التحكم في بياناتك في السحابة باستخدام HSM المدار
قيم Microsoft وحماية الخصوصية والدفاع عنها. نحن نؤمن بالشفافية حتى يتمكن الأشخاص والمؤسسات من التحكم في بياناتهم ولديهم خيارات ذات مغزى في كيفية استخدامها. نحن نمكن وندافع عن خيارات الخصوصية لكل شخص يستخدم منتجاتنا وخدماتنا.
في هذه المقالة، نتعمق في ضوابط أمان HSM المدارة في Azure Key Vault للتشفير وكيف يوفر ضمانات إضافية وتدابير تقنية لمساعدة عملائنا على تلبية متطلبات التوافق الخاصة بهم.
التشفير هو أحد التدابير التقنية الرئيسية التي يمكنك اتخاذها للتحكم الوحيد في بياناتك. يقوم Azure بتحصين بياناتك من خلال أحدث تقنيات التشفير، سواء للبيانات الثابتة أو للبيانات المتنقلة. تقيم منتجات التشفير لدينا حواجز ضد الوصول غير المصرح به إلى البيانات، بما في ذلك طبقتين أو أكثر من طبقات التشفير المستقلة للحماية من الاختراقات لأي طبقة واحدة. بالإضافة إلى ذلك، قام Azure بتعريف الاستجابات والنُهج والعمليات المحددة بوضوح والالتزامات التعاقدية القوية وضوابط الأمان المادية والتشغيلية والخاصة بالبنية الأساسية الصارمة لتزويد عملائنا بالتحكم المطلق في بياناتهم في السحابة. الفرضية الأساسية لاستراتيجية إدارة Azure الرئيسية هي منح عملائنا مزيدا من التحكم في بياناتهم. نستخدم وضع الثقة المعدومة مع تقنيات الجيب المتقدمة ووحدات أمان الأجهزة (HSMs) وعزل الهوية التي تقلل من وصول Microsoft إلى مفاتيح العملاء وبياناتهم.
يوفر التشفير الثابت حماية البيانات للبيانات المخزنة الثابتة وكما تقتضي الحاجة إلى مؤسسة ما لإدارة البيانات وجهود الامتثال. تعد محفظة التوافق من Microsoft هي الأوسع في جميع السحب العامة في جميع أنحاء العالم، مع معايير الصناعة واللوائح الحكومية مثل HIPAA، واللوائح العامة لحماية البيانات، ومعايير معالجة المعلومات الفيدرالية (FIPS) 140-2 و3. تحدد هذه المعايير واللوائح ضمانات محددة لحماية البيانات ومتطلبات التشفير. وفي معظم الحالات، يلزم اتخاذ إجراء إلزامي للامتثال.
كيف يعمل التشفير في وضع الراحة؟
توفر خدمات Azure Key Vault حلول التشفير وإدارة المفاتيح التي تحمي مفاتيح التشفير والشهادات والأسرار الأخرى التي تستخدمها التطبيقات والخدمات السحابية لحماية البيانات المشفرة الثابتة والتحكم فيها.
تعد إدارة المفاتيح الآمنة ضرورية لحماية البيانات والتحكم فيها في السحابة. يقدم Azure حلولا مختلفة يمكنك استخدامها لإدارة الوصول إلى مفاتيح التشفير والتحكم فيها بحيث يكون لديك خيار ومرونة لتلبية احتياجات حماية البيانات والامتثال الصارمة.
- تشفير النظام الأساسي ل Azure هو حل تشفير مدار بواسطة النظام الأساسي يقوم بالتشفير باستخدام التشفير على مستوى المضيف. المفاتيح المدارة بواسطة النظام الأساسي هي مفاتيح تشفير يتم إنشاؤها وتخزينها وإدارتها بالكامل بواسطة Azure.
- المفاتيح التي يديرها العميل هي مفاتيح يتم إنشاؤها وقراءتها وحذفها وتحديثها وإدارتها بالكامل من قبل العميل. يمكن تخزين المفاتيح التي يديرها العميل في خدمة إدارة مفاتيح السحابة مثل Azure Key Vault.
- يقوم Azure Key Vault Standard بالتشفير باستخدام مفتاح برنامج وهو متوافق مع FIPS 140-2 المستوى 1.
- يقوم Azure Key Vault Premium بالتشفير باستخدام مفاتيح محمية بواسطة FIPS 140 HSMs التي تم التحقق من صحتها.
- يقوم Azure Key Vault Managed HSM بالتشفير باستخدام مفاتيح FIPS 140-2 من المستوى 3 HSM للمستأجر الفردي ويتم إدارتها بالكامل بواسطة Microsoft.
للحصول على ضمان إضافي، في Azure Key Vault Premium وAzure Key Vault Managed HSM، يمكنك إحضار المفتاح الخاص بك (BYOK) واستيراد المفاتيح المحمية ب HSM من HSM محلي.
قائمة منتجات إدارة مفاتيح Azure
Azure Key Vault قياسي | Azure Key Vault متميز | Azure Key Vault Managed HSM | |
---|---|---|---|
الايجار | متعدد المستأجرين | متعدد المستأجرين | المستأجر الفردي |
الامتثال | FIPS 140-2 المُستوى 1 | FIPS 140-2 المستوى 3 | FIPS 140-2 المستوى 3 |
توفُّر عالٍ | تلقائي | تلقائي | تلقائي |
حالات الاستخدام | التشفير في حالة السكون | التشفير في حالة السكون | التشفير في حالة السكون |
عناصر التحكم الرئيسية | العميل | العميل | العميل |
جذر التحكم في الثقة | Microsoft | Microsoft | العميل |
Azure Key Vault هي خدمة سحابية يمكنك استخدامها لتخزين الأسرار والوصول إليها بأمان. السر هو أي شيء تريد التحكم بأمان في الوصول إليه ويمكن أن يتضمن مفاتيح واجهة برمجة التطبيقات وكلمات المرور والشهادات ومفاتيح التشفير.
يدعم Key Vault نوعين من الحاويات:
المخازن
- المستوى القياسي: تدعم الخزائن تخزين الأسرار والشهادات والمفاتيح المدعومة بالبرامج.
- المستوى المتميز: تدعم الخزائن تخزين الأسرار والشهادات والمفاتيح المدعومة بالبرامج والمفاتيح المدعومة من HSM.
وحدة أمان الأجهزة المدارة (HSM)
- يدعم HSM المدار المفاتيح المدعومة من HSM فقط.
لمزيد من المعلومات، راجع مفاهيم Azure Key Vault ونظرة عامة على Azure Key Vault REST API.
ما المقصود بـ HSM المُدار في Azure Key Vault؟
Azure Key Vault Managed HSM هي خدمة سحابية مدارة بالكامل ومتاحة بشكل كبير ومستأجر واحد ومتوافقة مع المعايير تحتوي على مجال أمان يتحكم فيه العميل يمكنك من تخزين مفاتيح التشفير لتطبيقاتك السحابية باستخدام وحدات HSM المعتمدة من FIPS 140-2 المستوى 3.
كيف تحمي HSM المُدارة في Azure Key Vault مفاتيحك؟
يستخدم Azure Key Vault Managed HSM دفاعا في العمق ووضع أمان بدون ثقة يستخدم طبقات متعددة، بما في ذلك عناصر التحكم الأمنية المادية والتقنية والإدارية لحماية بياناتك والدفاع عنها.
تم تصميم Azure Key Vault وAzure Key Vault Managed HSM ونشرها وتشغيلها بحيث يتم منع Microsoft ووكلائها من الوصول إلى أي بيانات مخزنة في الخدمة أو استخدامها أو استخراجها، بما في ذلك مفاتيح التشفير.
المفاتيح التي يديرها العميل والتي يتم إنشاؤها بأمان في أجهزة HSM أو استيرادها بأمان، ما لم يتم تعيينها بخلاف ذلك من قبل العميل، غير قابلة للاستخراج ولا تكون مرئية أبدا في نص عادي لأنظمة Microsoft أو موظفيها أو عواملها.
لا يملك فريق Key Vault بشكل صريح إجراءات تشغيل لمنح هذا النوع من الوصول إلى Microsoft ووكلائها، حتى إذا تم التصريح بذلك من قبل العميل.
لن نحاول هزيمة ميزات التشفير التي يتحكم فيها العميل مثل Azure Key Vault أو Azure Key Vault Managed HSM. إذا واجهنا طلبا قانونيا للقيام بذلك، فإننا نتحدى مثل هذا الطلب على أي أساس قانوني، بما يتماشى مع التزامات عملائنا.
بعد ذلك، نلقي نظرة مفصلة على كيفية تنفيذ عناصر التحكم في الأمان هذه.
عناصر التحكم في الأمان في Azure Key Vault Managed HSM
يستخدم Azure Key Vault Managed HSM الأنواع التالية من عناصر التحكم في الأمان:
- الفعلي
- تقني
- إداري
عناصر التحكم في الأمان الفعلي
جوهر HSM المدار هو وحدة أمان الأجهزة (HSM). HSM هو معالج تشفير متخصص ومتصلب ومقاومة للعبث وعالية الإنتروبيا ومخصصة يتم التحقق من صحتها لمعيار FIPS 140-2 المستوى 3. تتم تغطية جميع مكونات HSM بشكل أكبر في الإيبوكسي المتصلب والغلاف المعدني للحفاظ على مفاتيحك آمنة من المهاجم. يتم إيواء HSMs في رفوف من الخوادم عبر العديد من مراكز البيانات والمناطق والمناطق الجغرافية. تتوافق مراكز البيانات الموزعة جغرافيا هذه مع معايير الصناعة الرئيسية مثل ISO/IEC 27001:2013 و NIST SP 800-53 للأمان والموثوقية.
تقوم Microsoft بتصميم وإنشاء وتشغيل مراكز البيانات بطريقة تتحكم بشكل صارم في الوصول الفعلي إلى المناطق التي يتم تخزين المفاتيح والبيانات فيها. وتفوض طبقات إضافية من الأمن المادي، مثل الأسوار الطويلة المصنوعة من الخرسانة والصلب، والأبواب المصنوعة من الصلب الميت، وأنظمة الإنذار الحراري، ومراقبة الكاميرا المباشرة للدائرة المغلقة، وموظفي الأمن على مدار الساعة طوال الأسبوع، وأساس الحاجة إلى الوصول مع الموافقة لكل طابق، وتدريب صارم للموظفين، والمقاييس الحيوية، والتحقق من الخلفية، وطلب الوصول والموافقة. يتم تأمين أجهزة HSM والخوادم ذات الصلة في قفص، والكاميرات تصور الخوادم الأمامية والخلفية.
عناصر التحكم الأمنية التقنية
تعمل عدة طبقات من عناصر التحكم التقنية في HSM المدار على حماية المواد الرئيسية بشكل أكبر. ولكن الأهم من ذلك، أنها تمنع Microsoft من الوصول إلى المواد الرئيسية.
السرية: تعمل خدمة HSM المدارة داخل بيئة تنفيذ موثوق بها مبنية على Intel Software Guard Extensions (Intel SGX). يوفر Intel SGX حماية محسنة من المهاجمين الداخليين والخارجيين باستخدام عزل الأجهزة في الجيوب التي تحمي البيانات المستخدمة.
الجيوب هي أجزاء مؤمّنة من معالج الجهاز والذاكرة. لا يمكنك عرض البيانات أو التعليمات البرمجية داخل الجيب، حتى مع مصحح الأخطاء. إذا حاولت التعليمات البرمجية غير الموثوق بها تغيير المحتوى في ذاكرة الجيب، فإن Intel SGX يعطل البيئة ويرفض العملية.
تساعدك هذه الإمكانات الفريدة على حماية مواد مفتاح التشفير من إمكانية الوصول إليها أو رؤيتها كنص واضح. كما تقدم الحوسبة السرية من Azure حلولا لتمكين عزل بياناتك الحساسة أثناء معالجتها في السحابة.
مجال الأمان: مجال الأمان هو كائن ثنائي كبير الحجم مشفر يحتوي على معلومات تشفير حساسة للغاية. يحتوي مجال الأمان على عناصر مثل النسخ الاحتياطي ل HSM وبيانات اعتماد المستخدم ومفتاح التوقيع ومفتاح تشفير البيانات الفريد ل HSM المدار.
يتم إنشاء مجال الأمان في كل من أجهزة HSM المدارة وفي جيوب برامج الخدمة أثناء التهيئة. بعد توفير HSM المدار، يجب إنشاء ثلاثة أزواج مفاتيح RSA على الأقل. ترسل المفاتيح العامة إلى الخدمة عند طلب تنزيل مجال الأمان. بعد تنزيل مجال الأمان، ينتقل HSM المدار إلى حالة منشطة وهو جاهز للاستهلاك. لا يملك موظفو Microsoft أي طريقة لاسترداد مجال الأمان، ولا يمكنهم الوصول إلى مفاتيحك دون مجال الأمان.
عناصر التحكم في الوصول والتخويل: يتم التحكم في الوصول إلى HSM المدار من خلال واجهتين، مستوى الإدارة ولوحة البيانات.
وحدة الإدارة هي المكان الذي تدير فيه وحدة HSM نفسها. تتضمن العمليات في هذه الوحدة إنشاء وحدات HSM المدارة وحذفها واسترجاع خصائص وحدة HSM المدارة.
مستوى البيانات هو المكان الذي تعمل فيه مع البيانات المخزنة في HSM المدار، وهو مفاتيح التشفير المدعومة من HSM. من واجهة مستوى البيانات، يمكنك إضافة المفاتيح وحذفها وتعديلها واستخدامها لتنفيذ عمليات التشفير وإدارة تعيينات الأدوار للتحكم في الوصول إلى المفاتيح وإنشاء نسخة احتياطية كاملة من HSM واستعادة نسخة احتياطية كاملة وإدارة مجال الأمان.
للوصول إلى وحدة HSM المدارة في أي من الوحدتين، يجب أن يكون لدى كافة المتصلين المصادقة والتخويل المناسبين. تنشئ المصادقة هوية المتصل. يحدد التخويل العمليات التي يمكن للمتصل تنفيذها. يمكن أن يكون المتصل أي من أساسيات الأمان المحددة في معرف Microsoft Entra: المستخدم أو المجموعة أو كيان الخدمة أو الهوية المدارة.
تستخدم كلتا الوحدتين معرف Microsoft Entra للمصادقة. للتخويل، يستخدمون أنظمة مختلفة:
- تستخدم وحدة الإدارة التحكم في الوصول المستند إلى الدور Azure (Azure RBAC)، وهو نظام تخويل مبني على Azure Resource Manager.
- يستخدم مستوى البيانات RBAC المدار على مستوى HSM (التحكم في الوصول استنادا إلى الدور المحلي ل HSM المدار)، وهو نظام تخويل يتم تنفيذه وفرضه على مستوى HSM المدار. يسمح نموذج التحكم في التحكم في التحكم في الوصول استنادا إلى الدور المحلي لمسؤولي HSM المعينين بالتحكم الكامل في تجمع HSM الذي لا يمكن حتى لمسؤولي مجموعة الإدارة أو الاشتراك أو مجموعة الموارد تجاوزه.
- التشفير أثناء النقل: يتم دائما تشفير جميع حركة المرور من وإلى HSM المدارة باستخدام TLS (يتم دعم إصدارات أمان طبقة النقل 1.3 و1.2) للحماية من العبث بالبيانات والتنصت حيث يحدث إنهاء TLS داخل جيب SGX وليس في المضيف غير الموثوق به
- جدران الحماية: يمكن تكوين HSM المدار لتقييد من يمكنه الوصول إلى الخدمة في المقام الأول، ما يزيد من تقليص سطح الهجوم. نسمح لك بتكوين HSM المُدارة لرفض الوصول من الإنترنت العام والسماح فقط بنسبة استخدام الشبكة من خدمات Azure الموثوق بها (مثل تخزين Azure)
- نقاط النهاية الخاصة: من خلال تمكين نقطة نهاية خاصة، فإنك تجلب خدمة HSM المدارة إلى شبكتك الظاهرية مما يسمح لك بعزل هذه الخدمة فقط إلى نقاط النهاية الموثوق بها مثل شبكتك الظاهرية وخدمات Azure. ستنتقل جميع حركة المرور من وإلى HSM المدار على طول شبكة Microsoft الأساسية الآمنة دون الحاجة إلى اجتياز الإنترنت العام.
- المراقبة والتسجيل: الطبقة الخارجية للحماية هي قدرات المراقبة والتسجيل ل HSM المدارة. باستخدام خدمة Azure Monitor، يمكنك التحقق من سجلاتك بحثا عن التحليلات والتنبيهات للتأكد من أن أنماط الوصول تتوافق مع توقعاتك. يسمح هذا لأعضاء فريق الأمان لديك برؤية ما يحدث داخل خدمة HSM المُدارة. إذا كان هناك شيء ما لا يبدو صحيحا، يمكنك دائما لفة المفاتيح أو إبطال الأذونات.
- إحضار المفتاح الخاص بك (BYOK): يتيح BYOK لعملاء Azure استخدام أي HSMs محلية مدعومة لإنشاء المفاتيح، ثم استيرادها إلى HSM المدار. يفضل بعض العملاء استخدام HSMs المحلية لإنشاء مفاتيح لتلبية المتطلبات التنظيمية والتوافق. ثم يستخدمون BYOK لنقل مفتاح محمي بواسطة HSM بأمان إلى HSM المدار. لا يوجد المفتاح الذي سيتم نقله خارج HSM في شكل نص عادي. أثناء عملية الاستيراد، تتم حماية المواد الرئيسية بمفتاح يتم الاحتفاظ به في HSM المدار.
- HSM الخارجي: سألنا بعض العملاء عما إذا كان بإمكانهم استكشاف خيار وجود HSM خارج سحابة Azure للحفاظ على البيانات والمفاتيح منفصلة مع HSM خارجي، إما على سحابة خارجية أو محلية. على الرغم من أن استخدام HSM تابع لجهة خارجية خارج Azure يبدو أنه يمنح العملاء المزيد من التحكم في المفاتيح، فإنه يقدم العديد من المخاوف، مثل زمن الانتقال الذي يسبب مشكلات في الأداء، وزلة اتفاقية مستوى الخدمة التي تحدث بسبب مشكلات في HSM التابع لجهة خارجية، وتكاليف الصيانة والتدريب. أيضا، لا يمكن ل HSM التابع لجهة خارجية استخدام ميزات Azure الرئيسية مثل الحذف المبدئي والحماية من التطهير. نواصل تقييم هذا الخيار التقني مع عملائنا لمساعدتهم على التنقل في مشهد الأمان والتوافق المعقد.
عناصر تحكم الأمان الإدارية
توجد عناصر تحكم الأمان الإدارية هذه في Azure Key Vault Managed HSM:
- الدفاع عن البيانات. لديك التزام قوي من Microsoft بتحدي الطلبات الحكومية والدفاع عن بياناتك.
- الالتزامات التعاقدية. يوفر التزامات التحكم للأمان وحماية بيانات العملاء كما تمت مناقشته في مركز توثيق Microsoft.
- النسخ المتماثل عبر المناطق. يمكنك استخدام النسخ المتماثل متعدد المناطق في HSM المدار لنشر HSMs في منطقة ثانوية.
- الإصلاح بعد كارثة. يقدم Azure حلا للنسخ الاحتياطي الشامل والتعافي من الكوارث بسيطا وآمنا وقابلا للتطوير وفعالا من حيث التكلفة:
- مركز استجابة أمان Microsoft (MSRC). إدارة خدمة HSM المدارة متكاملة بإحكام مع MSRC.
- مراقبة الأمان للعمليات الإدارية غير المتوقعة مع استجابة أمنية كاملة على مدار الساعة وطوال أيام الأسبوع (24/7)
- سلسلة التوريد السحابية المرنة والآمنة. يعزز HSM المدار الموثوقية من خلال سلسلة توريد سحابية مرنة.
- مبادرة الامتثال التنظيمي المضمنة. يوفر التوافق في نهج Azure تعريفات مبادرة مضمنة لعرض قائمة بعناصر التحكم ومجالات التوافق استنادا إلى المسؤولية (العميل، Microsoft، المشترك). بالنسبة لعناصر التحكم المسؤولة من Microsoft، نقدم تفاصيل إضافية عن نتائج التدقيق الخاصة بنا بناءً على تصديق الجهة الخارجية وتفاصيل التنفيذ الخاصة بنا لتحقيق هذا الامتثال.
- تقارير التدقيق. موارد لمساعدة المتخصصين في أمان المعلومات والامتثال على فهم ميزات السحابة، والتحقق من متطلبات التوافق والتحكم التقنيين
- افترض فلسفة الخرق. نفترض أنه يمكن اختراق أي مكون في أي وقت، ونصمم ونختبر بشكل مناسب. نقوم بتمارين الفريق الأحمر/الفريق الأزرق المنتظمة (محاكاة الهجوم).
توفر HSM المدارة عناصر تحكم أمنية مادية وتقنية وإدارية قوية. يمنحك HSM المدار التحكم الوحيد في المواد الرئيسية الخاصة بك للحصول على حل إدارة مفاتيح سحابية مركزي قابل للتطوير يساعد على تلبية احتياجات الامتثال والأمان والخصوصية المتزايدة. والأهم من ذلك أنه يوفر ضمانات التشفير المطلوبة للامتثال. يمكن لعملائنا التأكد من أننا ملتزمون بضمان حماية بياناتهم بشفافية حول ممارساتنا بينما نتقدم نحو تنفيذ حدود بيانات Microsoft EU.
لمزيد من المعلومات، تواصل مع فريق حساب Azure لتسهيل مناقشة مع فريق منتج Azure Key Management.