HSM cihazının, kriptografik modülün ve algoritmalarının belirli bir standartta güvence sağlandığını bağımsız olarak kanıtlanması için NITS (National Institute of Standards and Technology), Common Criteria veya FIPS (Federal Information Processing Standard) gibi uluslararası tanınmış kurumlarla sertifikalandırılırlar. FIPS güvenlik sertifikasyonunun en yüksek seviyesi 4’tür. Çoğu HSM cihazı seviye 2 ve 3 standartlarını sağlamaktadır.
HSM cihazları genellikle saldırılara karşı savunma sistemi (tamper protection) ile donatılırlar. Bu sistem cihaza yazılımsal ve donanımsal olarak koruma sağlar. Saldırganların brute-force, bus probing gibi saldırı yöntemlerine karşılık cihaz kendini korumaya alarak iletişimi kapatabilir ya da içeriğini tamamen silebilir. Fiziksel herhangi bir müdahalede ise cihaz direkt olarak içeriğini yok edebilir. Tamper protection özelliği yazılımsal veya donanımsal müdahalelere karşı isteğe bağlı olarak tamamen kapatılabilir ya da geçici olarak kapatılabilir.
HSM Cihaz Yönetimi
HSM cihazlarının yönetimi için alınması gereken bazı önlemler ve uyulması gereken yönergeler vardır. Bunlar içerisinde VISA ve Mastercard gibi ödeme sistemleri ile ilgili kurumların cihazların yönetimi ile ilgili talepleri de bulunmaktadır.
Cihaz satın alındıktan sonra firmaya iletilirken var ise güvenli taşıma özelliğinin açılması talep edilir. Böylece cihazın, fabrikadan itibaren yazılım katmanında bir müdahaleye uğramadan geldiği kanıtlanır. Cihaz firmaya geldiğinde fiziksel bir müdahale olmadığının kontrolü yapılması gerekir. Cihaz teslim alındıktan sonra güvenli ortama kurulana kadar geçen sürede müdahaleye açık ortamlarda tutulmamalıdır.
HSM donanımları güvenli özel odalar ya da veri merkezleri içerisinde güvenli kabinler içerisinde kurulmalıdır. Özel odalara veya veri merkezlerinde bulunan kabinlere erişim kontrolü sağlanmalı, kabine her erişim sağlandığında erişim kayıtları tutulmalıdır. Kurulum sırasında çift güç beslemeli bir cihaz ise güç kabloları iki farklı güç kaynağına bağlanmalıdır. Cihazda kapakta bulunan ve cihazı kilitleyen fiziksel anahtarlar en az iki HSM yöneticisi arasında paylaştırılarak ikili kontrol prensibi ile tek bir kişinin müdahalesinin önüne geçilmelidir.
Cihazların yönetim ve işlem trafiğine ait ağ ayarları ayrı olmalıdır ve cihaza özel VLAN, IP bloğu kullanılmalıdır. Cihaza ağ üzerinden olan erişimler firewall gibi güvenlik ekipmanları üzerinden yetkilendirme ile olmalıdır. Erişim talepleri mutlaka cihaz yöneticileri tarafından onaylanmalıdır. Şahsi bilgisayarların cihazlara direkt erişimi olmamalıdır, yönetim amaçlı kullanılan sunucuların ya da uygulama sunucularının erişimi olmalıdır. Cihazlara SSH erişimleri sadece cihaz yöneticileri tarafından yönetim ağı üzerinden erişilerek yapılmalıdır. Uygulama sunucularının ise sadece işlem trafiği ağına ve sadece işlem için cihazın hizmet verdiği port numarasına erişimi olmalıdır.
HSM cihazlarında farklı roller bulunmaktadır, bu rollerin yetkileri ve şifreleri uygun kişiler ile paylaşılmalıdır. Her uygulamaya özel olarak cihaz içerisinde alan oluşturulmalıdır. Bu alanlar için rol ve anahtarlar sadece ilgili uygulamaya izin verilerek kullandırılmalıdır.
Roller için kullanılacak şifreler mutlaka güvenli bir alanda saklanmalı, bilgisayarlarda doküman veya tablo gibi olası bir saldırganın erişiminin kolay olduğu alanlarda tutulmamalıdır. Cihaz desteği var ise kimlik yönetimi uygulamaları ile yetkilendirme yapılarak ilerlenmelidir.
HSM konfigürasyonunun, uygulama alanlarının ve içerisindeki kriptografik objelerin belirli periyotlarda yedekleri alınmalıdır. Yedek almak için cihazın desteklediği yapıya göre ilerlenebilir. Örneğin; yedekleme için HSM ile aynı şekilde çalışan özel cihazlar kullanılabilir ya da şifreli akıllı kartlara bölerek yedekleme işlemi yapılabilir. Akıllı kartlar ile yedek alınacak ise ikili kontrol prensibi gereği en az iki kişiye bölünerek yedek alınmalıdır. Yedekleme işlemleri için hem HSM Security Officer hem de Crypto Security Officer rolü gereklidir.
Denetim ve sistemsel kayıtların yönetimi belirli rotasyonlar ile çoğu cihaz üzerinde sağlanabilmektedir. Sistemsel kayıtların yönetimi cihaz yöneticisinde bulunmaktadır. Denetim kayıtlarının yönetimi ihtiyaç halinde yetkin ve güvenli kişilerle, firmanın iç denetimi gibi ekipler ile paylaşılabilir. Bazı cihazlarda kayıtlar dışarıya aktarılabilmektedir. Kayıtların uzun süre tutulması ihtiyacı var ise bu yöntem tercih edilebilir. Kayıtların aktarım yapılacağı veri tabanı, sunucu gibi alanların tamamen kayıtlar için izole edilerek kullanılan özel alanlar olması ve bu alanlara erişimlerin kısıtlı olması gerekir. Kayıtların aktarılacağı alanlar kayıt yönetimi ekibi var ise bu ekibin sorumluluğunda olabilir. Eğer kayıt yönetimi ekibi yok ise cihaz yöneticileri ve denetmen rolündeki kişilerin sorumluluğunda olmalıdır.
SNMP protokolü gibi izleme protokollerini destekleyen cihazlar mutlaka bu protokoller ile izlenerek servis sürekliliği kontrol edilmeli ve alarm yapısı kurularak cihaz özelinde bir problem olduğunda HSM yöneticilerine bilgilendirme sağlanmalıdır. SNMP protokolünü desteklemeyen cihazlar için harici uygulamalar geliştirilerek erişim denemeleri, test işlemi denemeleri gibi farklı metotlar kullanılarak izleme yapılabilir. Her iki yöntemle de izleme işlemini yapan sunucular mutlaka kontrollü erişime sahip olmalıdır.
Cihaz bakım, değişim veya güncelleme gibi sebeplerden kurum dışına iletilmesi gerektiği bir durum oluşursa mutlaka yedeği alınmalı, sıfırlanarak iletilmelidir ve yapılan işlem için detaylı kayıt tutulmalıdır. Cihazın kullanımdan kalkması durumunda içerisi tamamen sıfırlanmalıdır ve kayıt tutulmalıdır. Eğer teknik bir sebep ile sıfırlanamıyorsa ayrı bir tutanak kaydı ile fiziksel olarak imha edilmelidir.
Anahtar Yönetimi
Uygulamaların kripto işlemleri yapabilmesi için kullandıkları sayısal objelere anahtar ismi verilir. HSM cihazlarında anahtarlar hangi uygulamaya ait ise o uygulamaya özel alanlarda saklanır. Anahtarlar saklandığı HSM cihazı içerisinde üretilebilir ya da cihaz güvenlik seviyesine göre farklı bir cihaz ve uygulamada üretilmiş anahtarda HSM cihazı içerisine aktarılabilir. HSM cihazları içerisinde barındırdıkları özel donanım sayesinde anahtarın üretimi sırasında fiziksel işlemleri de bu üretime dahil eder ve rastgele üretim sürecini daha iyi yapar. Bu sebepten anahtarların HSM cihazları üzerinde üretilmesi tercih edilir. Üretilen ve aktarılan anahtarların yönetimi Crypto Security Officer rolündedir. Bu rol uygulama yöneticilerine ya da anahtar sorumlularına verilebilir. Crypto User rolü ise bu anahtarları sadece kullanmak ile yetkilidir. Bu sebepten bu rol uygulama ekiplerine verilir.
Cihaz üzerinde üretilen anahtarların açık hali cihaz güvenlik seviyesine göre görülebilir ve üretim sırasında firmaların belirlediği anahtar sorumluları tarafından anahtar formları ile kayıt altına alınabilir, farklı cihazlara aktarılabilir. Bilginin bölüştürülmesi prensibi gereği anahtar sorumluları farklı ekiplerden seçilir ve en az üç kişi olması gerekir. Kayıt altına alınan formlar güvenli bir ortamda bulunan, sürekli izlenilen, yetkisiz kişilerin erişim sağlayamayacağı fiziksel kasalarda saklanmalıdır ve bu kasalara erişimler kayıt altında tutulmalıdır. Her bir anahtar sorumlusu için ayrı bir kasa olabilir ya da en az üç kişinin bir araya gelerek açıldığı ortak bir yapı kullanılabilir.
Güvenlik seviyesi gereği HSM açık olarak anahtar değerini iletmiyor ise anahtarın bulunduğu HSM cihazından aktarılacak olan HSM cihazına erişim ile direkt olarak aktarılabilir.
Uygulama Kullanımı
HSM cihazları uygulamaların ve altyapıların güvenli bir şekilde kriptografik işlemlerini yapmalarını ve çalışmalarını sağladıklarından dolayı kritik veri içeren uygulamalarda kullanım oranları daha yüksektir. Örneğin; online bankacılık işlemleri, dijital fatura/sözleşme/doküman imzalama, sertifika otoritelerinin kök anahtarlarının saklanması, PIN yönetimi, veri tabanı şifreleme.
Uygulamalar ve HSM cihazları arasındaki iletişim genelde cihazlara ve üretici firmalara özel istemci ve kütüphaneler ile yapılır. Bazı istemciler NTLS gibi şifreli bir trafik üzerinden de işlem yapabilir. HSM cihazları PKCS11 komutları ile çalışırlar ancak istemcilerin uygulama seviyesinde Java veya C gibi farklı dillerin de kütüphaneleri mevcuttur. Bu kütüphaneler vasıtasıyla istemci yazılan kodu alt katmanlarda PKCS11 komutlarına dönüştürerek cihaz ile iletişime geçer. Ancak Java veya C gibi kütüphaneleri kullanarak geliştirilen HSM entegrasyonları yüksek kapasiteli işlemlerde alt katmanlara dönüştürülürken hem istemci hem de kütüphane kaynaklı problemlere sebebiyet verebilir. Cihazın tam kapasitesini kullanabilmek ve problemlerden kaçınabilmek adına PKCS11 komutları ile yapılan geliştirmeler daha etkili olmaktadır.
Harici ağ cihazı tipindeki HSM cihazlarında yüksek kapasiteli işlemlere yük dağıtımı ile cevap verebilmesi ve kesinti anlarında farklı konumlardan çalışabilmesi için high availability (HA) özelliği mevcuttur. Bu özellik çoğunlukla istemci tarafında ayarlanır ve cihazlar birbirinden bağımsız olarak çalışmaya devam ederken istemci üzerinde yük dağıtımı sağlanır. Bir veya daha fazla HSM cihazında problem olması durumunda high availability özelliği ile farklı konumlarda bulunan cihazlar ile işlemler devam eder.
Bu aydınlatma metni, sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında, Logo Yazılım Sanayi ve Ticaret A.Ş.nin veri sorumlusu sıfatıyla hareket ettiği hallerde, Kanun’un maddesine uygun olarak, gerçek kişilere (“Veri Sahibi”), kişisel verilerinin toplanma, işlenme, saklanma, korunma ve imha süreç, şekil ve amaçları ile Kanun uyarınca haklarına ve haklarını kullanma yöntemlerine ilişkin bilgi verilmesi amacıyla hazırlanmıştır.
Veri Sorumlusu: Logo Yazılım Sanayi ve Ticaret A.Ş.
Adres: Gebze Organize Sanayi Bölgesi, Şahabettin Bilgisu Cad. No Gebze/Kocaeli
MERSİS No:
Ticaret Sicil No:
Tel:+90 () 80 00
Web Sitesi:monash.pw
Logo Grubu Şirketler listesi için tıklayınız.
Kişisel verilerinizin işlenmesine ilişkin ayrıntılı bilgiye “Logo Grubu Şirketleri Kişisel Verilerin Korunması, İşlenmesi, Saklanması Ve İmhası Politikası”ndan (“Politika”) ulaşabilirsiniz. Politika’ya erişmek için tıklayınız.
1. Kişisel Verilerinizi Hangi Amaçlarla İşliyoruz?
Veri Sorumlusu olarak kişisel verilerinizi Kanun’un maddelerine uygun olarak ve aşağıdaki amaçlarla işleyebilmekteyiz:
2. İşlenen Kişisel Verilerinizi Kimlere Hangi Amaçlarla Aktarıyoruz?
Kişisel verileriniz, yukarıda 1. maddede belirttiğimiz amaçlar kapsamında ve Kanun ve kişisel verilere ilişkin yürürlükte bulunan diğer emredici mevzuat hükümlerine uygun olarak, yurt içinde veya yurt dışındaki aşağıda belirtilen üçüncü kişilere aktarılabilmektedir:
3. Kişisel Veri Toplama Yöntemlerimiz ve Toplamamızın Hukuki Sebepleri Nelerdir?
Kişisel Verilerinizi; Politika’nın, Kanun’un ve ilgili sair mevzuatın düzenlemelerine uygun olarak, yazılı, sözlü, elektronik yollardan, görüntü/ses kaydı yoluyla veya fiziksel olarak sizinle karşı karşıya gelmek suretiyle toplayabiliyor ve işleyebiliyoruz.
Veri toplama sürecimiz; i) Web Sitesi, mobil uygulamalar, e-posta, işe alım portalları dahil dijital mecralar veya yazılım üzerinden; ii) sözleşmeler, başvurular, formlar, çağrı merkezi, uzaktan destek, satış ve pazarlama birimi, Web Siteleri’ndeki çerezler, kartvizit, telefon gibi vasıtalar aracılığıyla; veya iii) Veri Sahibi ile yüz yüze yapılan görüşmeler aracılığıyla gerçekleşebilmektedir.
4. Veri Sahibi Olarak Haklarınız Nelerdir?
Kanun’un maddesi uyarınca, Veri Sahibi olarak Şirketimize başvurarak kendinizle ilgili;
haklarına sahipsiniz.
Ancak Kişisel Verilerin Korunması Kanunu’nun 28/2. maddesi hükmü gereği aşağıdaki hallerde zararın giderilmesini talep etme hakkınız hariç yukarıda sayılan haklarınızı kullanamazsınız:
Haklarınızı kullanmak istemeniz durumunda, aşağıdaki linke tıklayarak edinebileceğiniz formu Türkçe doldurarak, taleplerinizi; yazılı olarak veya kayıtlı elektronik posta (KEP), güvenli elektronik imza, mobil imza ya da tarafınızdan Şirketimize daha önce bildirilen ve Şirketimiz sisteminde kayıtlı bulunan elektronik posta adresiniz vasıtasıyla Şirketimize iletebilirsiniz.
Yazılı başvurularda, ıslak imzalı formu, şirketimizin “Gebze Organize Sanayi Bölgesi, Şahabettin Bilgisu Cad. No Gebze/Kocaeli” adresine noter aracılığıyla gönderebilir veya aynı adrese bizzat ya da vekili aracılığıyla elden ulaştırabilirsiniz.
Yukarıda belirtilen diğer yollarla (elektronik olarak) yapılacak başvurularda, formu doldurup, aşağıda belirtilen adreslerimize gönderebilirsiniz:
Kayıtlı Elektronik Posta (KEP):[email protected]
E-mail:[email protected]
Kimliğinizi tevsik edici belgelerin, varsa talebinizi destekleyici belgelerin, bu hakkınızı vekiliniz aracılığıyla kullanmak istemeniz durumunda, özel yetkiyi içeren vekaletname suretinin formun ekinde iletilmesi zorunludur.
Form ile gönderilen talepleriniz, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak cevaplandırılacaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurul tarafından belirlenen tarifedeki ücret alınabilir.
Başvuruda; bilgilerin eksik veya yanlış paylaşılması, talebin açık ve anlaşılır bir şekilde dile getirilmemiş olması, talebi destekleyici nitelikteki belgelerin hiç veya gereği gibi iletilmemesi, vekil suretiyle yapılan başvurularda vekaletname suretinin eklenmemesi gibi durumlarda, taleplerinizi karşılamakta güçlük yaşayabiliriz ve araştırma sürecinde gecikmeler olabilir. Bu nedenle haklarınızın kullanımında bu hususlara riayet etmeniz önem arz etmektedir. Aksi durumda yaşanacak gecikmelerden şirketimiz sorumlu olmayacaktır. Hatalı, gerçeğe/hukuka aykırı, kötüniyetli başvurular karşısında şirketimizin yasal hakları saklıdır.
Sayfaya DnMali mühür başvurusu, belge üretimi yapan ve bunu güvenlik altında tutmak isteyen kurum, kuruluş ve işletmelerin gündeminde yer alıyor. Peki, mali mühür başvurusu nasıl yapılır? İşte, mali mühür başvurusu ve ücreti hakkında bazı bilgiler
MALİ MÜHÜR NEDİR?
Mali Mühür Elektronik Sertifika Hizmet Sağlayıcısı (MM ESHS) sistemi tarafından üretilen sertifikalar, tüzel kişiler ile kurum, kuruluş ve işletmeler tarafından elektronik belge olarak oluşturulacak fatura ve diğer yasal belgelerin bütünlüğünün, kaynağının ve içeriğinin garanti altına alınması, elektronik ortamda muhataplarına iletilmesi ve elektronik ortamda saklanması sırasında güvenliğinin ve gizliliğinin sağlanması amacıyla kullanılacaktır.
Mali mühür başvurusu NASIL YAPILIR?
SÜREÇ HAKKINDA TÜM DETAYLAR İÇİN LÜTFEN TIKLAYINIZ
FİYATLAR NE KADAR?
Mali mühür sertifikası (MÜS) ve güvenlik hizmetleri sertifikası (GÜS) 3 yıllık olarak oluşturulmaktadır. Sertifika fiyatları aşağıdaki gibidir:
Tüzel Kişi | Fiyatı | |
1 | 3 (üç) Yıllık Mali Mühür Sertifikası (MÜS+GÜS) ve Akıllı Kart Okuyucu | ,60 TL ( TL + KDV) |
Gerçek Kişi | Fiyatı | |
2 | 3 (üç) Yıllık Mali Mühür Sertifikası (MÜS+GÜS) ve Akıllı Kart Okuyucu | ,00 TL ( TL + KDV) |
HSM Yerinde Gözetim ve Sertifikalandırma Hizmetinin Fiyatı Nedir?
Ürün | Fiyatı | |
1 | 3 Yıllık HSM Sertifika Bedeli | ,00 TL ( TL + KDV) |
2 | HSM Gözetim Hizmeti (Her bir HSM cihazı için) | ,00 TL ( TL + KDV) |
Barınma ve Ulaşım Bedelleri | Bedeli | |
3 | Ankara ve Kocaeli Dışı | 1 adam/gün |
4 | Yurt dışı | * |
Açıklama | Fiyat |
---|---|
adam / gün | ,00 TL ( TL + KDV) |
* Tüm Masraflar Firma Tarafından Karşılanacaktır.
Microsoft Azure Ayrılmış HSM hakkında sık sorulan soruların yanıtlarını bulun.
Donanım Güvenlik Modülü (HSM), şifreleme anahtarlarını korumak ve yönetmek için kullanılan fiziksel bir bilgi işlem cihazıdır. HSM'lerde depolanan anahtarlar şifreleme işlemleri için kullanılabilir. Anahtar malzeme kurcalamaya dayanıklı, kurcalamaya karşı korumalı donanım modüllerinde güvenli bir şekilde kalır. HSM yalnızca kimliği doğrulanmış ve yetkili uygulamaların anahtarları kullanmasına izin verir. Anahtar malzeme HSM koruma sınırını asla terk etmez.
Azure Ayrılmış HSM, müşterinin sanal ağına doğrudan bağlı Olan Azure veri merkezlerinde barındırılan HSM'ler sağlayan bulut tabanlı bir hizmettir. Bu HSM'ler ayrılmış Thales Luna 7 HSM ağ gereçleridir. Bunlar doğrudan bir müşterinin özel IP adresi alanına dağıtılır ve Microsoft'un HSM'lerin şifreleme işlevlerine erişimi yoktur. Bu cihazlar üzerinde yalnızca müşteri tam yönetim ve şifreleme denetimine sahiptir. Müşteriler cihazın yönetiminden sorumludur ve tüm etkinlik günlüklerini doğrudan cihazlarından alabilirler. Ayrılmış HSM'ler müşterilerin FIPS Düzey 3, HIPAA, PCI-DSS ve eIDAS gibi uyumluluk/mevzuat gereksinimlerini karşılamalarına yardımcı olur.
Müşterilerin atanmış bir Microsoft Hesap Yöneticisi'ne sahip olması ve Azure Ayrılmış HSM'yi ekleme ve kullanma hakkı elde etmek için yıllık toplam taahhüt edilen Azure gelirinde beş milyon ABD doları (5 MILYON ABD doları) veya daha büyük parasal gereksinimi karşılaması gerekir.
Microsoft, Azure Ayrılmış HSM hizmetini sunmak için Thales ile iş ortaklığı yaptı. Kullanılan cihaz Thales Luna 7 HSM modeli A'dır. Bu cihaz yalnızca FIPS Düzey 3 doğrulanmış üretici yazılımı sağlamakla kalmaz, aynı zamanda 10 bölüm aracılığıyla düşük gecikme süresi, yüksek performans ve yüksek kapasite sunar.
HSM'ler TLS (aktarım katmanı güvenliği), verileri şifreleme, PKI (ortak anahtar altyapısı), DRM (dijital hak yönetimi) ve imzalama belgeleri gibi şifreleme işlevleri için kullanılan şifreleme anahtarlarını depolamak için kullanılır.
Müşteriler, PowerShell veya komut satırı arabirimi kullanarak belirli bölgelerde HSM sağlayabilir. Müşteri, HSM'lerin bağlanacağı sanal ağı belirtir ve sağlandıktan sonra HSM'ler belirlenen alt ağda müşterinin özel IP adresi alanında atanan IP adreslerinde kullanılabilir. Daha sonra müşteriler alet yönetimi ve yönetimi için SSH kullanarak HSM'lere bağlanabilir, HSM istemci bağlantılarını ayarlayabilir, HSM'leri başlatabilir, bölümler oluşturabilir, bölüm sorumlusu, şifreleme yetkilisi ve şifreleme kullanıcısı gibi rolleri tanımlayabilir ve atayabilir. Daha sonra müşteri, uygulamalarından şifreleme işlemleri gerçekleştirmek için Thales tarafından sağlanan HSM istemci araçlarını/SDK'sını/yazılımını kullanır.
Thales, Microsoft tarafından sağlandıktan sonra HSM cihazı için tüm yazılımları sağlar. Yazılım , Thales müşteri destek portalında kullanılabilir. Ayrılmış HSM hizmetini kullanan müşterilerin Thales desteğine kaydolması ve ilgili yazılımlara erişim ve indirme olanağı sağlayan bir Müşteri Kimliğine sahip olması gerekir. Desteklenen istemci yazılımı, FIPS Düzey 3 doğrulanmış üretici yazılımı sürüm ile uyumlu olan sürüm 'dir.
Aşağıdaki öğeler Ayrılmış HSM hizmetini kullanırken ek maliyet doğuracaktır.
Hayır. Azure Ayrılmış HSM, HSM'lere yalnızca parola tabanlı kimlik doğrulaması sağlar.
Hayır. Azure Ayrılmış HSM hizmeti işlev modüllerini desteklemez.
Microsoft yalnızca Ayrılmış HSM hizmeti aracılığıyla Thales Luna 7 HSM modeli A sunar ve müşteri tarafından sağlanan hiçbir cihazı barındıramaz.
Azure Ayrılmış HSM hizmeti Thales Luna 7 HSM'lerini kullanır. Bu cihazlar ödeme HSM'ye özgü işlevleri (PIN veya EFT gibi) veya sertifikaları desteklemez. Azure Ayrılmış HSM hizmetinin gelecekte Ödeme HSM'lerini desteklemesini istiyorsanız geri bildirimi Microsoft Hesabı Temsilcinize iletin.
Ekim itibarıyla Ayrılmış HSM, aşağıda listelenen 22 bölgede kullanılabilir. Diğer bölgeler planlanır ve Microsoft Hesap Temsilciniz aracılığıyla tartışılabilir.
Uygulamalarınızdan şifreleme işlemleri gerçekleştirmek için Thales tarafından sağlanan HSM istemci araçlarını/SDK/yazılımı kullanırsınız. Yazılım , Thales müşteri destek portalında kullanılabilir. Ayrılmış HSM hizmetini kullanan müşterilerin Thales desteğine kaydolması ve ilgili yazılımlara erişim ve indirme olanağı sağlayan bir Müşteri Kimliğine sahip olması gerekir.
Evet, sanal ağlar arasında bağlantı kurmak için bir bölge içindeki sanal ağ eşlemesini kullanmanız gerekir. Bölgeler arası bağlantı için VPN Gateway kullanmanız gerekir.
Evet, şirket içi HSM'leri Ayrılmış HSM ile eşitleyebilirsiniz. Noktadan noktaya VPN veya noktadan siteye bağlantı, şirket içi ağınızla bağlantı kurmak için kullanılabilir.
Hayır. Azure Ayrılmış HSM'lerine yalnızca sanal ağınızın içinden erişilebilir.
Evet, şirket içi Thales Luna 7 HSM'leriniz varsa. Birden çok yöntem vardır. Thales HSM belgelerine bakın.
Yüksek kullanılabilirliğe sahip olmak için HSM istemci uygulama yapılandırmanızı her HSM'den bölümleri kullanacak şekilde ayarlamanız gerekir. Thales HSM istemci yazılımı belgelerine bakın.
Azure Ayrılmış HSM , Thales Luna 7 HSM modeli A cihazlarını kullanır ve parola tabanlı kimlik doğrulamasını destekler.
PKCS#11, Java (JCA/JCE), Microsoft CAPI ve CNG, OpenSSL
Evet. Uygun Thales geçiş kılavuzu için Thales temsilcinize başvurun.
Hayır. Azure Ayrılmış HSM hizmeti işlev modüllerini desteklemez.
Azure Ayrılmış HSM, HSM kullanan Azure şirket içi uygulamalarına geçiş yapan kuruluşlar için uygun seçimdir. Ayrılmış HSM'ler, bir uygulamayı en az değişiklikle geçirme seçeneği sunar. Şifreleme işlemleri bir Azure VM veya Web Uygulamasında çalıştırılan uygulamanın kodunda gerçekleştiriliyorsa Ayrılmış HSM kullanabilir. Genel olarak, anahtar deposu olarak HSM'leri destekleyen IaaS (hizmet olarak altyapı) modellerinde çalışan daraltılmış sarmalanmış yazılımlar, anahtarsız TLS için traffic manager, ADCS (Active Directory Sertifika Hizmetleri) gibi Ayrılmış HSM'yi veya belge imzalama, kod imzalama veya SQL Server için kullanılan benzer PKI araçları, araçları/uygulamaları kullanabilir (IaaS), EKM (genişletilebilir anahtar yönetimi) sağlayıcısı kullanılarak HSM'de ana anahtarla TDE (saydam veritabanı şifrelemesi) ile yapılandırılır. Azure Key Vault, "bulutta doğan" uygulamalar veya müşteri verilerinin PaaS (hizmet olarak platform) veya Office Müşteri Anahtarı, Azure Information Protection gibi SaaS (hizmet olarak yazılım) senaryoları tarafından işlendiği bekleyen senaryolarda şifreleme için uygundur , Azure Disk Şifrelemesi, müşteri tarafından yönetilen anahtarla Azure Data Lake Store şifrelemesi, müşteri tarafından yönetilen anahtarla Azure Depolama şifrelemesi ve müşteri tarafından yönetilen anahtarla Azure SQL.
Azure Ayrılmış HSM, geçiş senaryoları için en uygundur. Bu, zaten HSM'leri kullanan şirket içi uygulamaları Azure'a geçiriyorsanız anlamına gelir. Bu, uygulamada en az değişiklikle Azure'a geçiş için düşük uyuşma seçeneği sağlar. Şifreleme işlemleri Azure VM veya Web App'te çalışan uygulamanın kodunda gerçekleştiriliyorsa Ayrılmış HSM kullanılabilir. Genel olarak, anahtar deposu olarak HSM'leri destekleyen IaaS (hizmet olarak altyapı) modellerinde çalışan küçültme sarmalanmış yazılımlar, Aşağıdakiler gibi Ayrılmış HSM'yi kullanabilir:
Hayır. Ayrılmış HSM doğrudan müşterinin özel IP Adresi alanına sağlanır, bu nedenle diğer Azure veya Microsoft hizmetleri tarafından erişilemez.
Evet. Her HSM gereci tek bir müşteriye tamamen ayrılmıştır ve sağlandıktan ve yönetici parolası değiştirildikten sonra başka kimsenin yönetim denetimi yoktur.
Microsoft'un HSM üzerinde herhangi bir yönetim veya şifreleme denetimi yoktur. Microsoft'un sıcaklık ve bileşen durumu gibi temel telemetri verilerini almak için seri bağlantı noktası bağlantısı üzerinden izleme düzeyinde erişimi vardır. Bu, Microsoft'un sistem durumu sorunları hakkında proaktif bildirim sağlamasına olanak tanır. Gerekirse müşteri bu hesabı devre dışı bırakabilir.
HSM cihazı, her zamanki varsayılan parolası ile varsayılan yönetici kullanıcısıyla birlikte gelir. Microsoft, herhangi bir cihaz müşteriler tarafından sağlanmayı bekleyen bir havuzdayken varsayılan parolaların kullanılmasını istemedi. Bu, katı güvenlik gereksinimlerimizi karşılamaz. Bu nedenle, sağlama zamanında atılan güçlü bir parola ayarladık. Ayrıca sağlama zamanında yönetici rolünde "kiracı yöneticisi" adlı yeni bir kullanıcı oluştururuz. Bu kullanıcı varsayılan parolaya sahiptir ve müşteriler bu parolayı yeni sağlanan cihazda ilk kez oturum açarken ilk eylem olarak değiştirir. Bu süreç yüksek güvenlik derecelerini sağlar ve müşterilerimiz için tek başına yönetim denetimi sözümüzü korur. Bir müşteri bu hesabı kullanmayı tercih ederse yönetici kullanıcı parolasını sıfırlamak için "kiracı yöneticisi" kullanıcısının kullanılabileceğinin belirtilmesi gerekir.
Hayır. Microsoft'un müşteri tarafından ayrılan Ayrılmış HSM'de depolanan anahtarlara erişimi yoktur.
Hayır. Azure Ayrılmış HSM, kira hizmeti için bir baremetal HSM'dir. Hizmetimiz müşteri verilerini depolamaz. Tüm önemli malzemeler ve veriler müşterilerin HSM aletinde depolanır. Her HSM aleti, tam yönetim denetimine sahip olduğu tek bir müşteriye tamamen ayrılmıştır.
Müşteri, farklı üretici yazılımı sürümlerinden belirli özellikler gerekiyorsa yazılım/üretici yazılımı yükseltme dahil olmak üzere tam yönetim denetimine sahiptir. Değişiklik yapmadan önce lütfen microsoft ile iletişime geçerek yükseltmeniz hakkında bilgi verin [email protected]
Ayrılmış HSM'leri SSH kullanarak bunlara erişerek yönetebilirsiniz.
HSM'leri ve bölümleri yönetmek için Thales HSM istemci yazılımı kullanılır.
Müşterinin syslog ve SNMP aracılığıyla HSM etkinlik günlüklerine tam erişimi vardır. Müşterinin HSM'lerden günlükleri veya olayları almak için bir syslog sunucusu veya SNMP sunucusu ayarlaması gerekir.
Evet. Günlükleri HSM aletinden bir syslog sunucusuna gönderebilirsiniz
Evet. Thales tarafından sağlanan HSM istemci yazılımında yüksek kullanılabilirlik yapılandırması ve kurulumu gerçekleştirilir. Aynı bölgede veya bölgelerde ya da siteden siteye veya noktadan noktaya VPN kullanarak bir sanal ağa bağlı şirket içi HSM'ler, aynı yüksek kullanılabilirlik yapılandırmasına aynı sanal ağdan veya diğer sanal ağlardan HSM'ler eklenebilir. Bunun roller gibi belirli yapılandırma öğelerini değil yalnızca anahtar malzemeyi eşitlediğini unutmayın.
Evet. Thales Luna 7 HSM'leri için yüksek kullanılabilirlik gereksinimlerini karşılamaları gerekir
Bir HA grubunun 16 üyesi, mükemmel sonuçlarla yetersiz, tam kısıtlama testi yaptı.
Ayrılmış HSM hizmeti için sağlanan belirli bir çalışma süresi garantisi yoktur. Microsoft cihaza ağ düzeyinde erişim sağlar ve bu nedenle standart Azure ağ SLA'ları uygulanır.
Azure veri merkezlerinin kapsamlı fiziksel ve yordamsal güvenlik denetimleri vardır. Buna ek olarak Ayrılmış HSM'ler veri merkezinin daha kısıtlı bir erişim alanında barındırılır. Bu alanlar ek fiziksel erişim kontrollerine ve ek güvenlik için video kamera gözetimine sahiptir.
Ayrılmış HSM hizmeti , Thales Luna 7 HSM aletlerini kullanır. Bu cihazlar fiziksel ve mantıksal kurcalama algılamayı destekler. Kurcalama olayı olursa HSM'ler otomatik olarak sıfırlanır.
Olağanüstü durum kurtarma için HSM'leri düzenli aralıklarla yedeklemek için şirket içi HSM yedekleme cihazının kullanılması kesinlikle önerilir. Bir HSM yedekleme cihazına bağlı şirket içi iş istasyonuna eşler arası veya siteden siteye VPN bağlantısı kullanmanız gerekir.
Destek hem Microsoft hem de Thales tarafından sağlanır. Donanım veya ağ erişimiyle ilgili bir sorununuz varsa, Microsoft ile bir destek isteği oluşturun ve HSM yapılandırması, yazılımı ve uygulama geliştirmeyle ilgili bir sorununuz varsa Thales ile bir destek isteği oluşturun. Belirsiz bir sorununuz varsa, Microsoft ile bir destek isteği oluşturun ve Thales gerektiğinde devreye girer.
Hizmete kaydolan Thales Müşteri Kimliği, Thales müşteri destek portalına kayıt için izin verir. Bu, tüm yazılım ve belgelere erişimin yanı sıra destek isteklerini doğrudan Thales ile etkinleştirir.
Microsoft'un müşterilere ayrılan HSM'lere bağlanabilmesi yoktur. Müşteriler HSM'lerini yükseltmeli ve düzeltme eki uygulamalıdır.
HSM'nin komut satırı yeniden başlatma seçeneği vardır, ancak yeniden başlatmanın aralıklı olarak yanıt vermemeye başlamasıyla ilgili sorunlarla karşılaşıyoruz ve bu nedenle en güvenli yeniden başlatma için cihazın fiziksel olarak yeniden başlatılması için Microsoft ile bir destek isteği göndermeniz önerilir.
Evet, Ayrılmış HSM, FIPS Düzey 3 onaylı Thales Luna 7 HSM'lerini sağlar.
Ayrılmış HSM hizmeti, Thales Luna 7 HSM gereçleri sağlar. Aşağıdakiler dahil olmak üzere çok çeşitli şifreleme anahtar türlerini ve algoritmalarını destekler: Full Suite B desteği
Evet. Ayrılmış HSM hizmeti, FIPS Düzey 3 onaylı Thales Luna 7 HSM modeli A gereçleri sağlar.
Ayrılmış HSM hizmeti, Thales Luna 7 HSM gereçleri sağlar. Bu cihazlar FIPS Düzey 3 doğrulanmış HSM'lerdir. Varsayılan dağıtılan yapılandırma, işletim sistemi ve üretici yazılımı da FIPS tarafından doğrulanır. FIPS Düzey 3 uyumluluğu için herhangi bir işlem yapmanız gerekmez.
Sağlamayı kaldırma isteğinde bulunmadan önce müşterinin, sağlanan HSM istemci araçlarını kullanarak HSM'yi sıfırlamış olması gerekir.
Ayrılmış HSM, Thales Luna 7 HSM'leri sağlar. Bazı işlemler için en yüksek performansın özeti aşağıdadır:
Kullanılan Thales Luna 7 HSM modeli A , hizmetin maliyetinde 10 bölüm için lisans içerir. Cihazın bölüm sınırı vardır ve bu sınıra kadar bölüm eklemek fazladan lisanslama maliyetlerine neden olur ve cihaza yeni bir lisans dosyası yüklenmesini gerektirir.
Maksimum anahtar sayısı, kullanılabilir belleğin bir işlevidir. Kullanılan Thales Luna 7 modeli A 32 MB belleğe sahiptir. Aşağıdaki sayılar, asimetrik anahtarlar kullanılıyorsa anahtar çiftleri için de geçerlidir.
Kapasite, anahtar oluşturma şablonunda ayarlanan belirli anahtar özniteliklerine ve bölüm sayısına bağlı olarak değişir.