Sık sorulan sorular (SSS)

Donanım Güvenlik Modülü (HSM), şifreleme anahtarlarını korumak ve yönetmek için kullanılan fiziksel bir bilgi işlem cihazıdır. HSM'lerde depolanan anahtarlar şifreleme işlemleri için kullanılabilir. Anahtar malzeme kurcalamaya dayanıklı, kurcalamaya karşı korumalı donanım modüllerinde güvenli bir şekilde kalır. HSM yalnızca kimliği doğrulanmış ve yetkili uygulamaların anahtarları kullanmasına izin verir. Anahtar malzemeleri asla HSM koruma sınırlarından ayrılmaz.

Azure Ayrılmış HSM, müşterinin sanal ağına doğrudan bağlı Olan Azure veri merkezlerinde barındırılan HSM'ler sağlayan bulut tabanlı bir hizmettir. Bu HSM'ler ayrılmış Thales Luna 7 HSM ağ gereçleridir. Bunlar doğrudan bir müşterinin özel IP adresi alanına dağıtılır ve Microsoft'un HSM'lerin şifreleme işlevlerine erişimi yoktur. Yalnızca müşteri bu cihazlar üzerinde tam yönetim ve şifreleme denetimine sahiptir. Müşteriler cihazın yönetiminden sorumludur ve tam etkinlik günlüklerini doğrudan cihazlarından alabilirler. Ayrılmış HSM'ler müşterilerin FIPS 140-2 Düzey 3, HIPAA, PCI-DSS ve eIDAS gibi uyumluluk/mevzuat gereksinimlerini karşılamalarına yardımcı olur.

Müşterilerin atanmış bir Microsoft Hesap Yöneticisi'ne sahip olması ve Azure Ayrılmış HSM'yi ekleme ve kullanma hakkı elde etmek için yıllık toplam taahhüt edilen Azure gelirinde 5 milyon ABD doları (5 MILYON ABD doları) veya daha büyük parasal gereksinimi karşılaması gerekir.

Microsoft, Azure Ayrılmış HSM hizmetini sunmak için Thales ile işbirliği yaptı. Kullanılan cihaz Thales Luna 7 HSM modeli A790'dır. Bu cihaz yalnızca FIPS 140-2 Düzey 3 doğrulanmış üretici yazılımı sağlamakla kalmaz, aynı zamanda 10 bölüm aracılığıyla düşük gecikme süresi, yüksek performans ve yüksek kapasite sunar.

HSM'ler TLS (aktarım katmanı güvenliği), verileri şifreleme, PKI (ortak anahtar altyapısı), DRM (dijital hak yönetimi) ve belgeleri imzalama gibi şifreleme işlevleri için kullanılan şifreleme anahtarlarını depolamak için kullanılır.

Müşteriler, PowerShell veya komut satırı arabirimini kullanarak belirli bölgelerde HSM sağlayabilir. Müşteri, HSM'lerin bağlı olduğu sanal ağı belirtir ve sağlandıktan sonra HSM'ler belirlenen alt ağda müşterinin özel IP adresi alanında atanan IP adreslerinde kullanılabilir. Daha sonra müşteriler alet yönetimi ve yönetimi için SSH kullanarak HSM'lere bağlanabilir, HSM istemci bağlantıları kurabilir, HSM'leri başlatabilir, bölümler oluşturabilir, bölüm sorumlusu, şifreleme yetkilisi ve şifreleme kullanıcısı gibi roller tanımlayabilir ve atayabilir. Müşteri, uygulamalarından şifreleme işlemleri gerçekleştirmek için Thales tarafından sağlanan HSM istemci araçlarını/SDK/yazılımı kullanır.

Thales, Microsoft tarafından sağlandıktan sonra HSM cihazı için tüm yazılımları sağlar. Yazılım, Thales müşteri destek portalında kullanılabilir. Ayrılmış HSM hizmetini kullanan müşterilerin Thales desteğine kaydolması ve ilgili yazılımlara erişim ve indirmeyi sağlayan bir Müşteri Kimliğine sahip olması gerekir. Desteklenen istemci yazılımı, FIPS 140-2 Düzey 3 doğrulanmış üretici yazılımı sürüm 7.0.3 ile uyumlu olan sürüm 7.2'dir.

Aşağıdaki öğeler, Ayrılmış HSM hizmeti kullanılırken ek maliyete neden olur.

• Ayrılmış şirket içi yedekleme cihazının kullanımı Ayrılmış HSM hizmetiyle kullanılabilir, ancak ek ücrete tabidir ve doğrudan Thales'ten sağlanmalıdır.
• Ayrılmış HSM 10 bölüm lisansı ile sağlanır. Müşteri daha fazla bölüm isteyebilir ve doğrudan Thales'ten alınan daha fazla lisans için ödeme yapabilir.
• Ayrılmış HSM için ağ altyapısı (sanal ağ, VPN Gateway vb.) ve cihaz yapılandırması için sanal makineler gibi kaynaklar gerekir. Bu kaynaklar ek ücrete tabidir ve Ayrılmış HSM hizmeti fiyatlandırmasında yer almaz.

Hayır Azure Ayrılmış HSM, HSM'lere yalnızca parola tabanlı kimlik doğrulaması sağlar.

Hayır Azure Ayrılmış HSM hizmeti işlevsellik modüllerini desteklemez.

Microsoft, Ayrılmış HSM hizmeti aracılığıyla yalnızca Thales Luna 7 HSM modeli A790'ı sunar ve müşteri tarafından sağlanan hiçbir cihazı barındıramaz.

Azure Ayrılmış HSM hizmeti, Thales Luna 7 HSM'lerini kullanır. Bu cihazlar ödeme HSM'ye özgü işlevleri (PIN veya EFT gibi) veya sertifikaları desteklemez. Azure Ayrılmış HSM hizmetinin gelecekte Ödeme HSM'lerini desteklemesini istiyorsanız geri bildirimi Microsoft Hesabı Temsilcinize iletin.

Ekim 2022 itibarıyla Ayrılmış HSM 22 bölgede kullanılabilir. Diğer bölgeler planlanır ve Microsoft Hesap Temsilciniz aracılığıyla tartışılabilir.

• Doğu ABD
• Doğu ABD 2
• Batı ABD
• Batı ABD 2
• Doğu Kanada
• Orta Kanada
• Orta Güney ABD
• Güneydoğu Asya
• Hindistan Orta
• Güney Hindistan
• Doğu Japonya
• Batı Japonya
• Kuzey Avrupa
• West Europe
• Güney Birleşik Krallık
• Batı Birleşik Krallık
• Doğu Avustralya
• Güneydoğu Avustralya
• Kuzey İsviçre
• Batı İsviçre
• US Gov Virginia
• US Gov Teksas

Uygulamalarınızdan şifreleme işlemleri gerçekleştirmek için Thales tarafından sağlanan HSM istemci araçlarını/SDK/yazılımı kullanırsınız. Yazılım, Thales müşteri destek portalında kullanılabilir. Ayrılmış HSM hizmetini kullanan müşterilerin Thales desteğine kaydolması ve ilgili yazılımlara erişim ve indirmeyi sağlayan bir Müşteri Kimliğine sahip olması gerekir.

Evet, sanal ağlar arasında bağlantı kurmak için bir bölge içinde sanal ağ eşlemesi kullanmanız gerekir. Bölgeler arası bağlantı için VPN Gateway kullanmanız gerekir.

Evet, şirket içi HSM'leri Ayrılmış HSM ile eşitleyebilirsiniz. Noktadan noktaya VPN veya noktadan siteye bağlantı, şirket içi ağınızla bağlantı kurmak için kullanılabilir.

Hayır Azure Ayrılmış HSM'lerine yalnızca sanal ağınızın içinden erişilebilir.

Evet, şirket içi Thales Luna 7 HSM'leriniz varsa. Birden çok yöntem vardır. Thales HSM belgelerine bakın.

• Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
• Sanal: VMware, Hyper-V, Xen, KVM

Yüksek kullanılabilirliğe sahip olmak için HSM istemci uygulama yapılandırmanızı her HSM'den bölümleri kullanacak şekilde ayarlamanız gerekir. Thales HSM istemci yazılımı belgelerine bakın.

Azure Ayrılmış HSM, Thales Luna 7 HSM modeli A790 cihazlarını kullanır ve parola tabanlı kimlik doğrulamasını destekler.

PKCS#11, Java (JCA/JCE), Microsoft CAPI ve CNG, OpenSSL

Evet. Uygun Thales geçiş kılavuzu için Thales temsilcinize başvurun.

Hayır Azure Ayrılmış HSM hizmeti işlevsellik modüllerini desteklemez.

Azure Ayrılmış HSM, HSM kullanan şirket içi Azure uygulamalarına geçiş yapan kuruluşlar için uygun seçimdir. Ayrılmış HSM'ler, bir uygulamayı en az değişiklikle geçirme seçeneği sunar. Şifreleme işlemleri bir Azure VM veya Web Uygulamasında çalışan uygulamanın kodunda gerçekleştiriliyorsa Ayrılmış HSM'yi kullanabilir. Genel olarak, anahtar deposu olarak HSM'leri destekleyen IaaS (hizmet olarak altyapı) modellerinde çalışan küçültme sarmalanmış yazılımlar Ayrılmış HSM'yi kullanabilir, anahtarsız TLS için Traffic Manager, ADCS (Active Directory Sertifika Hizmetleri) veya benzer PKI araçları, belge imzalama, kod imzalama için kullanılan araçlar/uygulamalar veya EKM (genişletilebilir anahtar yönetimi) sağlayıcısı kullanılarak HSM'de birincil anahtarla yapılandırılmış TDE (saydam veritabanı şifrelemesi) ile yapılandırılmış bir SQL Server (IaaS) gibi. Azure Key Vault, "bulutta doğan" uygulamalar veya müşteri verilerinin PaaS (hizmet olarak platform) veya Office 365 Müşteri Anahtarı, Azure Information Protection, Azure Disk Şifrelemesi, Müşteri tarafından yönetilen anahtarla Azure Data Lake Store şifrelemesi, müşteri tarafından yönetilen anahtarla Azure Depolama şifrelemesi gibi SaaS (hizmet olarak yazılım) senaryoları tarafından işlendiği bekleyen senaryolarda şifreleme için uygundur. ve müşteri tarafından yönetilen anahtarla Azure SQL.

Azure Ayrılmış HSM, şirket içi uygulamaları zaten HSM'leri kullanan Azure'a geçirdiğiniz geçiş senaryoları için en uygundur ve uygulamada en az değişiklikle Azure'a geçiş için düşük uyuşma yöntemi sağlar. Şifreleme işlemleri Azure VM veya Web App'te çalışan uygulamanın kodunda gerçekleştiriliyorsa Ayrılmış HSM kullanılabilir. Genel olarak, anahtar deposu olarak HSM'leri destekleyen IaaS (hizmet olarak altyapı) modellerinde çalışan küçültme sarmalanmış yazılımlar Aşağıdaki gibi Ayrılmış HSM'yi kullanabilir:

• Anahtarsız TLS için Traffic Manager
• ADCS (Active Directory Sertifika Hizmetleri)
• Benzer PKI araçları
• Belge imzalama için kullanılan araçlar/uygulamalar
• Kod imzalama
• EKM (genişletilebilir anahtar yönetimi) sağlayıcısı kullanılarak HSM'de birincil anahtarla TDE (saydam veritabanı şifrelemesi) ile yapılandırılmış SQL Server (IaaS)

Hayır Ayrılmış HSM doğrudan müşterinin özel IP Adresi alanına sağlanır, bu nedenle diğer Azure veya Microsoft hizmetleri tarafından erişilemez.

Evet. Her HSM gereci tek bir müşteriye tamamen ayrılmıştır ve sağlandıktan ve yönetici parolası değiştirildikten sonra başka hiç kimsenin yönetim denetimi yoktur.

Microsoft'un HSM üzerinde herhangi bir yönetim veya şifreleme denetimi yoktur. Microsoft'un sistem durumu sorunları hakkında proaktif bildirimde bulunabilmesi için sıcaklık ve bileşen durumu gibi temel telemetri verilerini almak için seri bağlantı noktası bağlantısı üzerinden izleme düzeyinde erişimi vardır. Gerekirse müşteri bu hesabı devre dışı bırakabilir.

HSM cihazı, her zamanki varsayılan parolası ile varsayılan bir yönetici kullanıcısı ile birlikte yüklenir. Microsoft, herhangi bir cihaz müşteriler tarafından sağlamayı bekleyen bir havuzdayken varsayılan parolaların kullanılmasını istemedi. Bu, katı güvenlik gereksinimlerimizi karşılamaz. Bu nedenle, sağlama zamanında atılan güçlü bir parola ayarlayacağız. Ayrıca sağlama zamanında yönetici rolünde "kiracı yöneticisi" adlı yeni bir kullanıcı oluştururuz. "Kiracı yöneticisi" kullanıcı, müşterilerin yeni sağlanan cihazda ilk kez oturum açarken ilk eylem olarak değiştirdiği varsayılan parolaya sahiptir. Bu süreç yüksek düzeyde güvenlik sağlar ve müşterilerimiz için tek yönetim denetimi sözümüzü korur. Bir müşteri bu hesabı kullanmayı tercih ederse yönetici kullanıcı parolasını sıfırlamak için "kiracı yöneticisi" kullanıcısının kullanılabileceğinin belirtilmesi gerekir.

Hayır Microsoft'un müşteri tarafından ayrılmış Ayrılmış HSM'de depolanan anahtarlara erişimi yoktur.

Hayır Azure Ayrılmış HSM, kiralama hizmeti için bir baremetal HSM'dir. Hizmetimiz müşteri verilerini depolamaz. Tüm önemli malzemeler ve veriler müşterilerin HSM aletinde depolanır. Her HSM aleti, tam yönetim denetimine sahip olduğu tek bir müşteriye tamamen ayrılmıştır.

Müşteri, farklı üretici yazılımı sürümlerinden belirli özellikler gerekiyorsa yazılım/üretici yazılımı yükseltme dahil olmak üzere tam yönetim denetimine sahiptir. Değişiklik yapmadan önce yazılım/üretici yazılımı yükseltme senaryonuz hakkında Thales Desteği'ne başvurun.

Ayrılmış HSM'leri SSH kullanarak bunlara erişerek yönetebilirsiniz.

HSM'leri ve bölümleri yönetmek için Thales HSM istemci yazılımı kullanılır.

Müşterinin syslog ve SNMP aracılığıyla HSM etkinlik günlüklerine tam erişimi vardır. Müşterinin HSM'lerden günlükleri veya olayları almak için bir syslog sunucusu veya SNMP sunucusu ayarlaması gerekir.

Evet. Günlükleri HSM aletinden bir syslog sunucusuna gönderebilirsiniz

Evet. Thales tarafından sağlanan HSM istemci yazılımında yüksek kullanılabilirlik yapılandırması ve kurulumu gerçekleştirilir. Aynı sanal ağdan veya aynı bölgedeki veya bölgeler genelindeki diğer VNE'lerden ya da siteden siteye veya noktadan noktaya VPN kullanarak bir sanal ağa bağlı şirket içi HSM'ler aynı yüksek kullanılabilirlik yapılandırmasına eklenebilir. Bunun, roller gibi belirli yapılandırma öğelerini değil, yalnızca anahtar malzemeyi eşitlediğini unutmayın.

Evet. Thales Luna 7 HSM'ler için yüksek kullanılabilirlik gereksinimlerini karşılamaları gerekir

Hayır

Bir HA grubunun 16 üyesi, mükemmel sonuçlarla yetersiz, tam kısıtlama testi yaptı.

Ayrılmış HSM hizmeti için sağlanan belirli bir çalışma süresi garantisi yoktur. Microsoft, cihaza ağ düzeyinde erişim sağlar ve bu nedenle standart Azure ağ SLA'ları uygulanır.

Azure veri merkezleri kapsamlı fiziksel ve yordamsal güvenlik denetimlerine sahiptir. Buna ek olarak, Ayrılmış HSM'ler veri merkezinin daha kısıtlı bir erişim alanında barındırılır. Bu alanlarda daha fazla fiziksel erişim denetimi ve ek güvenlik için video kamera gözetimi vardır.

Ayrılmış HSM hizmeti, Thales Luna 7 HSM aletlerini kullanır. Bu cihazlar fiziksel ve mantıksal kurcalama algılamayı destekler. Kurcalama olayı olursa HSM'ler otomatik olarak sıfırlanır.

Olağanüstü durum kurtarma için HSM'lerin düzenli aralıklarla yedeklemesini gerçekleştirmek için şirket içi HSM yedekleme cihazının kullanılması kesinlikle önerilir. Bir HSM yedekleme cihazına bağlı şirket içi iş istasyonuna eşler arası veya siteden siteye VPN bağlantısı kullanmanız gerekir.

Destek hem Microsoft hem de Thales tarafından sağlanır. Donanım veya ağ erişimiyle ilgili bir sorununuz varsa, Microsoft ile bir destek isteği oluşturun ve HSM yapılandırması, yazılımı ve uygulama geliştirmeyle ilgili bir sorun varsa Thales ile bir destek isteği oluşturun. Belirlenemeyen bir sorununuz varsa, Microsoft'la bir destek isteği oluşturun ve Thales gerektiğinde devreye alınabilir.

Hizmete kaydoldıktan sonra, Thales müşteri destek portalına kaydolmaya olanak tanıyan ve Thales ile doğrudan tüm yazılım ve belgelere ve destek isteklerine erişim sağlayan bir Thales Müşteri Kimliği alırsınız.

Microsoft'un müşterilere ayrılan HSM'lere bağlanabilmesi yoktur. Müşterilerin HSM'lerini yükseltmesi ve düzeltme eki eklemesi gerekir.

HSM'nin bir komut satırı yeniden başlatma seçeneği vardır, ancak yeniden başlatmanın aralıklı olarak yanıt vermemeye başlamasıyla ilgili sorunlarla karşılaşıyoruz ve bu nedenle cihazın fiziksel olarak yeniden başlatılması için Microsoft ile bir destek isteği göndermeniz önerilir.

Evet, Ayrılmış HSM, FIPS 140-2 Düzey 3 onaylı Thales Luna 7 HSM'leri sağlar.

Ayrılmış HSM hizmeti, Thales Luna 7 HSM gereçleri sağlar. Bunlar, aşağıdakiler dahil olmak üzere çok çeşitli şifreleme anahtarı türlerini ve algoritmalarını destekler: Tam Paket B desteği

• Asimetrik:
  • RSA
  • DSA
  • Diffie-Hellman
  • Eliptik Eğri
  • Adlandırılmış, kullanıcı tanımlı ve Brainpool eğrileri, KCDSA ile şifreleme (ECDSA, ECDH, Ed25519, ECIES)
• Simetrik:
  • AES-GCM
  • Üçlü DES
  • DES
  • ARIA, TOHUM
  • RC2
  • RC4
  • RC5
  • CAST
  • Karma/İleti Özeti/HMAC: SHA-1, SHA-2, SM3
  • Anahtar Türetme: SP 800-108 Sayaç Modu
  • Anahtar Sarmalama: SP 800-38F
  • Rastgele Sayı Oluşturma: FIPS 140-2 onaylı DRBG (SP 800-90 CTR modu), BSI DRG.4 ile uyumlu

Evet. Ayrılmış HSM hizmeti, FIPS 140-2 Düzey-3 onaylı Thales Luna 7 HSM modeli A790 gereçleri sağlar.

Ayrılmış HSM hizmeti, Thales Luna 7 HSM gereçleri sağlar. Bu cihazlar FIPS 140-2 Düzey 3 doğrulanmış HSM'lerdir. Varsayılan dağıtılan yapılandırma, işletim sistemi ve üretici yazılımı da FIPS tarafından doğrulanır. FIPS 140-2 Düzey 3 uyumluluğu için herhangi bir işlem yapmanız gerekmez.

Sağlamayı kaldırma isteğinde bulunmadan önce, bir müşterinin HSM istemci araçlarını sağlayan Thales kullanarak HSM'yi sıfırlamış olması gerekir.

Ayrılmış HSM, Thales Luna 7 HSM'leri sağlar. Bazı işlemler için en yüksek performansın özeti aşağıdadır:

• RSA-2048: Saniyede 10.000 işlem
• ECC P256: Saniyede 20.000 işlem
• AES-GCM: Saniyede 17.000 işlem

Kullanılan Thales Luna 7 HSM modeli A790, hizmetin maliyetinde 10 bölüm için lisans içerir. Cihazın 100 bölüm sınırı vardır ve bu sınıra kadar bölüm eklemek fazladan lisanslama maliyetlerine neden olur ve cihaza yeni bir lisans dosyasının yüklenmesini gerektirir.

Maksimum anahtar sayısı, kullanılabilir belleğin bir işlevidir. Kullanılan Thales Luna 7 modeli A790 32 MB belleğe sahiptir. Aşağıdaki sayılar, asimetrik anahtarlar kullanılıyorsa anahtar çiftleri için de geçerlidir.

• RSA-2048 - 19.000
• ECC-P256 - 91.000

Kapasite, anahtar oluşturma şablonunda ayarlanan belirli anahtar özniteliklerine ve bölüm sayısına bağlı olarak değişir.