Preguntas más frecuentes sobre Azure Cloud HSM

Microsoft Azure Cloud HSM es un servicio que proporciona almacenamiento seguro para claves criptográficas mediante módulos de seguridad de hardware (HSM) que cumplen el estándar de seguridad FIPS 140-3 nivel 3. Es un servicio de alta disponibilidad, de inquilino único y administrado por el cliente que cumple con los estándares del sector.

Azure Cloud HSM admite varias aplicaciones, como PKCS#11, descarga de procesamiento de capa de sockets seguros (SSL) o procesamiento de seguridad de la capa de transporte (TLS), protección de claves privadas de entidad de certificación (CA) y cifrado de datos transparente (TDE). También admite la firma de documentos y código.

Azure Cloud HSM proporciona alta disponibilidad y redundancia mediante la agrupación de varios HSM en un clúster y la sincronización automática entre tres nodos HSM. El clúster de HSM admite el equilibrio de carga de las operaciones criptográficas. Las copias de seguridad periódicas de HSM ayudan a garantizar una recuperación de datos segura y sencilla. Para obtener más información, consulte ¿Qué es Azure Cloud HSM?.

Un módulo de seguridad de hardware (HSM) es un dispositivo informático físico diseñado para proteger y administrar claves criptográficas. En los HSM, las claves se almacenan de forma segura y se usan para las operaciones criptográficas. Los módulos de hardware resistentes a manipulaciones y a prueba de manipulación ayudan a garantizar la confidencialidad e integridad de esas claves. El acceso a las claves está restringido a las aplicaciones autenticadas y autorizadas, por lo que el material de clave siempre permanece dentro del límite protegido del HSM. Para obtener más información, consulte Asegure su implementación de HSM de Cloud de Azure.

Azure Cloud HSM usa módulos de seguridad de hardware Marvell LiquidSecurity. Para obtener más información sobre las especificaciones de servicio, consulte Azure Límites de servicio de HSM en la nube.

Microsoft proporciona todo el software y las herramientas para Azure Cloud HSM a través de su SDK. Puede descargar el SDK de Azure Cloud HSM desde GitHub. Para obtener más información sobre las opciones de integración, consulte Azure Guías de integración de HSM en la nube.

No, Microsoft supervisa el firmware en el hardware. Un tercero (fabricante del HSM) mantiene el hardware. NIST evalúa el firmware y debe firmarlo para garantizar el cumplimiento de los estándares FIPS 140-3 level 3. Para obtener más información sobre la administración de hardware, consulte ¿Qué es Azure Cloud HSM?.

Azure ofrece varias soluciones para el almacenamiento y la administración de claves criptográficas en la nube: Azure Key Vault (ofertas estándar y premium), Azure HSM administrado, Azure Cloud HSM y HSM de pago Azure. Puede ser abrumador para que los clientes decidan qué solución es la mejor para ellos. Un diagrama de flujo, basado en los requisitos generales comunes y los escenarios de administración clave, está disponible para ayudar a los clientes a tomar esta decisión. Consulte Cómo elegir la solución de administración de claves adecuada.

Azure Cloud HSM es más adecuado para escenarios de migración, al migrar aplicaciones locales que ya usan HSM para Azure. Azure Cloud HSM proporciona una opción de baja fricción para migrar a Azure con cambios mínimos en la aplicación.

Si las operaciones criptográficas se realizan en el código de una aplicación que se ejecuta en una máquina virtual o aplicación web de Azure, una organización puede usar HSM en la nube. En general, el software empaquetado que se ejecuta en modelos de infraestructura como servicio (IaaS) y que admite los HSM como almacén de claves puede usar HSM en la nube. Este software incluye:

• Active Directory Certificate Services (Servicios de Certificados de Active Directory, AD CS).
• Descarga de SSL/TLS para NGINX y Apache.
• Herramientas y aplicaciones usadas para la firma de documentos.
• Firma de código.
• Aplicaciones Java que requieren un proveedor de la Extensión de Criptografía Java (JCE).
• Microsoft SQL Server TDE (IaaS) a través de la administración extensible de claves (EKM).
• TDE de Oracle.

Para obtener más información sobre cómo implementar estos escenarios, consulte Azure Guías de integración de HSM en la nube.

No. Microsoft no admite "bring your own HSM". Azure Cloud HSM no puede hospedar ningún dispositivo proporcionado por el cliente. Para obtener más información sobre la arquitectura del servicio, consulte ¿Qué es Azure Cloud HSM?.

Sí, pero depende de la arquitectura y la configuración. Si la implementación de Dedicated HSM está configurada en una agrupación de alta disponibilidad (HA), no puede migrar claves. La razón es que la exportación de claves está deshabilitada para permitir la clonación de claves (agrupación de alta disponibilidad) y cambiar esos atributos es un proceso destructivo. Si su implementación de HSM dedicado está configurada en un grupo de alta disponibilidad, debe crear nuevas claves al migrar a HSM de Azure Cloud. Para obtener más información sobre la administración de claves, consulte Administración de claves en Azure Cloud HSM.

No, Azure HSM en la nube no tiene una directiva monetaria. La incorporación Azure Cloud HSM está abierta a todos los clientes. Para más información sobre cómo empezar, consulte Azure Guía de incorporación de HSM en la nube.

Se incurre en una tarifa por hora por cada clúster de HSM en la nube de Azure, que consta de tres nodos. Después de aprovisionar un recurso HSM en la nube, permanece activo continuamente (siempre activado). La facturación se inicia al aprovisionar un recurso, en lugar de cuando termine de inicializar el recurso HSM. Para obtener más información sobre las opciones de implementación, consulte Deploy Azure Cloud HSM mediante PowerShell o Deploy Azure Cloud HSM mediante el portal de Azure.

Azure Cloud HSM requiere una infraestructura de red, como una red virtual y un punto de conexión privado. También requiere recursos como máquinas virtuales para la configuración del dispositivo. Estos recursos incurren en costos adicionales y no se incluyen en los precios del servicio HSM en la nube de Azure. Para obtener más información sobre los requisitos de red, consulte Seguridad de red para Azure Cloud HSM.

No, un nivel gratis no está disponible para Azure Cloud HSM. Para obtener más información sobre las ofertas de servicio, consulte ¿Qué es Azure Cloud HSM?.

• Windows Server 2016, 2019 y 2022
• Linux (Ubuntu 20.04, Ubuntu 22.04, Ubuntu 24.04, RHEL 7, RHEL 8 y RHEL 9)
• CBL Mariner 2

Para obtener más información sobre la compatibilidad y la solución de problemas, consulte Troubleshoot Azure Cloud HSM.

Para administrar la implementación del servicio, acceda al clúster de HSM de Azure Cloud a través de Secure Shell (SSH) y el SDK de HSM de Azure Cloud desde GitHub. Para obtener más información sobre las operaciones de administración, consulte Administración de usuarios en Azure Cloud HSM.

El SDK Azure Cloud HSM contiene software y herramientas para ejecutar operaciones criptográficas dentro de las aplicaciones. Azure Cloud HSM admite varias interfaces, como PKCS#11, OpenSSL, JCE, proveedor de almacenamiento de claves (KSP) y Cryptography API: Next Generation (CNG). La gama de herramientas del SDK permite una interacción perfecta con el HSM.

Puede descargar el SDK de Azure Cloud HSM desde GitHub. Para obtener más información sobre los métodos de conectividad, consulte Authentication in Azure Cloud HSM.

Azure Cloud HSM solo admite la autenticación basada en contraseña. No admite la autenticación a través de un dispositivo de entrada de PIN (PED). Para obtener más información sobre los métodos de autenticación, consulte Authentication in Azure Cloud HSM.

Sí. Utiliza el emparejamiento de redes virtuales dentro de una región para establecer la conectividad entre distintas redes virtuales. Para la conectividad entre regiones, use el emparejamiento global de redes virtuales o una pasarela de VPN. Para obtener más información sobre las configuraciones de red, consulte Seguridad de red para Azure Cloud HSM.

No. Aunque Azure HSM en la nube no interopera directamente con HSM locales, puede transferir claves exportables de forma segura entre Azure HSM en la nube y la mayoría de los HSM comerciales mediante uno de varios métodos admitidos de encapsulado de claves. Para obtener más información sobre la administración de claves, consulte Administración de claves en Azure Cloud HSM.

No. Azure clústeres HSM de la nube solo son accesibles desde dentro de su red virtual. Para obtener más información sobre las limitaciones del servicio, consulte ¿Qué es Azure HSM en la nube?.

No. Azure Cloud HSM se aprovisiona directamente en el espacio de direcciones IP privadas, por lo que otros servicios Azure o Microsoft no pueden acceder a él. Para obtener más información sobre las funcionalidades y limitaciones del servicio, consulte ¿Qué es Azure Cloud HSM?.

Sí. Hay varios métodos para traer su propia clave (BYOK) y tener HSM locales que permitan la exportación de claves (encapsulado de claves). Para obtener más información sobre las operaciones de importación de claves, consulte administración de claves Key en Azure Cloud HSM.

No. El servicio Azure Cloud HSM no admite módulos de funcionalidad. Para obtener más información sobre las funcionalidades de servicio, consulte Azure Límites de servicio de HSM en la nube.

No. No puede cambiar el certificado de propietario de la partición después de cargarlo. Si carga PO.crt en error, debe eliminar el recurso de HSM en la nube de Azure e implementarlo de nuevo.

No. No puede restaurar una copia de seguridad en su recurso de Azure Cloud HSM de origen porque está en un estado activado. Para obtener más información sobre las operaciones de copia de seguridad y restauración, consulte Backup and restore in Azure Cloud HSM.

No. Azure Cloud HSM no admite la restauración de una copia de seguridad en su HSM de origen ni en ningún recurso de HSM en la nube que ya esté activado. De lo contrario, se producirá un error en la operación de restauración y se colocará el recurso HSM en la nube de destino en un estado no funcional. Para obtener más información sobre el proceso de restauración, consulte Restoration guidelines for Azure Cloud HSM.

Sí. Puede restaurar una copia de seguridad en otro recurso de HSM en la nube de Azure en cualquier región, si el recurso HSM en la nube de destino no está en un estado activado. Para obtener más información sobre la restauración entre regiones, consulte Restauración entre regiones para Azure Cloud HSM.

No. Solo se permite una identidad administrada por clúster HSM de Azure en la nube. Para más información sobre la administración de identidades y acceso, consulte Aplicación de una identidad administrada y creación de una cuenta de almacenamiento.

Sí. El rol mínimo de control de acceso basado en roles (RBAC) necesario es Colaborador de datos de Storage Blob. Puede restringir el origen como de solo lectura, pero necesita permisos de lectura y escritura en el destino. Para obtener más información sobre el control de acceso, consulte Aplicación de una identidad administrada y creación de una cuenta de almacenamiento.

No. Con Azure Cloud HSM, tiene acceso administrativo exclusivo a su HSM como un solo inquilino. Para obtener más información sobre la arquitectura del servicio, consulte ¿Qué es Azure Cloud HSM?.

No. Microsoft no tiene acceso a las claves almacenadas en HSM asignados por el cliente. Para obtener más información sobre los controles de seguridad, consulte Cómo asegurar su implementación de HSM en la nube de Azure.

En la arquitectura de Azure Cloud HSM, la separación de tareas y el control de acceso basado en rol son principios fundamentales. Microsoft no tiene ningún control criptográfico sobre los HSM asignados por el cliente ni sobre los usuarios del HSM, aparte de su propio rol limitado como usuario del dispositivo.

Microsoft tiene permisos restringidos para el HSM. Estos permisos permiten la supervisión, el mantenimiento del estado y la disponibilidad, las copias de seguridad cifradas y la extracción y publicación de registros de auditoría inmutables en el almacenamiento especificado del cliente. Estos permisos no permiten a Microsoft usar claves propiedad de los usuarios de criptografía para realizar operaciones criptográficas. Para obtener más información sobre el registro operativo, consulte Configuración y registro de eventos de operación de consulta para Azure Cloud HSM.

No, Azure Cloud HSM no conserva los datos de los clientes. Todos los materiales y datos clave se hospedan en el HSM del cliente. Cada clúster de HSM en la nube de Azure se designa exclusivamente para un único cliente que tenga control administrativo. Para obtener más información sobre la protección de datos, consulte Asegure su implementación de HSM en la nube de Azure.

Sí, Azure Cloud HSM ofrece HSM que se validan para cumplir los estándares FIPS 140-3 nivel 3. Para conocer los procedimientos para comprobar la autenticidad de su HSM, incluida la comprobación de la certificación FIPS 140-3 nivel 3 de NIST, consulte la guía de incorporación. Para obtener más información sobre el cumplimiento, consulte ¿Qué es Azure Cloud HSM?.

Sí. Azure Cloud HSM admite el cumplimiento de eIDAS en el esquema austriaco mediante la provisión de una gestión segura de claves, operaciones criptográficas y hardware validado con FIPS 140-3 nivel 3 que cumple con los requisitos estrictos para firmas y sellos electrónicos calificados, para garantizar el cumplimiento normativo. Obtenga más información en el certificado de QSCD. Para obtener más información sobre los estándares de seguridad, consulte Asegure su implementación de HSM en la nube de Azure.

Azure Cloud HSM incorpora tanto mecanismos físicos como lógicos de detección de alteraciones y respuestas que inician la eliminación de claves (ceroización) del hardware. Estas medidas están diseñadas para detectar alteraciones si la barrera física está comprometida.

Además, los HSM se protegen contra ataques de inicio de sesión por fuerza bruta. El sistema bloquea a los oficiales de criptografía (OC) después de un número establecido de intentos de acceso incorrectos. Del mismo modo, los intentos incorrectos repetidos de acceder a un HSM con credenciales de usuario de criptografía (CU) provocan el bloqueo del usuario. A continuación, un CO debe desbloquear la CU. Desbloquear un CO requiere y firmar el desafío con a través de OpenSSL, seguido de los comandos comandos y . Para obtener más información sobre las características de seguridad, consulte asegure la implementación de Azure Cloud HSM.

Microsoft facilita toda la compatibilidad con Azure Cloud HSM. Si encuentra algún problema relacionado con el hardware, el software, la configuración de HSM o el acceso a la red, envíe una solicitud de soporte técnico a Microsoft. Para obtener más información sobre problemas y soluciones comunes, consulte Troubleshoot Azure Cloud HSM.

Azure centros de datos tienen amplios controles de seguridad físicos y de procedimientos. Además, los HSM de Azure Cloud HSM se hospedan en un área de acceso restringido del centro de datos, con controles de acceso físico y video vigilancia para mayor seguridad. Para obtener más información sobre la seguridad física, consulte Asegure la implementación de HSM de Azure en la nube.

No. Microsoft no tiene acceso a las claves o credenciales y no puede recuperar las claves si pierde sus credenciales. Para obtener más información sobre la administración de credenciales, consulte Administración de usuarios en Azure Cloud HSM.

No, aunque Microsoft podría necesitar realizar el mantenimiento de actualizaciones necesarias o hardware defectuoso. Notificamos a los clientes con antelación si anticipamos cualquier impacto. Para obtener más información sobre las consideraciones operativas, consulte Asegure su implementación de HSM en la nube de Azure.

Para obtener contratos de nivel de servicio, consulte Acuerdos de Nivel de Servicio (SLA) para Online Services. Para obtener más información sobre la confiabilidad del servicio, consulte ¿Qué es Azure Cloud HSM?.