一般问题
什么是 Azure 云 HSM?
Microsoft Azure 云 HSM 是一项服务,它通过使用满足 FIPS 140-3 级别 3 安全标准的硬件安全模块(HSM)为加密密钥提供安全存储。 它是符合行业标准的客户管理的单租户高可用性服务。
Azure 云 HSM 支持各种应用程序,包括 PKCS#11、卸载安全套接字层(SSL)或传输层安全性(TLS)处理、证书颁发机构(CA)私钥保护和透明数据加密(TDE)。 它还支持文档和代码签名。
Azure 云 HSM 通过将多个 HSM 分组到群集中并自动跨三个 HSM 实例同步,从而提供高可用性和冗余。 HSM 群集支持对加密作进行负载均衡。 定期 HSM 备份有助于确保安全且简单的数据恢复。 有关详细信息,请参阅 什么是 Azure 云 HSM?。
什么是 HSM?
硬件安全模块(HSM)是一种物理计算设备,旨在保护和管理加密密钥。 在 HSM 中,密钥安全存储并用于加密作。 防篡改和防篡改的硬件模块有助于确保这些密钥的机密性和完整性。 对密钥的访问仅限于经过身份验证和授权的应用程序,因此密钥材料始终保留在 HSM 的保护边界内。 有关详细信息,请参阅 保护 Azure 云 HSM 部署。
哪些硬件用于 Azure 云 HSM?
Azure 云 HSM 使用 Marvell LiquidSecurity 硬件安全模块。 有关服务规范的详细信息,请参阅 Azure 云 HSM 服务限制。
Azure 云 HSM 提供了哪些软件?
Microsoft通过其 SDK 为 Azure 云 HSM 提供所有软件和工具。 可以从 GitHub 下载 Azure Cloud HSM SDK。 有关集成选项的详细信息,请参阅 Azure 云 HSM 集成指南。
是否需要管理 HSM 上的固件?
否,Microsoft监视硬件上的固件。 第三方(HSM 制造商)维护硬件。 NIST 评估固件,必须对其进行签名,以确保符合 FIPS 140-3 级别 3 标准。 有关硬件管理的详细信息,请参阅 什么是 Azure 云 HSM?。
如何确定是使用 Azure 云 HSM 还是 Azure 托管 HSM?
Azure 为云中的加密密钥存储和管理提供了多种解决方案:Azure Key Vault(标准和高级产品/服务)、Azure 托管 HSM、Azure 云 HSM 和 Azure 支付 HSM。 对于客户来说,决定哪种解决方案最适合客户来说可能非常困难。 流程图基于常见的高级要求和关键管理方案,可帮助客户做出此决定。 请参阅 “如何选择正确的密钥管理解决方案”。
哪种使用方案最适合 Azure 云 HSM?
将已使用 HSM 的本地应用程序迁移到 Azure 时,Azure 云 HSM 最适合迁移方案。 Azure 云 HSM 提供了一种低摩擦选项,用于迁移到 Azure,只需对应用程序进行最少的更改。
如果在 Azure 虚拟机或 Web 应用中运行的应用程序代码中执行加密作,组织可以使用云 HSM。 通常,支持 HSM 作为密钥存储的 HSM 的基础结构即服务(IaaS)模型中运行的收缩包装软件可以使用云 HSM。 此软件包括:
Active Directory 证书服务(AD CS)。
NGINX 和 Apache 的 SSL/TLS 卸载。
用于文档签名的工具和应用程序。
代码签名。
需要 Java 加密扩展 (JCE) 提供程序的 Java 应用程序。
通过可扩展密钥管理(EKM)Microsoft SQL Server TDE (IaaS)。
Oracle TDE。
有关实现这些方案的详细信息,请参阅 Azure 云 HSM 集成指南。
Azure 云 HSM 是否可以为我托管 HSM?
不是。 Microsoft不支持“自带 HSM”。Azure 云 HSM 无法托管任何客户提供的设备。 有关服务体系结构的详细信息,请参阅 什么是 Azure 云 HSM?。
是否可以将 Azure 专用 HSM 中的密钥迁移到 Azure 云 HSM?
是的,但它取决于你的体系结构和配置。 如果在高可用性(HA)分组中配置了专用 HSM 部署,则无法迁移密钥。 原因是禁用密钥导出以允许密钥克隆(HA 分组),并且更改这些属性是一个破坏性的过程。 如果在 HA 分组中配置了专用 HSM 部署,则必须在迁移到 Azure 云 HSM 时创建新密钥。 有关密钥管理的详细信息,请参阅 Azure 云 HSM 中的密钥管理。
客户加入
Azure 云 HSM 是否具有用于加入的货币政策?
否,Azure 云 HSM 没有货币政策。 载入 Azure 云 HSM 对所有客户开放。 有关入门的详细信息,请参阅 Azure 云 HSM 载入指南。
账单管理
如何使用 Azure 云 HSM 向你收费和计费?
每个 Azure 云 HSM 群集每小时会产生费用,其中包括三个节点。 预配云 HSM 资源后,它将保持持续活动(始终处于打开状态)。 预配资源时(而不是完成 HSM 资源初始化)时开始计费。 有关部署选项的详细信息,请参阅 使用 PowerShell 部署 Azure 云 HSM ,或使用 Azure 门户部署 Azure 云 HSM。
Azure 云 HSM 服务可能会产生哪些额外费用?
Azure 云 HSM 需要网络基础结构,例如虚拟网络和专用终结点。 它还需要资源(例如虚拟机)进行设备配置。 这些资源会产生额外的成本,并且不包括在 Azure 云 HSM 服务定价中。 有关网络要求的详细信息,请参阅 Azure 云 HSM 的网络安全性。
Azure 云 HSM 服务是否具有免费层?
否,免费层不适用于 Azure 云 HSM。 有关服务产品/服务的详细信息,请参阅 什么是 Azure 云 HSM?。
互操作性
Azure 云 HSM SDK 支持哪些作系统?
Windows Server 2016、2019 和 2022
Linux (Ubuntu 20.04、Ubuntu 22.04、Ubuntu 24.04、RHEL 7、RHEL 8 和 RHEL 9)
CBL 水手 2
有关兼容性和故障排除的详细信息,请参阅 Azure 云 HSM 故障排除。
如何管理 Azure 云 HSM?
通过安全外壳(SSH)和 GitHub 中的 Azure 云 HSM SDK 访问 Azure 云 HSM 群集,可以管理服务部署。 有关管理作的详细信息,请参阅 Azure 云 HSM 中的用户管理。
应用程序如何连接到 Azure 云 HSM?
Azure Cloud HSM SDK 包含用于在应用程序中执行加密作的软件和工具。 Azure 云 HSM 支持各种接口,包括 PKCS#11、OpenSSL、JCE、密钥存储提供程序(KSP)和加密 API:下一代(CNG)。 SDK 中的工具范围可实现与 HSM 的无缝交互。
可以从 GitHub 下载 Azure Cloud HSM SDK。 有关连接方法的详细信息,请参阅 Azure 云 HSM 中的身份验证。
Azure 云 HSM 是否支持基于密码的身份验证和基于 PED 的身份验证?
Azure 云 HSM 仅支持基于密码的身份验证。 它不支持通过 PIN 条目设备(PED)进行身份验证。 有关身份验证方法的详细信息,请参阅 Azure 云 HSM 中的身份验证。
应用程序是否可以从区域内或跨区域的不同虚拟网络连接到 Azure 云 HSM?
是的。 使用区域中的 虚拟网络对等互连 跨虚拟网络建立连接。 对于跨区域连接,请使用 全局虚拟网络对等互连 或 VPN 网关。 有关网络配置的详细信息,请参阅 Azure 云 HSM 的网络安全性。
Azure 云 HSM 是否适用于本地 HSM?
不是。 尽管 Azure 云 HSM 不直接与本地 HSM 互作,但可以使用多个受支持的密钥包装方法之一在 Azure 云 HSM 和大多数商业 HSM 之间安全地传输可导出密钥。 有关密钥管理的详细信息,请参阅 Azure 云 HSM 中的密钥管理。
是否可以使用存储在 Azure 云 HSM 中的密钥来加密其他 Azure 服务使用的数据?
不是。 只能从虚拟网络内部访问 Azure 云 HSM 群集。 有关服务限制的详细信息,请参阅 什么是 Azure 云 HSM?。
是否可以将 Azure Cloud HSM 与 Microsoft Purview 客户密钥、Azure 信息保护、Azure Data Lake Storage、Azure 磁盘加密或 Azure 存储加密配合使用?
不是。 Azure 云 HSM 直接预配到专用 IP 地址空间中,因此其他 Azure 或Microsoft服务无法访问它。 有关服务功能和限制的详细信息,请参阅 什么是 Azure 云 HSM?。
是否可以将密钥从现有的本地 HSM 导入 Azure 云 HSM?
是的。 有多种方法可用于自带密钥(BYOK),并具有允许密钥导出的本地 HSM(密钥包装)。 有关密钥导入作的详细信息,请参阅 Azure 云 HSM 中的密钥管理。
是否可以在 Azure 云 HSM 中安装功能模块?
不是。 Azure 云 HSM 服务不支持功能模块。 有关服务功能的详细信息,请参阅 Azure 云 HSM 服务限制。
上传分区所有者证书后是否可以更新它?
不是。 上传分区所有者证书后,无法更改该证书。 如果上传 PO.crt 错误,则需要删除 Azure 云 HSM 资源并重新部署。
业务连续性
是否可以将备份还原到源 Azure 云 HSM 资源?
不是。 无法将备份还原到其源 Azure 云 HSM 资源,因为它处于激活状态。 有关备份和还原作的详细信息,请参阅 Azure 云 HSM 中的备份和还原。
是否可以将备份还原到处于激活状态的另一个 Azure 云 HSM 资源?
不是。 Azure 云 HSM 不支持将备份还原到其源 HSM 或任何已激活的云 HSM 资源。 否则,还原作将失败,并将目标云 HSM 资源置于非功能状态。 有关还原过程的详细信息,请参阅 Azure 云 HSM 的还原指南。
是否可以将备份还原到其他区域中的另一个 Azure 云 HSM 资源?
是的。 如果目标云 HSM 资源未处于激活状态,则可以将备份还原到任何区域中的另一个 Azure 云 HSM 资源。 有关跨区域还原的详细信息,请参阅 Azure 云 HSM 的跨区域恢复。
是否可以为每个 Azure 云 HSM 群集创建多个托管标识?
不是。 每个 Azure 云 HSM 群集只允许一个托管标识。 有关标识和访问管理的详细信息,请参阅 应用托管标识并创建存储帐户。
是否可以对源和备份目标应用更严格的读/写权限?
是的。 所需的最低基于角色的访问控制(RBAC)角色是存储 Blob 数据参与者。 可以将源限制为只读,但需要对目标具有读/写权限。 有关访问控制的详细信息,请参阅 应用托管标识并创建存储帐户。
安全性和合规性
是否与其他 Azure 客户共享 Azure 云 HSM 资源?
不是。 使用 Azure 云 HSM,可以将 HSM 作为单个租户进行独占管理访问权限。 有关服务体系结构的详细信息,请参阅 什么是 Azure 云 HSM?。
是否可以Microsoft或 azure 云 HSM 资源中Microsoft访问密钥的任何人?
不是。 Microsoft无权访问存储在客户分配的 HSM 中的密钥。 有关安全控制的详细信息,请参阅 保护 Azure 云 HSM 部署。
Microsoft如何管理 HSM,而无需访问我的加密密钥?
在 Azure 云 HSM 的体系结构中,职责分离和基于角色的访问控制是基本原则。 Microsoft对客户分配的 HSM 没有任何加密控制,也没有对 HSM 的用户进行加密控制,而不是其作为设备用户本身的有限角色。
Microsoft对 HSM 具有受限权限。 这些权限允许监视、维护运行状况和可用性、加密备份,以及将不可变审核日志提取和发布到客户的指定存储。 这些权限不允许Microsoft使用加密用户拥有的密钥来执行加密作。 有关作日志记录的详细信息,请参阅 配置和查询 Azure 云 HSM 的作事件日志记录。
Azure 云 HSM 是否存储客户数据?
否,Azure 云 HSM 不会保留客户数据。 所有关键材料和数据都存储在客户的 HSM 中。 每个 Azure 云 HSM 群集专用于具有管理控制权的单个客户。 有关数据保护的详细信息,请参阅 保护 Azure 云 HSM 部署。
Azure 云 HSM 是否支持 FIPS 140-3 级别 3?
是的,Azure 云 HSM 提供经过验证以满足 FIPS 140-3 级别 3 标准的 HSM。 有关验证 HSM 真实性(包括 检查 NIST 提供的 FIPS 140-3 级别 3 认证)的过程,请参阅 载入指南。 有关合规性的详细信息,请参阅 什么是 Azure 云 HSM?。
Azure 云 HSM 是否支持 eIDAS?
是的。 Azure 云 HSM 通过提供安全密钥管理、加密作和 FIPS 140-3 级别 3 验证的硬件,以满足符合条件的电子签名和密封的严格要求,从而支持 eIDAS 合规性,以帮助确保合规性。 在 QSCD 证书中了解详细信息。 有关安全标准的详细信息,请参阅 保护 Azure 云 HSM 部署。
如果有人篡改 HSM 硬件,会发生什么情况?
Azure 云 HSM 同时包含物理和逻辑篡改检测和响应机制,用于启动硬件的密钥删除(零化)。 这些措施旨在检测物理屏障遭到入侵时遭到篡改。
此外,HSM 可以防范暴力登录攻击。 系统在一组失败的访问尝试后锁定加密官员(COS)。 同样,反复尝试使用加密用户 (CU) 凭据访问 HSM 失败会导致用户锁定。 然后,CO 必须解锁 CU。 解锁 CO 需要getChallenge并通过 OpenSSL 签名挑战PO.key,然后unlockCOchangePswd是命令。 有关安全功能的详细信息,请参阅 保护 Azure 云 HSM 部署。
支持
如何获取对 Azure 云 HSM 的支持?
Microsoft有助于对 Azure 云 HSM 的所有支持。 如果遇到与硬件、软件、HSM 配置或网络访问相关的任何问题,请提交支持请求以Microsoft。 有关常见问题和解决方案的详细信息,请参阅 Azure 云 HSM 故障排除。
Azure 云 HSM 中使用的 HSM 如何受到保护?
Azure 数据中心具有广泛的物理和过程安全控制。 此外,Azure 云 HSM 中的 HSM 托管在数据中心的受限访问区域中,具有物理访问控制和视频监视,以增强安全性。 有关物理安全性的详细信息,请参阅 保护 Azure 云 HSM 部署。
如果丢失 HSM 的凭据,Microsoft恢复密钥吗?
不是。 Microsoft无法访问密钥或凭据,如果丢失凭据,则无法恢复密钥。 有关凭据管理的详细信息,请参阅 Azure 云 HSM 中的用户管理。
Azure 云 HSM 是否具有计划的维护时段?
否,尽管Microsoft可能需要执行必要的升级或故障硬件维护。 如果预计任何影响,我们会提前通知客户。 有关作注意事项的详细信息,请参阅 保护 Azure 云 HSM 部署。
Azure 云 HSM 的 SLA 是什么?
有关服务级别协议,请参阅 联机服务的服务级别协议(SLA)。 有关服务可靠性的详细信息,请参阅 什么是 Azure 云 HSM?。