الأسئلة الشائعة (FAQ)

وحدة أمان الجهاز (HSM) هي جهاز حوسبة مادي يستخدم لحماية مفاتيح التشفير وحمايتها. يمكن استخدام المفاتيح المخزنة في وحدات HSM لعمليات التشفير. تبقى مواد المفاتيح بأمان في وحدات أجهزة مقاومة للعبث والكشف. لا تسمح وحدة HSM باستخدام المفاتيح إلا للتطبيقات المصدق عليها والمخولة فقط. لا تتجاوز مواد المفتاح حدود حماية HSM أبداً.

Azure Dedicated HSM هي خدمة سحابية توفر وحدات HSM المستضافة في مراكز بيانات Azure المتصلة مباشرة بالشبكة الافتراضية للعميل. وحدات HSM هذه مخصصة لأجهزة الشبكة Thales Luna 7 HSM. يتم نشرها مباشرة في مساحة عنوان IP الخاص للعملاء ولا تملك Microsoft أي وصول إلى وظيفة التشفير ل HSMs. يتوفر للعميل فقط إمكانية إدارة العمليات والتشفير الكامل على هذه الأجهزة. يتحمل العملاء مسؤولية إدارة الجهاز ويمكنهم الحصول على سجلات النشاط الكاملة مباشرة من أجهزتهم. تساعد وحدات Dedicated HSM العملاء على تلبية متطلبات الامتثال/المتطلبات التنظيمية على سبيل المثال FIPS 140-2 من المستوى 3 وHIPAA وPCI-DSS وeIDAS وغيرها الكثير.

يجب أن يكون لدى العملاء مدير حساب Microsoft معين وأن يستوفوا المتطلبات النقدية البالغة 5 ملايين دولار أمريكي (5 ملايين دولار أمريكي) أو أكثر في إجمالي إيرادات Azure الملتزم بها سنويا للتأهل للإلحاق واستخدام Azure Dedicated HSM.

قامت Microsoft بشراكة مع Thales لتقديم خدمة Azure Dedicated HSM. الجهاز المحدد المستخدم هو Thales Luna 7 HSM طراز A790 . لا يوفر هذا الجهاز البرنامج الثابت المعتمد FIPS 140-2 من المستوى 3فحسب، بل يوفر أيضاً زمن انتقال منخفضاً وأداءً عالياً وسعة تخزينية عالية تتمثل في 10 أقسام.

تُستخدم وحدات HSM لتخزين مفاتيح التشفير المستخدمة لوظائف التشفير مثل TLS (أمان طبقة النقل) وتشفير البيانات وPKI (البنية التحتية للمفتاح العام) وDRM (إدارة الحقوق الرقمية) وتوقيع المستندات.

يمكن أن يوفر العملاء وحدات HSM في مناطق معينة باستخدام PowerShell أو واجهة سطر الأوامر. يحدد العميل الشبكة الظاهرية التي تتصل بها HSMs وبمجرد توفيرها، تتوفر HSMs في الشبكة الفرعية المعينة في عناوين IP المعينة في مساحة عنوان IP الخاص بالعميل. ثم يتمكن العملاء من الاتصال بـ HSM باستخدام SSH لإدارة الأجهزة والتحكم فيها، وإعداد اتصالات عميل HSM وتهيئة وحدات HSM وإنشاء أقسام وتحديد الأدوار وتعيينها مثل مسؤول القسم وموظف التشفير ومستخدم التشفير. ثم يستخدم العميل أدوات عميل HSM/SDK/software المتوفرة من Thales لتنفيذ عمليات التشفير من تطبيقاته.

توفر Thales جميع برامج جهاز HSM بمجرد أن توفرها Microsoft. يتوفر البرنامج في بوابة دعم عملاء Thales. يتعيّن على العملاء الذين يستخدمون خدمة Dedicated HSM أن يكونوا مسجلين في دعم Thales وأن يكون لديهم مُعرِّف عميل يسمح لهم بالوصول إلى البرامج ذات الصلة وتنزيلها. برنامج العميل المدعوم هو الإصدار 7.2 المتوافق مع الإصدار 7.0.3 من البرامج الثابتة المعتمدة من FIPS 140-2 المستوى 3.

تتكبد العناصر التالية تكلفة إضافية عند استخدام خدمة Dedicated HSM.

• استخدام جهاز النسخ الاحتياطي المحلي المخصص يمكن استخدامه مع خدمة Dedicated HSM، ولكنه يتحمل تكلفة إضافية ويجب أن يكون مصدره مباشرة من Thales.
• تصل خدمة Dedicated HSM على ترخيص لـ 10 أقسام. يمكن للعميل طلب المزيد من الأقسام والدفع مقابل المزيد من التراخيص المصدر مباشرة من Thales.
• يتطلب Dedicated HSM البنية الأساسية للشبكات (الشبكة الظاهرية وبوابة VPN وما إلى ذلك) وموارد مثل الأجهزة الظاهرية لتكوين الجهاز. تتحمل هذه الموارد تكاليف إضافية ولا يتم تضمينها في تسعير خدمة Dedicated HSM.

‏‏لا. يوفر Azure Dedicated HSM فقط HSMs مع المصادقة المستندة إلى كلمة المرور.

‏‏لا. لا تدعم خدمة Azure Dedicated HSM الوحدات النمطية للوظائف.

لا تقدم Microsoft سوى الجهاز Thales Luna 7 HSM طراز A790 عبر خدمة Dedicated HSM ولا يمكنها استضافة أي أجهزة يوفرها العميل.

تستخدم خدمة Azure Dedicated HSM وحدات Thales Luna 7 HSM. لا تدعم هذه الأجهزة وظائف الدفع المحددة مقابل خدمة HSM (مثل PIN أو EFT) أو الشهادات. إذا كنت ترغب في أن تدعم خدمة Azure Dedicated HSM الدفع مقابل خدمات HSM في المستقبل، يمكنك إرسال الملاحظات إلى مندوبك في حساب Microsoft.

اعتبارا من أكتوبر 2022، يتوفر Dedicated HSM في 22 منطقة. يتم التخطيط لإضافة مناطق أخرى ويمكن مناقشتها مع مندوبك في حساب Microsoft.

• شرق الولايات المتحدة
• East US 2
• غرب الولايات المتحدة
• West US 2
• شرق كندا
• وسط كندا
• South Central US
• جنوب شرق آسيا
• وسط الهند
• جنوب الهند
• شرق اليابان
• غرب اليابان
• أوروبا الشمالية
• أوروبا الغربية
• جنوب المملكة المتحدة
• غرب المملكة المتحدة
• شرق أستراليا
• جنوب شرق أستراليا
• شمال سويسرا
• غرب سويسرا
• ولاية فرجينيا الأمريكية
• ولاية تكساس الأمريكية

ستستخدم أدوات/SDK/برنامج عميل HSM المقدم من Thales لأداء عمليات التشفير من تطبيقاتك. يتوفر البرنامج في بوابة دعم عملاء Thales. يتعيّن على العملاء الذين يستخدمون خدمة Dedicated HSM أن يكونوا مسجلين في دعم Thales وأن يكون لديهم مُعرِّف عميل يسمح لهم بالوصول إلى البرامج ذات الصلة وتنزيلها.

نعم، تحتاج إلى استخدام تناظر الشبكة الظاهرية داخل منطقة ما لإنشاء اتصال عبر الشبكات الظاهرية. للاتصال عبر المناطق، يجب استخدام بوابة VPN.

نعم، يمكنك مزامنة خدمات HSMمع خدمة Dedicated HSM. يمكن استخدام اتصال VPN من نقطة إلى نقطة أو من نقطة إلى موقع للاتصال بشبكتك المحلية.

‏‏لا. لا يمكن الوصول إلى وحدات Azure Dedicated HSM إلا من داخل شبكتك الظاهرية فقط.

نعم، إذا كنت تستخدم Thales Luna 7 HSM محلية. ثمة عدة طرق. راجع وثائقThales HSM.

• Windows وLinux وSolaris وAIX وHP-UX وFreeBSD
• Virtual: VMware وHyper-V وXen وKVM

للحصول على قابلية وصول عالية، تحتاج إلى إعداد تكوين تطبيق عميل HSM لاستخدام أقسام من كل HSM. راجع وثائق برنامج عميل Thales HSM.

يستخدم Azure Dedicated HSM أجهزة Thales Luna 7 HSM طراز A790 وتدعم المصادقة المستندة إلى كلمة المرور.

PKCS#11 وJava (JCA/JCE) وMicrosoft CAPI وCNG وOpenSSL

نعم. اتصل بمندوب Thales للحصول على دليل الترحيل المناسب من Thales.

‏‏لا. لا تدعم خدمة Azure Dedicated HSM الوحدات النمطية للوظائف.

Azure Dedicated HSM هي الخيار المناسب للمؤسسات التي تُرحِّل إلى تطبيقات Azure المحلية التي تستخدم HSM. توفر Dedicated HSM خياراً لترحيل تطبيق بأقل قدر من التغييرات. في حالة تنفيذ عمليات التشفير في تعليمة برمجية للتطبيق تعمل في Azure VM أو تطبيق الويب، يمكنها استخدام Dedicated HSM. بشكل عام، يمكن للبرامج المتقلصة التي تعمل في نماذج IaaS (البنية الأساسية كخدمة) التي تدعم HSMs كمخزن رئيسي استخدام تخصيص HSM، مثل مدير حركة المرور ل TLS بدون مفتاح أو ADCS (خدمات شهادات Active Directory) أو أدوات PKI أو أدوات/تطبيقات مماثلة تستخدم لتوقيع المستندات أو توقيع التعليمات البرمجية أو SQL Server (IaaS) تم تكوينه باستخدام TDE (تشفير قاعدة بيانات شفاف) باستخدام المفتاح الأساسي في HSM باستخدام موفر EKM (إدارة المفاتيح القابلة للتوسيع). إن Azure Key Vault مناسب للتطبيقات "المُكونة في السحابة" أو للتشفير في السيناريوهات المتبقية حيث تتم معالجة بيانات العميل باستخدام سيناريوهات PaaS (النظام الأساسي كخدمة) أوSaaS (البرنامج كخدمة) مثل Office 365 Customer Key وAzure Information Protection وAzure Disk Encryption وتشفير Azure Data Lake Store باستخدام مفتاح يتحكم فيه العميل وتشفير Azure Storage باستخدام مفتاح يتحكم فيه العميل وAzure SQL باستخدام مفتاح يتحكم فيه العميل.

Azure Dedicated HSM هو الأكثر ملاءمة لسيناريوهات الترحيل التي تقوم فيها بترحيل التطبيقات المحلية إلى Azure التي تستخدم HSMs بالفعل، ما يوفر طريقة منخفضة الاحتكاك للترحيل إلى Azure مع الحد الأدنى من التغييرات على التطبيق. في حالة تنفيذ عمليات التشفير في تعليمية برمجية للتطبيق تعمل في Azure VM أو تطبيق الويب، يمكن استخدام Dedicated HSM. بشكل عام، يمكن للبرامج المضمومة التي تعمل في نماذج IaaS (البنية الأساسية كخدمة) التي تدعم HSMs كمخزن رئيسي استخدام تخصيص HSM، مثل:

• مدير نسبة استخدام الشبكة لـ TLS بدون مفتاح
• ADCS (خدمات شهادة الدليل النشط)
• أدوات PKI المماثلة
• الأدوات/التطبيقات المستخدمة لتوقيع المستندات
• توقيع التعليمات البرمجية
• تم تكوين SQL Server (IaaS) باستخدام TDE (تشفير قاعدة البيانات الشفاف) باستخدام المفتاح الأساسي في HSM باستخدام موفر EKM (إدارة المفاتيح القابلة للتوسيع)

‏‏لا. تُوفَر Dedicated HSM مباشرة في مساحة عنوان IP الخاصة بالعميل بحيث لا يمكن لخدمات Azure أو Microsoft الأخرى الوصول إليها.

نعم. كل جهاز HSM مخصص بشكل كامل لعميل واحد ولا يتمكن أي شخص آخر من التحكم في إدارته بمجرد توفيره وتغيير كلمة مرور المسؤول.

لا تمتلك Microsoft أي صلاحيات لإدارة أو تشفير البيانات على HSM. لدى Microsoft إمكانية الوصول على مستوى المراقبة عبر اتصال المنفذ التسلسلي لاسترداد بيانات تتبع الاستخدام الأساسية مثل درجة الحرارة وصحة المكونات، للسماح لشركة Microsoft بتوفير إعلام استباقي بالمشكلات الصحية. يمكن أن يعطِّل العميل هذا الحساب عند الضرورة.

يأتي جهاز HSM مع مستخدم افتراضي للمسؤول بكلمة المرور الافتراضية المعتادة. لم ترغب Microsoft في استخدام كلمات المرور الافتراضية أثناء وجود أي جهاز في تجمع ينتظر توفيره من قبل العملاء. لن يفي هذا بمتطلباتنا الأمنية الصارمة. لهذا السبب، عيِّنا كلمة مرور قوية يتم تجاهلها عند التوفير. ننشئ مستخدماً جديداً في دور المسؤول يسمى "المسؤول المستأجر" في وقت التوفير أيضاً. المستخدم "مسؤول المستأجر" لديه كلمة المرور الافتراضية، والتي يغيرها العملاء كإجراء أول عند تسجيل الدخول لأول مرة إلى الجهاز الذي تم توفيره حديثا. تضمن هذه العملية درجات عالية من الأمان وتحافظ على نهجنا المتمثل في التحكم الحصري لعملائنا في إدارة البيانات. تجدر الإشارة إلى أنه يمكن استخدام مستخدم "المشرف المستأجر" لإعادة تعيين كلمة مرور مستخدم المسؤول إذا كان العميل يفضل استخدام هذا الحساب.

‏‏لا. لا تمتلك شركة Microsoft أي حق للوصول إلى المفاتيح المخزنة في Dedicated HSM المخصصة للعميل.

‏‏لا. Azure Dedicated HSM هو HSM بالكاد للإيجار. لا تخزن خدمتنا بيانات العملاء. يتم تخزين جميع المواد والبيانات الرئيسية داخل جهاز HSM للعملاء. كل جهاز HSM مخصص بالكامل لعميل واحد، والذي لديه تحكم إداري كامل له.

يمتلك العميل الحرية الكاملة في إدارتها بما في ذلك ترقية البرامج/البرامج الثابتة إذا كانت هناك ميزات محددة مطلوبة من إصدارات البرامج الثابتة المختلفة. قبل إجراء التغييرات، راجع دعم Thales حول سيناريو ترقية البرامج/البرامج الثابتة.

يمكنك إدارة Dedicated HSM من خلال الوصول إليها باستخدام SSH.

يُستخدم برنامج عميل Thales HSM لإدارة HSM والأقسام.

يمتلك العميل حق الوصول الكامل إلى سجلات نشاط HSM عبر syslog وSNMP. يجب على العميل إعداد خادم syslog أو خادم SNMP لتلقي السجلات أو الأحداث من HSMs.

نعم. يمكنك إرسال سجلات من جهاز HSM إلى خادم syslog

نعم. يُنفَذ تكوين قابلية الوصول العالية وإعدادها في برنامج عميل HSM التي تقدمها Thales. يمكن إضافة HSMs من نفس الشبكة الظاهرية أو VNETs الأخرى في نفس المنطقة أو عبر المناطق، أو HSMs المحلية المتصلة بشبكة ظاهرية باستخدام VPN من موقع إلى موقع أو من نقطة إلى نقطة إلى نفس تكوين التوفر العالي. تجدر الإشارة إلى أن ذلك يؤدي إلى مزامنة مواد المفتاح فقط وليس عناصر التكوين المحددة مثل الأدوار.

نعم. يجب أن تلبي متطلبات قابلية الوصول العالية لأجهزة Thales Luna 7 HSM

‏‏لا.

ستة عشر عضوا في مجموعة قابلية وصول عالية لديهم اختبار تقييد كامل غير كامل مع نتائج ممتازة.

لا يوجد أي ضمان محدد وقت التشغيل مخصص لخدمة Dedicated HSM. تضمن Microsoft الوصول على مستوى الشبكة إلى الجهاز، ومن ثم يتم تطبيق اتفاقيات مستوى الخدمة القياسية لشبكة Azure.

تحتوي مراكز البيانات Azure على عناصر تحكم فعلية وإجرائية شاملة في الأمان. بالإضافة إلى ذلك تُستضاف Dedicated HSM في منطقة وصول مقيدة أخرى في مركز البيانات. تتمتع هذه المناطق بمزيد من عناصر التحكم في الوصول الفعلي ومراقبة كاميرا الفيديو لمزيد من الأمان.

تستخدم خدمة Dedicated HSM أجهزة Thales Luna 7 HSM. تدعم هذه الأجهزة الكشف عن التلاعب الفعلي والمنطقي. إذا كان هناك حدث عبث، يتم صفر HSMs تلقائيا.

يوصى باستخدام جهاز النسخ الاحتياطي HSM المحلي لإجراء النسخ الاحتياطي لـ HSM بصفة منتظمة لاسترداد البيانات بعد حدوث عطل فادح. يجب استخدام اتصال VPN من نظير إلى نظير أو من موقع إلى موقع بمحطة عمل محلية متصلة بجهاز النسخ الاحتياطي ل HSM.

تقدم كلٌّ من Microsoft وThales الدعم اللازم. إذا كانت لديك مشكلة في الوصول إلى الأجهزة أو شبكة الاتصال، فأرسل طلب دعم إلى Microsoft أما إذا كانت لديك مشكلة في تكوين HSM والبرامج وتطوير التطبيقات فأرسل طلب دعم إلى Thales. إذا كانت لديك مشكلة يصعب تحديدها، فأرسل طلب دعم إلى Microsoft ويمكن أن تشارك Thales عند الضرورة.

بعد التسجيل في الخدمة، ستتلقى معرف عميل Thales الذي يسمح بالتسجيل في مدخل دعم عملاء Thales، ما يتيح الوصول إلى جميع البرامج والوثائق بالإضافة إلى طلبات الدعم مباشرة مع Thales.

لا تتمكن Microsoft من الاتصال بأجهزة HSM المخصصة للعملاء. ينبغي على العملاء ترقية أجهزة HSM وتصحيحها.

يحتوي HSM على خيار إعادة تشغيل في سطر الأوامر، ومع ذلك، فإننا نواجه مشكلات حيث تتوقف إعادة التشغيل عن الاستجابة بشكل متقطع ولهذا السبب يوصى بإعادة التشغيل الأكثر أماناً التي تتقدم بطلب دعم لها إلى Microsoft لإعادة تشغيل الجهاز فعلياً.

نعم، توفر Dedicated HSM جهازThales Luna 7 HSM المعتمد حسب FIPS 140-2 المستوى -3 .

توفر خدمة Dedicated HSM أجهزة Thales Luna 7 HSM. تدعم مجموعة كبيرة من أنواع مفاتيح التشفير والخوارزميات بما فيها: دعم Full Suite B

• متماثل:
  • RSA
  • DSA
  • Diffie-Hellman
  • Elliptic Curve
  • التشفير (ECDSA وECDH وEd25519 وECIES) مع منحنيات Brainpool المسماة والتي حددها المستخدم وKCDSA
• متماثل:
  • AES-GCM
  • Triple DES
  • DES
  • ARIA, SEED
  • RC2
  • RC4
  • RC5
  • CAST
  • Hash/Message Digest/HMAC: SHA-1, SHA-2, SM3
  • اشتقاق المفتاح: وضع عداد SP 800-108
  • التفاف المفتاح: SP 800-38F
  • توليد الأرقام العشوائية: DRBG المعتمد من FIPS 140-2 (وضع SP 800-90 CTR) متوافق مع BSI DRG.4

نعم. نعم، توفر خدمة Dedicated HSM جهازThales Luna 7 HSM طراز A790 المعتمد حسب FIPS 140-2 المستوى-3.

توفر خدمة Dedicated HSM أجهزة Thales Luna 7 HSM. هذه الأجهزة هي أجهزة HSM معتمدة وفقاً لـ FIPS 140-2 المستوى 3. يتم أيضاً التحقق من صحة التكوين الافتراضي المنشور ونظام التشغيل والبرامج الثابتة وفقاً لـ FIPS. لا يلزم اتخاذ أي إجراء للتوافق مع FIPS 140-2 المستوى 3.

قبل طلب إلغاء التوفير، يجب أن يجري العميل مسح جميع البيانات على HSM باستخدام أدوات عميل HSM التي توفرها Thales.

توفر Dedicated HSM أجهزةThales Luna 7 HSM. فيما يلي ملخص بأقصى مستويات الأداء لبعض العمليات:

• RSA-2048: ‏10000 معاملة في الثانية
• ECC P256: ‏20000 معاملة في الثانية
• AES-GCM: ‏17000 معاملة في الثانية

يمتلك جهاز Thales Luna 7 HSM طراز A790 المُستخدَم ترخيصاً لـ 10 أقسام ضمن تكلفة الخدمة. يحتوي الجهاز على حد أقصى يبلغ 100 قسم، وستؤدي إضافة أقسام أكثر من هذا الحد إلى فرض تكاليف ترخيص إضافية وتتطلب تثبيت ملف ترخيص جديد على الجهاز.

الحد الأقصى لعدد المفاتيح هو إحدى وظائف الذاكرة المتاحة. يحتوي طراز Thales Luna 7 A790 قيد الاستخدام على 32 ميغابايت من الذاكرة. تنطبق الأرقام التالية أيضاً على أزواج المفاتيح في حالة استخدام مفاتيح غير متماثلة.

• RSA-2048 - 19,000
• ECC-P256 - 91,000

تختلف السعة اعتمادا على سمات مفتاح محددة تم تعيينها في قالب إنشاء المفتاح وعدد الأقسام.