Миграция из выделенного HSM Azure в Управляемый HSM Azure или Azure Cloud HSM

Клиенты Azure Dedicated HSM, которые хотят перейти на Azure Cloud HSM или Управляемый HSM Azure, могут найти рекомендации в этой статье. Этот переход включает создание новых ключей и обновление приложений для использования новых служб.

Корпорация Майкрософт не имеет доступа к аппаратным средствам безопасности (HSM), предоставленным клиентам, так как устройства выделяются в пределах частных IP-адресов клиентов. Клиенты отвечают за координацию со своими внутренними командами для создания новых ключей в Azure Cloud HSM или Управляемого устройства HSM Azure, обновления приложений для использования новых ключей и тестирования для обеспечения плавного перехода.

Ограничения Thales Luna HSM

Экспорт ключей, защищенных HSM, из Thales Luna HSM в Azure Cloud HSM или Управляемый HSM Azure невозможно, если параметр политики секции по умолчанию "экспорт ключей" отключен. Этот режим предотвращает наличие закрытых ключей за пределами доверенного устройства HSM Luna в указанном домене клонирования.

Клиенты Azure Dedicated HSM, использующие группы высокой доступности (HA) для поддержки BCDR на нескольких устройствах, обычно включают режим клонирования, а режим экспорта ключей — отключают. В результате нельзя перенести существующие ключевые материалы, а новые ключи должны быть созданы в Azure Cloud HSM или Управляемом HSM Azure.

Thales Luna HSM с отключенным режимом клонирования и "экспорт ключей" не может экспортировать ключи.

Переход на облачную платформу HSM от Azure

Клиенты могут обратиться к руководству по подключению Azure Cloud HSM, руководствам по интеграции и обзорной документации по подготовке и активации ресурсов Azure Cloud HSM. Дополнительные сведения о сценариях использования и рекомендациях см. в часто задаваемых вопросы и ответы по azure Cloud HSM.

Предоставление и активация Azure Cloud HSM

Чтобы приступить к работе с Azure Cloud HSM, необходимо подготовить и активировать ресурсы HSM. Следуйте приведенным ниже руководствам, чтобы получить подробные инструкции.

• Обзор облачного устройства HSM Azure
• Руководство по подключению к облачному устройству HSM в Azure
• Руководства по интеграции с Azure Cloud HSM

Создание ключей в Azure Cloud HSM

Создание ключей в Azure Cloud HSM просто. Вы можете узнать, как создавать, перечислять, удалять, делать резервные копии, восстанавливать или импортировать ключи, ссылаясь на обзор Azure Cloud HSM, который предоставляет все необходимые команды и рекомендации по управлению ключами HSM.

Ознакомьтесь с рекомендациями по использованию Azure Cloud HSM

Azure Cloud HSM — это облачная служба, которая защищает ключи шифрования. Так как эти ключи являются конфиденциальными и критически важными для бизнеса, обязательно защитите доступ к облачным HSM, разрешая только авторизованным приложениям и пользователям. В статье с рекомендациями по управлению ключами и безопасности иуправлению пользователями представлен обзор модели доступа. В нем объясняется проверка подлинности, авторизация и управление доступом на основе ролей, которым вы должны следовать.

Переход на управляемый HSM Azure

Клиенты могут быстро подготовить и активировать Управляемый HSM с помощью справочных руководств QuickStart ниже.

Развертывание и активация управляемого HSM

Чтобы начать использование Azure Managed HSM, необходимо его подготовить и активировать. Используйте следующие руководства для пошаговых инструкций.

• Обзор управляемого аппаратного модуля безопасности Azure
• Подготовка и активация управляемого HSM с помощью Azure CLI
• Подготовка и активация управляемого устройства HSM с помощью PowerShell
• Подготовка и активация управляемого устройства HSM с помощью шаблона Azure Resource Manager

Создание ключей в управляемом HSM Azure

Создание ключей в Управляемом HSM Azure важно для защиты данных. Дополнительные инструкции см. в следующих ресурсах.

• Управление ключами в управляемом HSM Azure с помощью Azure CLI

Ознакомьтесь с лучшими практиками использования управляемого HSM Azure

Управляемый HSM Azure — это облачная служба, которая защищает ключи шифрования. Так как эти ключи чувствительны и критически важны для бизнеса, обязательно защитите доступ к управляемым HSM, разрешая только авторизованным приложениям и пользователям. Наши рекомендации и статья об управляемом управлении доступом HSM содержат общие сведения о модели доступа. В нем объясняется проверка подлинности и авторизация, а также управление доступом на основе ролей, которые вы хотите придерживаться.

Часто задаваемые вопросы

Могут ли клиенты перенести выделенные ключи HSM в облако HSM или управляемый HSM?

Нет, существующие ключи нельзя перенести из-за ограничений в Thales Luna HSM. Клиенты должны создавать новые ключи в Azure Cloud HSM или Управляемом HSM Azure.

Могут ли клиенты изменить политики секций на выделенном HSM, чтобы включить экспорт ключей?

Нет. Изменение политик секционирования для клонирования ключей или экспорта ключей является разрушительным процессом. Эту политику можно задать только во время создания раздела. Если вы измените эту политику после создания ключей, вы восстановите заводские настройки и потеряете все материалы ключей. Эта политика применяется через встроенное ПО Thales.

Дальнейшие шаги

Дополнительные сведения о Azure Cloud HSM и Управляемом HSM Azure см. в следующих ресурсах:

• Обзор azure Cloud HSM. Узнайте о функциях и возможностях облачного HSM Azure.
• Обзор управляемого HSM Azure: Узнайте о преимуществах и примерах использования управляемого HSM Azure.
• Руководство по подключению к облачному устройству HSM в Azure. Пошаговые инструкции по началу работы с Azure Cloud HSM.
• Краткое руководство по подготовке и активации управляемого устройства HSM в Azure. Краткое руководство по подготовке и активации управляемого устройства HSM в Azure.
• Вопросы и ответы по Azure Cloud HSM: ознакомьтесь с сценариями использования и рекомендациями по использованию облачного устройства HSM Azure.