السيادة الرئيسية والتوافر والأداء وقابلية التوسع في HSM المدار

مفاتيح التشفير هي جذر الثقة لتأمين أنظمة الكمبيوتر الحديثة، سواء في الموقع أو في السحابة. لذا، فإن التحكم في من لديه سلطة على هذه المفاتيح أمر بالغ الأهمية لبناء تطبيقات آمنة ومتوافقة.

في Azure، رؤيتنا لكيفية إجراء الإدارة الرئيسية في السحابة هي السيادة الرئيسية. تعني السيادة الرئيسية أن مؤسسة العميل لديها سيطرة كاملة وحصرية على من يمكنه الوصول إلى المفاتيح وتغيير نهج إدارة المفاتيح، وعلى ما تستهلكه خدمات Azure من هذه المفاتيح. بعد اتخاذ هذه القرارات من قبل العميل، يتم منع موظفي Microsoft من خلال الوسائل التقنية من تغيير هذه القرارات. ينفذ رمز خدمة الإدارة الرئيسية قرارات العميل حتى يخبره العميل بالقيام بخلاف ذلك، ولا يمكن لموظفي Microsoft التدخل.

وفي الوقت نفسه، نعتقد أنه يجب إدارة كل خدمة في السحابة بالكامل. يجب أن توفر الخدمة التوفر والمرونة والأمان والوعود الأساسية السحابية المطلوبة، مدعومة باتفاقيات مستوى الخدمة (SLAs). لتقديم خدمة مدارة، تحتاج Microsoft إلى تصحيح خوادم إدارة المفاتيح، وترقية البرامج الثابتة لوحدة أمان الأجهزة (HSM)، وإصلاح الأجهزة الفاشلة، وإجراء عمليات تجاوز الفشل، والقيام بعمليات أخرى ذات امتيازات عالية. كما يعرف معظم المتخصصين في مجال الأمان، فإن رفض شخص يتمتع بامتيازات عالية أو وصول فعلي إلى نظام ما إلى البيانات داخل هذا النظام مشكلة صعبة.

توضح هذه المقالة كيفية حل هذه المشكلة في خدمة HSM المدارة في Azure Key Vault، ما يمنح العملاء كلا من السيادة الرئيسية الكاملة واتفاقيات مستوى الخدمة المدارة بالكامل باستخدام تقنية الحوسبة السرية المقترنة ب HSMs.

بيئة أجهزة HSM المدارة

يوجد تجمع HSM المدار للعميل في أي منطقة Azure في مركز بيانات Azure آمن. تنتشر ثلاثة مثيلات على عدة خوادم. يتم نشر كل مثيل في حامل مختلف لضمان التكرار. يحتوي كل خادم على FIPS 140-2 المستوى 3 تم التحقق من صحتها Marvell LiquidSecurity HSM Adapter مع ذاكرات تشفير متعددة. يتم استخدام الذاكرات الأساسية لإنشاء أقسام HSM معزولة بالكامل، بما في ذلك بيانات الاعتماد المعزولة بالكامل وتخزين البيانات والتحكم في الوصول.

يعد الفصل المادي للمثيلات داخل مركز البيانات أمرا بالغ الأهمية لضمان عدم تأثير فقدان مكون واحد (على سبيل المثال، مفتاح أعلى الحامل أو وحدة إدارة الطاقة في الحامل) على جميع مثيلات التجمع. هذه الخوادم مخصصة لفريق Azure Security HSM. لا تتم مشاركة الخوادم مع فرق Azure الأخرى، ولا يتم نشر أحمال عمل العملاء على هذه الخوادم. يتم استخدام عناصر التحكم في الوصول الفعلية، بما في ذلك الرفوف المؤمنة، لمنع الوصول غير المصرح به إلى الخوادم. تتوافق عناصر التحكم هذه مع FedRAMP-High وPCI وSOC 1/2/3 و ISO 270x ومعايير الأمان والخصوصية الأخرى، ويتم التحقق منها بشكل مستقل بانتظام كجزء من برنامج التوافق مع Azure. قامت وحدات HSM بتحسين الأمان المادي، وتم التحقق من صحتها لتلبية متطلبات FIPS 140-2 المستوى 3. تم إنشاء خدمة HSM المدارة بأكملها فوق نظام Azure الأساسي الآمن القياسي، بما في ذلك التشغيل الموثوق به، والذي يحمي من التهديدات المستمرة المتقدمة.

يمكن أن تدعم محولات HSM العشرات من أقسام HSM المعزولة. التشغيل على كل خادم هو عملية تحكم تسمى خدمة العقدة. تأخذ خدمة العقدة ملكية كل محول وتثبت بيانات الاعتماد لمالك المحول، في هذه الحالة، Microsoft. تم تصميم HSM بحيث لا توفر ملكية المحول ل Microsoft إمكانية الوصول إلى البيانات المخزنة في أقسام العملاء. يسمح فقط لشركة Microsoft بإنشاء أقسام العملاء وتغيير حجمها وحذفها. وهو يدعم أخذ النسخ الاحتياطية العمياء لأي قسم للعميل. في النسخ الاحتياطي الأعمى، يتم التفاف النسخة الاحتياطية بواسطة مفتاح مقدم من العميل يمكن استعادته بواسطة رمز الخدمة فقط داخل مثيل HSM مدار مملوك للعميل، ولا يمكن قراءة محتوياته من قبل Microsoft.

بنية تجمع HSM المدار

يوضح الشكل 1 بنية تجمع HSM، والذي يتكون من ثلاثة أجهزة ظاهرية تعمل بنظام Linux، كل منها يعمل على خادم HSM في حامل مركز البيانات الخاص به لدعم التوفر. المكونات المهمة هي:

• وحدة تحكم نسيج HSM (HFC) هي وحدة التحكم للخدمة. محرك أقراص HFC التصحيح التلقائي والإصلاحات للتجمع.
• حد تشفير حصري لكل عميل يتكون من ثلاثة جيوب سرية لملحقات Intel Secure Guard (Intel SGX) متصلة بثلاثة مثيلات HSM متوافقة مع FIPS 140-2 المستوى 3. يتم إنشاء مفاتيح الجذر لهذا الحد وتخزينها في HSMs الثلاثة. كما وصفنا لاحقا في هذه المقالة، لا يوجد شخص مقترن ب Microsoft لديه حق الوصول إلى البيانات الموجودة ضمن هذا الحد. فقط رمز الخدمة الذي يعمل في جيب Intel SGX (بما في ذلك عامل خدمة العقدة)، الذي يعمل نيابة عن العميل، لديه حق الوصول.

بيئة التنفيذ الموثوق بها (TEE)

يتكون تجمع HSM المدار من ثلاثة مثيلات خدمة. يتم تنفيذ كل مثيل خدمة كبيئة تنفيذ موثوق بها (TEE) تستخدم قدرات Intel SGX وOpen Enclave SDK. يضمن التنفيذ داخل TEE عدم وصول أي شخص على الجهاز الظاهري (VM) الذي يستضيف الخدمة أو خادم مضيف الجهاز الظاهري إلى أسرار العميل أو البيانات أو قسم HSM. كل TEE مخصص لعميل معين، ويقوم بتشغيل إدارة TLS ومعالجة الطلب والتحكم في الوصول إلى قسم HSM. لا توجد بيانات اعتماد أو مفاتيح تشفير بيانات خاصة بالعميل في نص واضح خارج TEE هذا، باستثناء كجزء من حزمة مجال الأمان. يتم تشفير هذه الحزمة إلى مفتاح يوفره العميل، ويتم تنزيلها عند إنشاء مجموعتهم لأول مرة.

تتواصل TEEs فيما بينها باستخدام TLS المصدق عليه. تجمع TLS المصدقة بين قدرات التصديق عن بعد للنظام الأساسي Intel SGX مع TLS 1.2. يسمح هذا لرمز HSM المدار في TEE بالحد من اتصاله بالتعليمات البرمجية الأخرى التي تم توقيعها بواسطة نفس مفتاح توقيع التعليمات البرمجية لخدمة HSM المدارة، لمنع هجمات الدخيل. يتم تخزين مفتاح توقيع التعليمات البرمجية لخدمة HSM المدارة في إصدار منتج Microsoft وخدمة الأمان (التي تستخدم أيضا لتخزين، على سبيل المثال، مفتاح توقيع التعليمات البرمجية ل Windows). يتحكم فريق HSM المدار في المفتاح. كجزء من التزاماتنا التنظيمية والامتثال لإدارة التغيير، لا يمكن لأي فريق Microsoft آخر استخدام هذا المفتاح لتوقيع التعليمات البرمجية الخاصة به.

يتم إصدار شهادات TLS المستخدمة لاتصال TEE إلى TEE ذاتيا بواسطة رمز الخدمة داخل TEE. تحتوي الشهادات على تقرير النظام الأساسي الذي تم إنشاؤه بواسطة جيب Intel SGX على الخادم. يتم توقيع تقرير النظام الأساسي باستخدام المفاتيح المشتقة من المفاتيح المدمجة بواسطة Intel في وحدة المعالجة المركزية عند تصنيعها. يحدد التقرير التعليمات البرمجية التي يتم تحميلها في جيب Intel SGX بواسطة مفتاح توقيع التعليمات البرمجية والتجزئة الثنائية. من تقرير النظام الأساسي هذا، يمكن لمثيلات الخدمة تحديد أن نظيرا يتم توقيعه أيضا بواسطة مفتاح توقيع التعليمات البرمجية لخدمة HSM المدارة، ومع بعض تشابك التشفير عبر تقرير النظام الأساسي، يمكنه أيضا تحديد أنه يجب أيضا إنشاء مفتاح توقيع الشهادة الصادر ذاتيا داخل TEE، لمنع انتحال الشخصية الخارجية.

تقديم اتفاقيات مستوى الخدمة للتوفر مع التحكم الكامل في المفتاح المدار من قبل العميل

لضمان توفر عال، تنشئ خدمة HFC ثلاثة مثيلات HSM في منطقة Azure المحددة من قبل العميل.

إنشاء تجمع HSM المدار

تأتي خصائص قابلية الوصول العالية لتجمعات HSM المدارة من مثيلات HSM المدارة تلقائيا والمتكررة ثلاثية والتي يتم الاحتفاظ بها دائما متزامنة (أو، إذا كنت تستخدم النسخ المتماثل متعدد المناطق، من الاحتفاظ بجميع المثيلات الستة متزامنة). تتم إدارة إنشاء التجمع بواسطة خدمة HFC، والتي تخصص تجمعات عبر الأجهزة المتوفرة في منطقة Azure التي يختارها العميل.

عند طلب تجمع جديد، يحدد HFC ثلاثة خوادم عبر عدة رفوف تحتوي على مساحة متوفرة على محولات HSM الخاصة بهم، ثم يبدأ في إنشاء التجمع:

1. يوجه HFC وكلاء خدمة العقدة على كل من TEEs الثلاثة لتشغيل مثيل جديد من التعليمات البرمجية للخدمة باستخدام مجموعة من المعلمات. تحدد المعلمات مستأجر Microsoft Entra للعميل، وعناوين IP للشبكة الظاهرية الداخلية لجميع المثيلات الثلاثة، وبعض تكوينات الخدمة الأخرى. يتم تعيين قسم واحد عشوائيا كقسم أساسي.

2. تبدأ المثيلات الثلاثة. يتصل كل مثيل بقسم على محول HSM المحلي الخاص به، ثم يقوم بصفر القسم وتهيئته باستخدام أسماء المستخدمين وبيانات الاعتماد التي تم إنشاؤها عشوائيا (للتأكد من أنه لا يمكن الوصول إلى القسم بواسطة عامل تشغيل بشري أو مثيل TEE آخر).

3. ينشئ المثيل الأساسي شهادة جذر لمالك القسم باستخدام المفتاح الخاص الذي تم إنشاؤه في HSM. يقوم بإنشاء ملكية التجمع عن طريق توقيع شهادة على مستوى القسم لقسم HSM باستخدام هذه الشهادة الجذر. يقوم الأساسي أيضا بإنشاء مفتاح تشفير البيانات، والذي يستخدم لحماية جميع بيانات العملاء الثابتة داخل الخدمة. بالنسبة للمواد الرئيسية، يتم استخدام التفاف مزدوج لأن HSM يحمي أيضا المواد الرئيسية نفسها.

4. بعد ذلك، تتم مزامنة بيانات الملكية هذه مع المثيلين الثانويين. يتصل كل ثانوي بالقاعدة الأساسية باستخدام TLS المصدق عليه. يشارك الأساسي شهادة جذر مالك القسم مع المفتاح الخاص ومفتاح تشفير البيانات. تستخدم الثانويات الآن شهادة جذر القسم لإصدار شهادة قسم إلى أقسام HSM الخاصة بها. بعد الانتهاء من ذلك، لديك أقسام HSM على ثلاثة خوادم منفصلة مملوكة لنفس شهادة جذر القسم.

5. عبر ارتباط TLS المصدق عليه، يشارك قسم HSM الأساسي مع الثانويات مفتاح التفاف البيانات الذي تم إنشاؤه (يستخدم لتشفير الرسائل بين HSMs الثلاثة) باستخدام واجهة برمجة تطبيقات آمنة يوفرها مورد HSM. أثناء هذا التبادل، تؤكد HSMs أن لديهم نفس شهادة مالك القسم، ثم يستخدمون نظام Diffie-Hellman لتشفير الرسائل بحيث لا يمكن للتعليمة البرمجية لخدمة Microsoft قراءتها. كل ما يمكن أن تفعله التعليمة البرمجية للخدمة هو نقل الكائنات الثنائية كبيرة الحجم المبهمة بين HSMs.

   في هذه المرحلة، تكون جميع المثيلات الثلاثة جاهزة للكشف عنها كتجمع على الشبكة الظاهرية للعميل. وهي تشترك في نفس شهادة مالك القسم والمفتاح الخاص، ومفتاح تشفير البيانات نفسه، ومفتاح التفاف البيانات الشائع. ومع ذلك، يحتوي كل مثيل على بيانات اعتماد فريدة لأقسام HSM الخاصة به. الآن اكتملت الخطوات النهائية.

6. ينشئ كل مثيل زوج مفاتيح RSA وطلب توقيع شهادة (CSR) لشهادة TLS العامة الخاصة به. يتم توقيع CSR بواسطة نظام البنية الأساسية للمفتاح العام (PKI) من Microsoft باستخدام جذر عام ل Microsoft، ويتم إرجاع شهادة TLS الناتجة إلى المثيل.

7. تحصل جميع المثيلات الثلاثة على مفتاح ختم Intel SGX الخاص بها من وحدة المعالجة المركزية المحلية الخاصة بها. يتم إنشاء المفتاح باستخدام المفتاح الفريد لوحدة المعالجة المركزية ومفتاح توقيع التعليمات البرمجية TEE.

8. يستمد التجمع مفتاح تجمع فريد من مفاتيح ختم Intel SGX، ويشفرة جميع أسراره باستخدام مفتاح التجمع هذا، ثم يكتب الكائنات الثنائية كبيرة الحجم المشفرة إلى القرص. يمكن فك تشفير هذه الكائنات الثنائية كبيرة الحجم فقط عن طريق توقيع التعليمات البرمجية بواسطة نفس مفتاح ختم Intel SGX الذي يعمل على نفس وحدة المعالجة المركزية الفعلية. ترتبط الأسرار بهذا المثيل المحدد.

اكتملت الآن عملية bootstrap الآمنة. وقد سمحت هذه العملية بإنشاء مجموعة HSM ثلاثية التكرار وإنشاء ضمان تشفير لسيادة بيانات العملاء.

الحفاظ على اتفاقيات مستوى الخدمة للتوفر في وقت التشغيل باستخدام شفاء الخدمة السرية

يمكن أن تشرح قصة إنشاء التجمع الموضحة في هذه المقالة كيف يمكن لخدمة HSM المدارة تقديم اتفاقيات مستوى الخدمة عالية التوفر من خلال إدارة الخوادم التي تقوم عليها الخدمة بأمان. تخيل فشل خادم أو محول HSM أو حتى مزود الطاقة إلى الحامل. الهدف من خدمة HSM المدارة هو، دون أي تدخل من العملاء أو إمكانية كشف الأسرار في نص واضح خارج TEE، لشفاء التجمع مرة أخرى إلى ثلاث مثيلات صحية. ويتحقق ذلك من خلال شفاء الخدمة السرية.

يبدأ بكشف HFC عن التجمعات التي تحتوي على مثيلات على الخادم الفاشل. يعثر HFC على خوادم جديدة وصحية داخل منطقة التجمع لنشر مثيلات الاستبدال إليها. يطلق مثيلات جديدة، والتي يتم التعامل معها بعد ذلك تماما كثانوية أثناء خطوة التوفير الأولية: تهيئة HSM، والعثور على أسرارها الأساسية، وتبادلها بأمان عبر TLS المصدق عليه، وتوقيع HSM في التسلسل الهرمي للملكية، ثم ختم بيانات الخدمة الخاصة به إلى وحدة المعالجة المركزية الجديدة. يتم الآن شفاء الخدمة، تلقائيا بالكامل وسريا تماما.

التعافي من الكوارث باستخدام مجال الأمان

مجال الأمان هو كائن ثنائي كبير الحجم آمن يحتوي على جميع بيانات الاعتماد اللازمة لإعادة إنشاء قسم HSM من البداية: مفتاح مالك القسم وبيانات اعتماد القسم ومفتاح التفاف البيانات بالإضافة إلى نسخة احتياطية أولية من HSM. قبل أن تصبح الخدمة مباشرة، يجب على العميل تنزيل مجال الأمان من خلال توفير مجموعة من مفاتيح تشفير RSA لتأمينها. تنشأ بيانات مجال الأمان في TEEs وهي محمية بمفتاح متماثل تم إنشاؤه وتنفيذ خوارزمية مشاركة البيانات السرية الخاصة بشامير، والتي تقسم مشاركات المفاتيح عبر مفاتيح RSA العامة التي يوفرها العميل وفقا لمعلمات الحصة المحددة من قبل العميل. أثناء هذه العملية، لا يتم عرض أي من مفاتيح الخدمة أو بيانات الاعتماد على الإطلاق في نص عادي خارج رمز الخدمة الذي يتم تشغيله في TEEs. يمكن للعميل فقط، من خلال تقديم حصة من مفاتيح RSA الخاصة به إلى TEE، فك تشفير مجال الأمان أثناء سيناريو الاسترداد.

مجال الأمان مطلوب فقط عندما تفقد منطقة Azure بأكملها، بسبب بعض الكوارث، وتفقد Microsoft جميع المثيلات الثلاثة للتجمع في وقت واحد. إذا فقدت مثيل واحد فقط، أو حتى مثيلين، فإن شفاء الخدمة السرية سوف يتعافى بهدوء إلى ثلاث مثيلات سليمة دون تدخل العميل. إذا فقدت المنطقة بأكملها، لأن مفاتيح ختم Intel SGX فريدة لكل وحدة معالجة مركزية، فليس لدى Microsoft طريقة لاسترداد بيانات اعتماد HSM ومفاتيح مالك القسم. وهي موجودة فقط في سياق المثيلات.

في حالة حدوث هذه الكارثة غير المحتملة للغاية، يمكن للعميل استرداد حالة المجموعة والبيانات السابقة الخاصة به عن طريق إنشاء تجمع فارغ جديد، وإدراجه في مجال الأمان، ثم تقديم الحصة الرئيسية ل RSA لإثبات ملكية مجال الأمان. إذا قام العميل بتمكين النسخ المتماثل متعدد المناطق، فإن الكارثة الأكثر احتمالا من كلتا المنطقتين التي تواجه فشلا متزامنا وكاملا يجب أن تحدث قبل أن تكون هناك حاجة إلى تدخل العميل لاسترداد التجمع من مجال الأمان.

التحكم في الوصول إلى الخدمة

كما هو موضح، رمز الخدمة الخاص بنا في TEE هو الكيان الوحيد الذي لديه حق الوصول إلى HSM نفسه لأنه لا يتم إعطاء بيانات الاعتماد الضرورية للعميل أو لأي شخص آخر. بدلا من ذلك، يتم ربط تجمع العميل بمثيل Microsoft Entra الخاص به، ويتم استخدام هذا للمصادقة والتخويل. عند التوفير الأولي، يمكن للعميل اختيار مجموعة أولية من الموظفين لتعيين دور المسؤول للمجموعة. يمكن لهؤلاء الأفراد والموظفين في دور المسؤول العام لمستأجر Microsoft Entra للعميل تعيين نهج التحكم في الوصول داخل التجمع. يتم تخزين جميع نهج التحكم في الوصول بواسطة الخدمة في نفس قاعدة البيانات مثل المفاتيح المقنعة، والتي يتم تشفيرها أيضا. فقط رمز الخدمة في TEE لديه حق الوصول إلى نهج التحكم في الوصول هذه.

الملخص

يزيل HSM المدار حاجة العملاء إلى إجراء مفاضلات بين التوفر والتحكم في مفاتيح التشفير باستخدام تقنية الجيب السري المتطورة المدعومة بالأجهزة. كما هو موضح في هذه المقالة، في هذا التنفيذ، لا يمكن لموظفي Microsoft أو ممثل الوصول إلى المواد الرئيسية التي يديرها العميل أو الأسرار ذات الصلة، حتى مع الوصول الفعلي إلى الأجهزة المضيفة المدارة HSM وHSMs. وقد سمح هذا الأمان لعملائنا في الخدمات المالية والتصنيع والقطاع العام والدفاع والرأسيات الأخرى بتسريع عمليات ترحيلهم إلى السحابة بثقة كاملة.

المحتوى ذو الصلة

• HSM المدار: التحكم في بياناتك في السحابة
• حول مجال أمان HSM المدار
• التحكم في الوصول إلى HSM المدار
• الأدوار المضمنة في التحكم في الوصول استنادا إلى الدور المحلي
• إدارة التوافق في السحابة