Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
HSM dedicato di Azure è in fase di ritiro. Microsoft supporterà completamente i clienti HSM dedicati esistenti fino al 31 luglio 2028, ma non vengono accettati nuovi onboarding dei clienti. I clienti devono passare a Azure Cloud HSM o Managed HSM.
Questo articolo fornisce indicazioni per i clienti di HSM dedicato di Azure che devono passare ad Azure Cloud HSM o a Managed HSM. Questa transizione comporta la creazione di nuove chiavi e l'aggiornamento delle applicazioni per l'uso dei nuovi servizi.
Avvertimento
I clienti non possono eseguire la migrazione di materiali chiave esistenti da HSM dedicato di Azure a Azure modulo di protezione hardware cloud o HSM gestito a causa di restrizioni note del modulo di protezione hardware Thales Luna. È necessario creare nuove chiavi in Azure Cloud HSM o Managed HSM durante la migrazione da HSM dedicato di Azure.
Microsoft non ha accesso ai moduli di protezione hardware dedicati allocati ai clienti perché i dispositivi vengono allocati all'interno dello spazio indirizzi IP privato dei clienti. I clienti sono responsabili di coordinarsi con i propri team interni per creare nuove chiavi in Azure Cloud HSM o Managed HSM, aggiornare le proprie applicazioni affinché utilizzino le nuove chiavi ed eseguire test per garantire una transizione senza problemi.
Restrizioni di Thales Luna HSM
L'esportazione di chiavi protette da HSM da un HSM Thales Luna ad Azure Cloud HSM o Managed HSM non è possibile se l'impostazione predefinita dei criteri della partizione, "esportazione delle chiavi", è disabilitata. Questa modalità impedisce che le chiavi private siano esistenti all'esterno di un modulo di protezione hardware Luna attendibile nel dominio di clonazione designato.
I clienti dell'HSM dedicato di Azure che usano gruppi di alta disponibilità (HA) per supportare il BCDR su più dispositivi hanno in genere la "modalità di clonazione attiva" abilitata e "esportazione delle chiavi" disabilitata. Di conseguenza, il materiale delle chiavi esistente non può essere migrato ed è necessario creare nuove chiavi in Azure Cloud HSM o in Managed HSM.
I moduli di protezione hardware Thales Luna con "modalità di clonazione su" e "esportazione chiavi" disabilitati non possono esportare le chiavi.
Avvertimento
La modifica dei criteri di partizione nel modulo di protezione hardware Thales Luna è un processo distruttivo. Se si applica una modifica del criterio di partizione, il modulo di protezione hardware viene azzerato e tutti i materiali e i contenuti delle chiavi vengono persi. Se non si è certi dello stato dei criteri di partizione, è possibile eseguire partition showPolicies su HSM dedicato di Azure per visualizzare i criteri correnti.
Transizione al Cloud HSM di Azure
I clienti possono fare riferimento alla guida all'onboarding del modulo di protezione hardware cloud di Azure, alle guide all'integrazione e alla documentazione di panoramica per effettuare il provisioning e attivare le risorse del modulo di protezione hardware cloud di Azure. Per altri dettagli sugli scenari di utilizzo e sulle procedure consigliate, vedere domande frequenti su HSM cloud di Azure.
Configura e attiva l'HSM Cloud di Azure
Per iniziare a usare il Cloud HSM di Azure, è necessario configurare e attivare le risorse del modulo di protezione hardware. Seguire le guide seguenti per istruzioni dettagliate.
- Panoramica di Azure Cloud HSM
- Guida per l'integrazione di HSM nel cloud Azure
- Guide all'integrazione di HSM cloud di Azure
Creare chiavi nell'HSM cloud di Azure
La creazione di chiavi nel modulo di protezione hardware cloud di Azure è semplice. Per informazioni su come creare, elencare, eliminare, eseguire il backup, ripristinare o importare chiavi, consultare la Azure Cloud HSM Overview, che fornisce tutti i comandi e le istruzioni necessarie per gestire le chiavi del modulo di sicurezza hardware.
Leggere le procedure consigliate con HSM cloud di Azure
HSM cloud di Azure è un servizio cloud che protegge le chiavi di crittografia. Poiché queste chiavi sono sensibili e critiche per l'azienda, assicurarsi di proteggere l'accesso ai moduli di protezione hardware cloud consentendo solo le applicazioni e gli utenti autorizzati. L'articolo sulle procedure consigliate , insieme alla gestione delle chiavi e alla sicurezza ealla gestione degli utenti, offre una panoramica del modello di accesso. Illustra l'autenticazione, l'autorizzazione e il controllo degli accessi in base al ruolo da seguire.
Transizione al modulo di protezione hardware gestito
I clienti possono effettuare rapidamente il provisioning e attivare un modulo di protezione hardware gestito usando le guide di riferimento di avvio rapido seguenti:
Effettuare il provisioning e attivare un HSM gestito
Per iniziare a utilizzare Managed HSM, è necessario effettuarne il provisioning e attivarlo. Usare le guide seguenti per istruzioni dettagliate.
- Panoramica del modulo di protezione hardware gestito
- Configurare e attivare un HSM gestito tramite l'interfaccia della riga di comando di Azure
- Effettuare il provisioning di un modulo di protezione hardware gestito e attivarlo tramite l'interfaccia della riga di comando di PowerShell
- Eseguire il provisioning e attivare un Managed HSM utilizzando un modello di Azure Resource Manager
Creare chiavi nel modulo di protezione hardware gestito
La creazione di chiavi nel modulo di protezione hardware gestito è essenziale per proteggere i dati. Per istruzioni dettagliate, vedere le risorse seguenti.
Leggi le procedure consigliate per Managed HSM
HSM gestito è un servizio cloud che protegge le chiavi di crittografia. Poiché queste chiavi sono sensibili e business critical, assicurarsi di proteggere l'accesso ai moduli di protezione hardware gestiti consentendo solo le applicazioni e gli utenti autorizzati. Le nostre Procedure consigliate e l'articolo su Gestione del controllo di accesso HSM offre una panoramica del modello di accesso. Illustra l'autenticazione e l'autorizzazione e il controllo degli accessi in base al ruolo a cui si vuole rispettare.
Domande frequenti
I clienti possono eseguire la migrazione di chiavi HSM dedicate al modulo di protezione hardware cloud o al modulo di protezione hardware gestito?
No, non è possibile eseguire la migrazione delle chiavi esistenti a causa di restrizioni nel modulo di protezione hardware Thales Luna. I clienti devono creare nuove chiavi in Azure Cloud HSM o Managed HSM.
I clienti possono modificare i criteri di partizione nel modulo di protezione hardware dedicato per abilitare l'esportazione delle chiavi?
No. La modifica dei criteri di partizione per la clonazione o l'esportazione di chiavi è un processo distruttivo. Solo al momento della creazione della partizione è possibile impostare questo criterio. Se si modifica questo criterio dopo la creazione delle chiavi, si eseguirà il ripristino delle impostazioni predefinite e si perderanno tutti i materiali chiave. Questo criterio viene applicato tramite il firmware Thales.
Passaggi successivi
Per saperne di più su Azure Cloud HSM e Managed HSM, consulta le risorse seguenti:
- Panoramica di Azure Cloud HSM: informazioni sulle funzionalità e sulle capacità dell'HSM nella sicurezza del cloud di Azure.
- Panoramica del modulo di protezione hardware gestito: comprendere i vantaggi e i casi d'uso del modulo di protezione hardware gestito.
- Guida all'onboarding di Azure Cloud HSM: istruzioni dettagliate per iniziare a usare Azure Cloud HSM.
- Guida introduttiva al modulo di protezione hardware gestito: Guida introduttiva per il provisioning e l'attivazione del modulo di protezione hardware gestito.
- FAQ su Azure Cloud HSM: esplorare scenari di utilizzo e procedure ottimali per Azure Cloud HSM.