اعثر على إجابات عن الأسئلة الشائعة حول Microsoft Azure Dedicated HSM.
الأساسيات
ما هي وحدة أمان الجهاز(HSM)؟
وحدة أمان الجهاز (HSM) هي جهاز حوسبة مادي يستخدم لحماية مفاتيح التشفير وحمايتها. يمكن استخدام المفاتيح المخزنة في وحدات HSM لعمليات التشفير. تبقى مواد المفاتيح بأمان في وحدات أجهزة مقاومة للعبث والكشف. لا تسمح وحدة HSM باستخدام المفاتيح إلا للتطبيقات المصدق عليها والمخولة فقط. لا تتجاوز مواد المفتاح حدود حماية HSM أبداً.
ماذا تقدم Azure Dedicated HSM؟
Azure Dedicated HSM هي خدمة سحابية توفر وحدات HSM المستضافة في مراكز بيانات Azure المتصلة مباشرة بالشبكة الافتراضية للعميل. وحدات HSM هذه مخصصة لأجهزة الشبكة Thales Luna 7 HSM. يتم نشرها مباشرة في مساحة عنوان IP الخاص للعملاء ولا تملك Microsoft أي وصول إلى وظيفة التشفير ل HSMs. يتوفر للعميل فقط إمكانية إدارة العمليات والتشفير الكامل على هذه الأجهزة. يتحمل العملاء مسؤولية إدارة الجهاز ويمكنهم الحصول على سجلات النشاط الكاملة مباشرة من أجهزتهم. تساعد وحدات Dedicated HSM العملاء على تلبية متطلبات الامتثال/المتطلبات التنظيمية على سبيل المثال FIPS 140-2 من المستوى 3 وHIPAA وPCI-DSS وeIDAS وغيرها الكثير.
ما هي قيود الإعداد والاستخدام ل Dedicated HSM؟
يجب أن يكون لدى العملاء مدير حساب Microsoft معين وأن يستوفوا المتطلبات النقدية البالغة 5 ملايين دولار أمريكي (5 ملايين دولار أمريكي) أو أكثر في إجمالي إيرادات Azure الملتزم بها سنويا للتأهل للإلحاق واستخدام Azure Dedicated HSM.
ما الأجهزة المستخدمة في Dedicated HSM؟
قامت Microsoft بشراكة مع Thales لتقديم خدمة Azure Dedicated HSM. الجهاز المحدد المستخدم هو Thales Luna 7 HSM طراز A790 . لا يوفر هذا الجهاز البرنامج الثابت المعتمد FIPS 140-2 من المستوى 3فحسب، بل يوفر أيضاً زمن انتقال منخفضاً وأداءً عالياً وسعة تخزينية عالية تتمثل في 10 أقسام.
ما استخدامات HSM؟
تُستخدم وحدات HSM لتخزين مفاتيح التشفير المستخدمة لوظائف التشفير مثل TLS (أمان طبقة النقل) وتشفير البيانات وPKI (البنية التحتية للمفتاح العام) وDRM (إدارة الحقوق الرقمية) وتوقيع المستندات.
كيف يعمل Dedicated HSM؟
يمكن أن يوفر العملاء وحدات HSM في مناطق معينة باستخدام PowerShell أو واجهة سطر الأوامر. يحدد العميل الشبكة الظاهرية التي تتصل بها HSMs وبمجرد توفيرها، تتوفر HSMs في الشبكة الفرعية المعينة في عناوين IP المعينة في مساحة عنوان IP الخاص بالعميل. ثم يتمكن العملاء من الاتصال بـ HSM باستخدام SSH لإدارة الأجهزة والتحكم فيها، وإعداد اتصالات عميل HSM وتهيئة وحدات HSM وإنشاء أقسام وتحديد الأدوار وتعيينها مثل مسؤول القسم وموظف التشفير ومستخدم التشفير. ثم يستخدم العميل أدوات عميل HSM/SDK/software المتوفرة من Thales لتنفيذ عمليات التشفير من تطبيقاته.
ما البرامج التي تتوفر مع خدمة Dedicated HSM؟
توفر Thales جميع برامج جهاز HSM بمجرد أن توفرها Microsoft. يتوفر البرنامج في بوابة دعم عملاء Thales. يتعيّن على العملاء الذين يستخدمون خدمة Dedicated HSM أن يكونوا مسجلين في دعم Thales وأن يكون لديهم مُعرِّف عميل يسمح لهم بالوصول إلى البرامج ذات الصلة وتنزيلها. برنامج العميل المدعوم هو الإصدار 7.2 المتوافق مع الإصدار 7.0.3 من البرامج الثابتة المعتمدة من FIPS 140-2 المستوى 3.
ما التكاليف الإضافية المفروضة على مع خدمة Dedicated HSM؟
تتكبد العناصر التالية تكلفة إضافية عند استخدام خدمة Dedicated HSM.
- استخدام جهاز النسخ الاحتياطي المحلي المخصص يمكن استخدامه مع خدمة Dedicated HSM، ولكنه يتحمل تكلفة إضافية ويجب أن يكون مصدره مباشرة من Thales.
- تصل خدمة Dedicated HSM على ترخيص لـ 10 أقسام. يمكن للعميل طلب المزيد من الأقسام والدفع مقابل المزيد من التراخيص المصدر مباشرة من Thales.
- يتطلب Dedicated HSM البنية الأساسية للشبكات (الشبكة الظاهرية وبوابة VPN وما إلى ذلك) وموارد مثل الأجهزة الظاهرية لتكوين الجهاز. تتحمل هذه الموارد تكاليف إضافية ولا يتم تضمينها في تسعير خدمة Dedicated HSM.
هل توفر خدمة Azure Dedicated HSM مصادقة مستندة إلى كلمة المرور وPED؟
لا. يوفر Azure Dedicated HSM فقط HSMs مع المصادقة المستندة إلى كلمة المرور.
هل يدعم Azure Dedicated HSM الوحدات الوظيفية؟
لا. لا تدعم خدمة Azure Dedicated HSM الوحدات النمطية للوظائف.
هل تستضيف خدمة Azure Dedicated HSM خدماتي على HSM؟
لا تقدم Microsoft سوى الجهاز Thales Luna 7 HSM طراز A790 عبر خدمة Dedicated HSM ولا يمكنها استضافة أي أجهزة يوفرها العميل.
هل تدعم خدمة Azure Dedicated HSM ميزات الدفع (PIN/EFT)؟
تستخدم خدمة Azure Dedicated HSM وحدات Thales Luna 7 HSM. لا تدعم هذه الأجهزة وظائف الدفع المحددة مقابل خدمة HSM (مثل PIN أو EFT) أو الشهادات. إذا كنت ترغب في أن تدعم خدمة Azure Dedicated HSM الدفع مقابل خدمات HSM في المستقبل، يمكنك إرسال الملاحظات إلى مندوبك في حساب Microsoft.
ما مناطق Azure التي تتوفر فيها خدمة Dedicated HSM؟
اعتبارا من أكتوبر 2022، يتوفر Dedicated HSM في 22 منطقة. يتم التخطيط لإضافة مناطق أخرى ويمكن مناقشتها مع مندوبك في حساب Microsoft.
- شرق الولايات المتحدة
- East US 2
- غرب الولايات المتحدة
- West US 2
- شرق كندا
- وسط كندا
- South Central US
- جنوب شرق آسيا
- وسط الهند
- جنوب الهند
- شرق اليابان
- غرب اليابان
- أوروبا الشمالية
- أوروبا الغربية
- جنوب المملكة المتحدة
- غرب المملكة المتحدة
- شرق أستراليا
- جنوب شرق أستراليا
- شمال سويسرا
- غرب سويسرا
- ولاية فرجينيا الأمريكية
- ولاية تكساس الأمريكية
إمكانية التشغيل التفاعلي
كيف يتوصل طلب إلى خدمة Dedicated HSM؟
ستستخدم أدوات/SDK/برنامج عميل HSM المقدم من Thales لأداء عمليات التشفير من تطبيقاتك. يتوفر البرنامج في بوابة دعم عملاء Thales. يتعيّن على العملاء الذين يستخدمون خدمة Dedicated HSM أن يكونوا مسجلين في دعم Thales وأن يكون لديهم مُعرِّف عميل يسمح لهم بالوصول إلى البرامج ذات الصلة وتنزيلها.
هل يمكن للتطبيق الاتصال ب Dedicated HSM من شبكة ظاهرية مختلفة في المناطق أو عبرها؟
نعم، تحتاج إلى استخدام تناظر الشبكة الظاهرية داخل منطقة ما لإنشاء اتصال عبر الشبكات الظاهرية. للاتصال عبر المناطق، يجب استخدام بوابة VPN.
هل يمكنني مزامنة خدمة Dedicated HSM مع خدمات HSM المحلية؟
نعم، يمكنك مزامنة خدمات HSMمع خدمة Dedicated HSM. يمكن استخدام اتصال VPN من نقطة إلى نقطة أو من نقطة إلى موقع للاتصال بشبكتك المحلية.
هل يمكنني تشفير البيانات التي تستخدمها خدمات Azure الأخرى باستخدام مفاتيح مخزنة في Dedicated HSM؟
لا. لا يمكن الوصول إلى وحدات Azure Dedicated HSM إلا من داخل شبكتك الظاهرية فقط.
هل يمكنني استيراد مفاتيح من HSM المحلية الموجودة إلى Dedicated HSM؟
نعم، إذا كنت تستخدم Thales Luna 7 HSM محلية. ثمة عدة طرق. راجع وثائقThales HSM.
ما هي أنظمة التشغيل التي يدعمها برنامج عميل Dedicated HSM؟
- Windows وLinux وSolaris وAIX وHP-UX وFreeBSD
- Virtual: VMware وHyper-V وXen وKVM
كيف أكوِّن تطبيق العميل لإنشاء تكوين قابلية الوصول العالية مع عدة أقسام متعددة من عدة HSM؟
للحصول على قابلية وصول عالية، تحتاج إلى إعداد تكوين تطبيق عميل HSM لاستخدام أقسام من كل HSM. راجع وثائق برنامج عميل Thales HSM.
ما آليات المصادقة التي يدعمها Dedicated HSM؟
يستخدم Azure Dedicated HSM أجهزة Thales Luna 7 HSM طراز A790 وتدعم المصادقة المستندة إلى كلمة المرور.
ما حزم SDK وواجهات API وبرامج العميل المتوفرة للاستخدام مع Dedicated HSM؟
PKCS#11 وJava (JCA/JCE) وMicrosoft CAPI وCNG وOpenSSL
هل يمكنني استيراد/ترحيل المفاتيح من Luna 5/6 HSM إلى Azure Dedicated HSM؟
نعم. اتصل بمندوب Thales للحصول على دليل الترحيل المناسب من Thales.
هل يمكنني تثبيت وحدات وظيفية على Azure Dedicated HSMs؟
لا. لا تدعم خدمة Azure Dedicated HSM الوحدات النمطية للوظائف.
استخدام HSM
كيف أقرر ما إذا كنت سأستخدم Azure Key Vault أم Azure Dedicated HSM؟
Azure Dedicated HSM هي الخيار المناسب للمؤسسات التي تُرحِّل إلى تطبيقات Azure المحلية التي تستخدم HSM. توفر Dedicated HSM خياراً لترحيل تطبيق بأقل قدر من التغييرات. في حالة تنفيذ عمليات التشفير في تعليمة برمجية للتطبيق تعمل في Azure VM أو تطبيق الويب، يمكنها استخدام Dedicated HSM. بشكل عام، يمكن للبرامج المتقلصة التي تعمل في نماذج IaaS (البنية الأساسية كخدمة) التي تدعم HSMs كمخزن رئيسي استخدام تخصيص HSM، مثل مدير حركة المرور ل TLS بدون مفتاح أو ADCS (خدمات شهادات Active Directory) أو أدوات PKI أو أدوات/تطبيقات مماثلة تستخدم لتوقيع المستندات أو توقيع التعليمات البرمجية أو SQL Server (IaaS) تم تكوينه باستخدام TDE (تشفير قاعدة بيانات شفاف) باستخدام المفتاح الأساسي في HSM باستخدام موفر EKM (إدارة المفاتيح القابلة للتوسيع). إن Azure Key Vault مناسب للتطبيقات "المُكونة في السحابة" أو للتشفير في السيناريوهات المتبقية حيث تتم معالجة بيانات العميل باستخدام سيناريوهات PaaS (النظام الأساسي كخدمة) أوSaaS (البرنامج كخدمة) مثل Office 365 Customer Key وAzure Information Protection وAzure Disk Encryption وتشفير Azure Data Lake Store باستخدام مفتاح يتحكم فيه العميل وتشفير Azure Storage باستخدام مفتاح يتحكم فيه العميل وAzure SQL باستخدام مفتاح يتحكم فيه العميل.
ما أفضل سيناريوهات الاستخدام التي تناسب Azure Dedicated HSM؟
Azure Dedicated HSM هو الأكثر ملاءمة لسيناريوهات الترحيل التي تقوم فيها بترحيل التطبيقات المحلية إلى Azure التي تستخدم HSMs بالفعل، ما يوفر طريقة منخفضة الاحتكاك للترحيل إلى Azure مع الحد الأدنى من التغييرات على التطبيق. في حالة تنفيذ عمليات التشفير في تعليمية برمجية للتطبيق تعمل في Azure VM أو تطبيق الويب، يمكن استخدام Dedicated HSM. بشكل عام، يمكن للبرامج المضمومة التي تعمل في نماذج IaaS (البنية الأساسية كخدمة) التي تدعم HSMs كمخزن رئيسي استخدام تخصيص HSM، مثل:
- مدير نسبة استخدام الشبكة لـ TLS بدون مفتاح
- ADCS (خدمات شهادة الدليل النشط)
- أدوات PKI المماثلة
- الأدوات/التطبيقات المستخدمة لتوقيع المستندات
- توقيع التعليمات البرمجية
- تم تكوين SQL Server (IaaS) باستخدام TDE (تشفير قاعدة البيانات الشفاف) باستخدام المفتاح الأساسي في HSM باستخدام موفر EKM (إدارة المفاتيح القابلة للتوسيع)
هل يمكن استخدام Dedicated HSM مع Office 365 Customer Key أوAzure Information Protection أوAzure Data Lake Store أو Disk Encryption أو تشفير Azure Storage أو Azure SQL TDE؟
لا. تُوفَر Dedicated HSM مباشرة في مساحة عنوان IP الخاصة بالعميل بحيث لا يمكن لخدمات Azure أو Microsoft الأخرى الوصول إليها.
الإدارة والوصول والتحكم
هل يحصل العميل على تحكم حصري كامل في HSMs باستخدام Dedicated HSM؟
نعم. كل جهاز HSM مخصص بشكل كامل لعميل واحد ولا يتمكن أي شخص آخر من التحكم في إدارته بمجرد توفيره وتغيير كلمة مرور المسؤول.
ما درجة الوصول التي تمتلكها Microsoft إلى HSM؟
لا تمتلك Microsoft أي صلاحيات لإدارة أو تشفير البيانات على HSM. لدى Microsoft إمكانية الوصول على مستوى المراقبة عبر اتصال المنفذ التسلسلي لاسترداد بيانات تتبع الاستخدام الأساسية مثل درجة الحرارة وصحة المكونات، للسماح لشركة Microsoft بتوفير إعلام استباقي بالمشكلات الصحية. يمكن أن يعطِّل العميل هذا الحساب عند الضرورة.
ما هو حساب "مسؤول المستأجر" الذي تستخدمه Microsoft؟ أنا معتاد على أن يكون المستخدم المسؤول "المسؤول" على Thales Luna HSMs
يأتي جهاز HSM مع مستخدم افتراضي للمسؤول بكلمة المرور الافتراضية المعتادة. لم ترغب Microsoft في استخدام كلمات المرور الافتراضية أثناء وجود أي جهاز في تجمع ينتظر توفيره من قبل العملاء. لن يفي هذا بمتطلباتنا الأمنية الصارمة. لهذا السبب، عيِّنا كلمة مرور قوية يتم تجاهلها عند التوفير. ننشئ مستخدماً جديداً في دور المسؤول يسمى "المسؤول المستأجر" في وقت التوفير أيضاً. المستخدم "مسؤول المستأجر" لديه كلمة المرور الافتراضية، والتي يغيرها العملاء كإجراء أول عند تسجيل الدخول لأول مرة إلى الجهاز الذي تم توفيره حديثا. تضمن هذه العملية درجات عالية من الأمان وتحافظ على نهجنا المتمثل في التحكم الحصري لعملائنا في إدارة البيانات. تجدر الإشارة إلى أنه يمكن استخدام مستخدم "المشرف المستأجر" لإعادة تعيين كلمة مرور مستخدم المسؤول إذا كان العميل يفضل استخدام هذا الحساب.
هل يمكن أن تصل شركة Microsoft أو أي شخص في فريق عملها إلى المفاتيح في Dedicated HSM؟
لا. لا تمتلك شركة Microsoft أي حق للوصول إلى المفاتيح المخزنة في Dedicated HSM المخصصة للعميل.
هل يقوم Azure Dedicated HSM بتخزين بيانات العملاء؟
لا. Azure Dedicated HSM هو HSM بالكاد للإيجار. لا تخزن خدمتنا بيانات العملاء. يتم تخزين جميع المواد والبيانات الرئيسية داخل جهاز HSM للعملاء. كل جهاز HSM مخصص بالكامل لعميل واحد، والذي لديه تحكم إداري كامل له.
هل يمكنني ترقية البرامج/البرامج الثابتة على HSM المخصصة لي؟
يمتلك العميل الحرية الكاملة في إدارتها بما في ذلك ترقية البرامج/البرامج الثابتة إذا كانت هناك ميزات محددة مطلوبة من إصدارات البرامج الثابتة المختلفة. قبل إجراء التغييرات، راجع دعم Thales حول سيناريو ترقية البرامج/البرامج الثابتة.
كيف يمكنني إدارة Dedicated HSM؟
يمكنك إدارة Dedicated HSM من خلال الوصول إليها باستخدام SSH.
كيف يمكنني إدارة الأقسام على Dedicated HSM؟
يُستخدم برنامج عميل Thales HSM لإدارة HSM والأقسام.
كيف يمكنني مراقبة جهازي HSM؟
يمتلك العميل حق الوصول الكامل إلى سجلات نشاط HSM عبر syslog وSNMP. يجب على العميل إعداد خادم syslog أو خادم SNMP لتلقي السجلات أو الأحداث من HSMs.
هل يمكنني الحصول على سجل وصول كامل لجميع عمليات HSM من Dedicated HSM؟
نعم. يمكنك إرسال سجلات من جهاز HSM إلى خادم syslog
التوافر العالي
هل تكوين قابلية وصول عالية في المنطقة نفسها أو عبر مناطق متعددة أمر ممكن؟
نعم. يُنفَذ تكوين قابلية الوصول العالية وإعدادها في برنامج عميل HSM التي تقدمها Thales. يمكن إضافة HSMs من نفس الشبكة الظاهرية أو VNETs الأخرى في نفس المنطقة أو عبر المناطق، أو HSMs المحلية المتصلة بشبكة ظاهرية باستخدام VPN من موقع إلى موقع أو من نقطة إلى نقطة إلى نفس تكوين التوفر العالي. تجدر الإشارة إلى أن ذلك يؤدي إلى مزامنة مواد المفتاح فقط وليس عناصر التكوين المحددة مثل الأدوار.
هل يمكنني إضافة HSM من شبكتي المحلية إلى مجموعة قابلية الوصول العالية باستخدام Azure Dedicated HSM؟
نعم. يجب أن تلبي متطلبات قابلية الوصول العالية لأجهزة Thales Luna 7 HSM
هل يمكنني إضافة Luna 5/6 HSM من شبكتي المحلية إلى مجموعة قابلية الوصول العالية باستخدام Azure Dedicated HSM؟
لا.
كم عدد أجهزة HSM التي يمكنني إضافتها إلى تكوين قابلية الوصول العالية نفسه من تطبيق واحد؟
ستة عشر عضوا في مجموعة قابلية وصول عالية لديهم اختبار تقييد كامل غير كامل مع نتائج ممتازة.
يدعم
ما اتفاقية مستوى الخدمة المخصصة لخدمة Dedicated HSM؟
لا يوجد أي ضمان محدد وقت التشغيل مخصص لخدمة Dedicated HSM. تضمن Microsoft الوصول على مستوى الشبكة إلى الجهاز، ومن ثم يتم تطبيق اتفاقيات مستوى الخدمة القياسية لشبكة Azure.
كيف تتم حماية أجهزة HSM المستخدمة في Azure Dedicated HSM؟
تحتوي مراكز البيانات Azure على عناصر تحكم فعلية وإجرائية شاملة في الأمان. بالإضافة إلى ذلك تُستضاف Dedicated HSM في منطقة وصول مقيدة أخرى في مركز البيانات. تتمتع هذه المناطق بمزيد من عناصر التحكم في الوصول الفعلي ومراقبة كاميرا الفيديو لمزيد من الأمان.
ماذا يحدث في حالة حدوث اختراق أمني أو تلاعب بالأجهزة؟
تستخدم خدمة Dedicated HSM أجهزة Thales Luna 7 HSM. تدعم هذه الأجهزة الكشف عن التلاعب الفعلي والمنطقي. إذا كان هناك حدث عبث، يتم صفر HSMs تلقائيا.
كيف يمكنني التأكد من عدم فقدان المفاتيح في Dedicated HSM بسبب خطأ أو هجوم برنامج ضار من الداخل؟
يوصى باستخدام جهاز النسخ الاحتياطي HSM المحلي لإجراء النسخ الاحتياطي لـ HSM بصفة منتظمة لاسترداد البيانات بعد حدوث عطل فادح. يجب استخدام اتصال VPN من نظير إلى نظير أو من موقع إلى موقع بمحطة عمل محلية متصلة بجهاز النسخ الاحتياطي ل HSM.
كيف يمكنني الحصول على دعم لـ Dedicated HSM؟
تقدم كلٌّ من Microsoft وThales الدعم اللازم. إذا كانت لديك مشكلة في الوصول إلى الأجهزة أو شبكة الاتصال، فأرسل طلب دعم إلى Microsoft أما إذا كانت لديك مشكلة في تكوين HSM والبرامج وتطوير التطبيقات فأرسل طلب دعم إلى Thales. إذا كانت لديك مشكلة يصعب تحديدها، فأرسل طلب دعم إلى Microsoft ويمكن أن تشارك Thales عند الضرورة.
كيف يمكنني الحصول على برامج العميل والوثائق والوصول إلى إرشادات التكامل لجهاز Thales Luna 7 HSM؟
بعد التسجيل في الخدمة، ستتلقى معرف عميل Thales الذي يسمح بالتسجيل في مدخل دعم عملاء Thales، ما يتيح الوصول إلى جميع البرامج والوثائق بالإضافة إلى طلبات الدعم مباشرة مع Thales.
إذا تم العثور على ثغرة أمنية وتم إصدار تصحيح بواسطة Thales، فمن المسؤول عن ترقية/تصحيح نظام التشغيل/البرنامج الثابت؟
لا تتمكن Microsoft من الاتصال بأجهزة HSM المخصصة للعملاء. ينبغي على العملاء ترقية أجهزة HSM وتصحيحها.
ماذا يحدث في حالة ضرورة إعادة تشغيل جهاز HSM؟
يحتوي HSM على خيار إعادة تشغيل في سطر الأوامر، ومع ذلك، فإننا نواجه مشكلات حيث تتوقف إعادة التشغيل عن الاستجابة بشكل متقطع ولهذا السبب يوصى بإعادة التشغيل الأكثر أماناً التي تتقدم بطلب دعم لها إلى Microsoft لإعادة تشغيل الجهاز فعلياً.
التشفير والمعايير
هل تخزين مفاتيح التشفير للبيانات المهمة للغاية في Dedicated HSM أمر آمن؟
نعم، توفر Dedicated HSM جهازThales Luna 7 HSM المعتمد حسب FIPS 140-2 المستوى -3 .
يدعم Dedicated HSM مفاتيح التشفير والخوارزميات؟
توفر خدمة Dedicated HSM أجهزة Thales Luna 7 HSM. تدعم مجموعة كبيرة من أنواع مفاتيح التشفير والخوارزميات بما فيها: دعم Full Suite B
- متماثل:
- RSA
- DSA
- Diffie-Hellman
- Elliptic Curve
- التشفير (ECDSA وECDH وEd25519 وECIES) مع منحنيات Brainpool المسماة والتي حددها المستخدم وKCDSA
- متماثل:
- AES-GCM
- Triple DES
- DES
- ARIA, SEED
- RC2
- RC4
- RC5
- CAST
- Hash/Message Digest/HMAC: SHA-1, SHA-2, SM3
- اشتقاق المفتاح: وضع عداد SP 800-108
- التفاف المفتاح: SP 800-38F
- توليد الأرقام العشوائية: DRBG المعتمد من FIPS 140-2 (وضع SP 800-90 CTR) متوافق مع BSI DRG.4
هل Dedicated HSM معتمد من FIPS 140-2 المستوى 3؟
نعم. نعم، توفر خدمة Dedicated HSM جهازThales Luna 7 HSM طراز A790 المعتمد حسب FIPS 140-2 المستوى-3.
ما الذي يجب عليّ فعله للتأكد من تشغيل Dedicated HSM في وضع التحقق من الصحة وفقاً FIPS 140-2 المستوى 3؟
توفر خدمة Dedicated HSM أجهزة Thales Luna 7 HSM. هذه الأجهزة هي أجهزة HSM معتمدة وفقاً لـ FIPS 140-2 المستوى 3. يتم أيضاً التحقق من صحة التكوين الافتراضي المنشور ونظام التشغيل والبرامج الثابتة وفقاً لـ FIPS. لا يلزم اتخاذ أي إجراء للتوافق مع FIPS 140-2 المستوى 3.
كيف يضمن العميل أنه عند إلغاء توفير HSM ، يتم مسح جميع مواد المفاتيح؟
قبل طلب إلغاء التوفير، يجب أن يجري العميل مسح جميع البيانات على HSM باستخدام أدوات عميل HSM التي توفرها Thales.
الأداء والنطاق
كم عدد عمليات التشفير المدعومة في الثانية باستخدام Dedicated HSM؟
توفر Dedicated HSM أجهزةThales Luna 7 HSM. فيما يلي ملخص بأقصى مستويات الأداء لبعض العمليات:
- RSA-2048: 10000 معاملة في الثانية
- ECC P256: 20000 معاملة في الثانية
- AES-GCM: 17000 معاملة في الثانية
كم عدد الأقسام التي يمكن إنشاؤها في Dedicated HSM؟
يمتلك جهاز Thales Luna 7 HSM طراز A790 المُستخدَم ترخيصاً لـ 10 أقسام ضمن تكلفة الخدمة. يحتوي الجهاز على حد أقصى يبلغ 100 قسم، وستؤدي إضافة أقسام أكثر من هذا الحد إلى فرض تكاليف ترخيص إضافية وتتطلب تثبيت ملف ترخيص جديد على الجهاز.
كم عدد المفاتيح التي يمكن دعمها في Dedicated HSM؟
الحد الأقصى لعدد المفاتيح هو إحدى وظائف الذاكرة المتاحة. يحتوي طراز Thales Luna 7 A790 قيد الاستخدام على 32 ميغابايت من الذاكرة. تنطبق الأرقام التالية أيضاً على أزواج المفاتيح في حالة استخدام مفاتيح غير متماثلة.
- RSA-2048 - 19,000
- ECC-P256 - 91,000
تختلف السعة اعتمادا على سمات مفتاح محددة تم تعيينها في قالب إنشاء المفتاح وعدد الأقسام.