否可以搭配 Office 365 客戶金鑰、Azure 資訊保護、Azure Data Lake Store、磁碟加密、Azure 儲存體加密、Azure SQL TDE 使用?

不可以。 專用 HSM 直接佈建於客戶的私人 IP 位址空間,因此無法由其他 Azure 或 Microsoft 服務存取。

管理、存取和控制

客戶是否能對專用 HSM 取得完整專屬控制權?

可以。 每個 HSM 裝置都由單一客戶完全專用,一旦佈建並變更系統管理員密碼之後,即沒有任何其他人具有管理控制權。

Microsoft 對我的硬體安全模組 (HSM) 具有何種層級的存取權?

Microsoft 對您的 HSM 並沒有任何管理或密碼編譯控制權。 Microsoft 具有監視層級存取權 (透過序列埠連線),以便擷取基本的遙測 (例如溫度和元件的健康狀態)。 這可讓 Microsoft 提供健康狀態問題的主動式通知。 如有需要,客戶可以停用此帳戶。

什麼是 Microsoft 使用的「租用戶管理員」帳戶?管理使用者就是 Thales Luna HSM 上的「系統管理員」嗎?

HSM 裝置隨附預設的管理使用者與一般的預設密碼。 然而,Microsoft 不希望集區中任何裝置在等候客戶佈建時,就使用預設密碼。 這麼做不符合嚴格的安全性需求。 基於這個理由,我們會設定強式密碼,並在佈建時捨棄該密碼。 此外,在佈建期間,我們會建立新的使用者,並賦與其「租用戶管理員」的系統管理員角色。 這個使用者有預設密碼,客戶在第一次登入新佈建的裝置時,第一個動作就是變更此密碼。 此程序可確保高度的安全性,並實踐我們給予客戶全權管理控制的承諾。 請注意,如果客戶偏好使用該帳戶,則可以使用「租用戶管理員」使用者來重設管理使用者密碼。

Microsoft 或任何 Microsoft 員工是否可在我的專用硬體安全模組 (HSM) 中存取金鑰?

不可以。 對於儲存在客戶配置專用 HSM 中的金鑰,Microsoft 並不具有任何存取權。

Azure 專用 HSM 是否會儲存客戶資料?

不可以。 Azure 專用 HSM 是租用服務的裸機 HSM。 我們的服務不會儲存客戶資料。 所有金鑰資料和資料都會儲存在客戶 HSM 設備內。 每個 HSM 設備完全專用於一個擁有完整系統管理控制權的單一客戶。

是否可以為配置給我的硬體安全模組 (HSM) 升級軟體/韌體?

如需不同韌體版本的特定功能,客戶可全權管理控制,包括升級軟體/韌體。 在進行變更之前,請連絡 HSMRequest@microsoft.com 洽詢 Microsoft 以了解升級相關資訊

如何管理專用硬體安全模組 (HSM)?

您可以使用 SSH 來存取專用 HSM,以便對其進行管理。

如何管理專用硬體安全模組 (HSM) 上的分割區?

您可以使用 Thales HSM 用戶端軟體來管理 HSM 和分割區。

如何監視我的硬體安全模組 (HSM)?

客戶可透過 syslog 和 SNMP 完整存取 HSM 的活動記錄。 客戶需要設定 syslog 伺服器或 SNMP 伺服器,以取得 HSM 中的記錄或事件。

我是否可取得專用硬體安全模組 (HSM) 中所有硬體安全模組 (HSM) 作業記錄的完整存取權?

可以。 您可以將 HSM 設備的記錄傳送至 Syslog 伺服器

高可用性

是否可以在相同區域或跨多個區域中設定高可用性?

可以。 Thales 提供的 HSM 用戶端軟體會執行高可用性設定及安裝。 您可以將下列 HSM 新增至相同的高可用性設定中:在相同區域或跨區域中相同 VNET 或其他 VNET 的 HSM,或使用站對站或點對點 VPN 連線至 VNET 的內部部署 HSM。 請注意,這只會同步處理金鑰內容,而非特定設定項目 (例如角色)。

我是否能使用 Azure 專用硬體安全模組 (HSM) 將 HSM 從我的內部部署網路新增至高可用性群組?

可以。 您的 HSM 必須符合 Thales Luna 7 HSM 的高可用性需求

我是否能使用 Azure 專用硬體安全模組 (HSM) 將 Luna 5/6 HSM 從內部部署網路新增至高可用性群組?

否。

問:我可以從單一應用程式將多少硬體安全模組 (HSM) 新增至相同高可用性設定?

有 16 個 HA 群組成員已執行完整節流測試,且結果優異。

支援

什麼是專用硬體安全模組 (HSM) 服務的 SLA?

專用 HSM 服務並未提供特定的執行時間保證。 Microsoft 會確保裝置的網路層級存取,因此會套用標準 Azure 網路 SLA。

用於 Azure 專用硬體安全模組 (HSM) 的 HSM 如何受保護?

Azure 資料中心具有大量的實體和程序安全性控制。 此外,專用 HSM 裝載於資料中心內更嚴格限制存取權的區域中。 這些區域具有額外的實體存取控制和攝影機監視,以提高安全性。

如果出現安全性缺口或硬體竄改事件,會發生什麼事?

專用 HSM 服務使用 Thales Luna 7 HSM 設備。 這些設備支援實體和邏輯的竄改偵測。 如果發生竄改事件,這些 HSM 會自動歸零。

如何確保專用硬體安全模組 (HSM) 中的金鑰不會因發生錯誤或惡意內部攻擊而遺失?

強烈建議使用內部部署 HSM 備份裝置來執行 HSM 的一般定期備份,以便用於災害復原。 您必須對連線至 HSM 備份裝置的內部部署工作站使用對等或站對站 VPN 連線。

如何取得專用硬體安全模組 (HSM) 的支援?

Microsoft 和 Thales 都提供支援。 如果您有硬體或網路存取的問題,請向 Microsoft 提出支援要求;如果您有 HSM 設定、軟體和應用程式開發的問題,請向 Thales 提出支援要求。 如果您不確定問題的性質,請向 Microsoft 提出支援要求,Thales 也會在必要情況下參與支援。

如何取得用戶端軟體、文件及 Thales Luna 7 HSM 整合指引的存取權?

註冊服務之後,您就會收到 Thales 客戶識別碼,可用來註冊 Thales 客戶支援入口網站。 如此一來,即會啟用所有軟體和文件的存取權,並可直接向 Thales 提出支援要求。

如果發現安全性弱點,且 Thales 發行了修補程式,誰將負責升級/修補 OS/韌體?

Microsoft 無法連線至配置給客戶的 HSM。 客戶必須自行升級與修補其 HSM。

如果需要重新啟動 HSM,該怎麼辦?

HSM 有命令列重新啟動選項,不過,重新啟動會發生間歇性停止回應此項問題,因此建議的最安全重新啟動方法,是向 Microsoft 提出支援要求,由 Microsoft 實際重新啟動裝置。

密碼編譯和標準

將最重要的資料以加密金鑰儲存於專用硬體安全模組 (HSM) 中是否安全?

專用 HSM 會佈建 Thales Luna 7 HSM,其已通過 FIPS 140-2 層級 3 驗證,安全無虞。

哪些密碼編譯金鑰和演算法受到專用硬體安全模組 (HSM) 支援?

專用 HSM 服務會佈建 Thales Luna 7 HSM 設備。 這些設備支援各種不同密碼編譯金鑰的類型和演算法,包括完整的 Suite B 支援

  • 非對稱:
    • RSA
    • DSA
    • Diffie-Hellman
    • 橢圓曲線
    • 使用具名、使用者定義和 Brainpool 曲線、KCDSA 的密碼編譯 (ECDSA、ECDH、Ed25519、ECIES)
  • 對稱:
    • AES-GCM
    • 三重 DES
    • DES
    • ARIA,種子
    • RC2
    • RC4
    • RC5
    • CAST
    • 雜湊/訊息摘要/HMAC:SHA-1、SHA-2、SM3
    • 金鑰衍生:SP 800-108 計數器模式
    • 金鑰包裝:SP 800-38F
    • 亂數產生:FIPS 140-2 已核准 DRBG (SP 800-90 CTR 模式),遵守 BSI DRG.4

專用硬體安全模組 (HSM) 是否已通過 FIPS 140-2 等級 3 驗證?

可以。 專用 HSM 服務會佈建 Thales Luna 7 HSM 型號 A790 設備,其已通過 FIPS 140-2 等級 3 驗證。

我如何確定我的專用硬體安全模組 (HSM) 在 FIPS 140-2 等級 3 驗證模式下運作?

專用 HSM 服務會佈建 Thales Luna 7 HSM 設備。 這些裝置都是已通過 FIPS 140-2 等級 3 驗證的 HSM。 預設部署設定、作業系統和韌體也已通過 FIPS 驗證。 您不需要為 FIPS 140-2 等級 3 的合規性採取任何動作。

取消佈建 HSM 時,客戶可如何確保抹除所有金鑰內容?

在要求取消佈建前,客戶必須先使用 Thales 提供的 HSM 用戶端工具,將 HSM 歸零。

效能和擴充

專用硬體安全模組 (HSM) 支援每秒多少個密碼編譯作業?

專用 HSM 會佈建 Thales Luna 7 HSM。 以下是針對某些作業的最大效能摘要:

  • RSA 2048:每秒 10,000 筆交易
  • ECC P256:每秒 20,000 筆交易
  • AES-GCM:每秒 17,000 筆交易

我可以在專用硬體安全模組 (HSM) 中建立多少分割區?

您使用的 Thales Luna 7 HSM 型號 A790 服務成本中包含 10 個分割區授權。 裝置的限制為 100 個分割區,若要新增超過此限制的分割區會產生額外的授權成本,且必須在裝置上安裝新的授權檔案。

專用硬體安全模組 (HSM) 可支援多少金鑰?

金鑰數量上限是可用記憶體的其中一種功能。 使用中的 Thales Luna 7 型號 A790 有 32 MB 記憶體。 如果使用非對稱金鑰,下列數目也適用於金鑰組。

  • RSA-2048 - 19,000
  • ECC-P256 - 91,000

容量會根據金鑰產生範本中設定的特定金鑰屬性和分割區數量,而有所不同。