Přehled domény zabezpečení ve spravovaném HSM

  • Článek

Spravovaný HSM je jednoklient , standard FIPS (Federal Information Processing Standards) 140-2 ověřený, vysoce dostupný modul hardwarového zabezpečení (HSM), který má doménu zabezpečení řízenou zákazníkem.

Aby mohl spravovaný HSM fungovat, musí mít doménu zabezpečení. Doména zabezpečení je šifrovaný soubor objektů blob, který obsahuje artefakty, jako je zálohování HSM, přihlašovací údaje uživatele, podpisový klíč a šifrovací klíč dat, který je jedinečný pro spravovaný HSM.

Spravovaná doména zabezpečení HSM slouží k následujícím účelům:

  • Vytvoří "vlastnictví" tím, že kryptograficky vyváže každý spravovaný HSM do kořenového adresáře důvěryhodných klíčů pod vaší výhradní kontrolou. Tím zajistíte, že Microsoft nemá přístup k vašemu materiálu kryptografického klíče ve spravovaném HSM.

  • Nastaví kryptografickou hranici pro materiál klíčů ve spravované instanci HSM.

  • Umožňuje plně obnovit spravovanou instanci HSM, pokud dojde k havárii. Probíráme následující scénáře havárie:

    • Katastrofické selhání, ve kterém jsou zničeny všechny členské instance HSM spravované instance HSM.
    • Spravovaná instance HSM byla zákazníkem obnovitelně odstraněna a prostředek se vyprázdnil po uplynutí povinné doby uchovávání.
    • Zákazník archivoval projekt provedením zálohy, která zahrnovala spravovanou instanci HSM a všechna data, a poté odstranil všechny prostředky Azure přidružené k projektu.

Bez domény zabezpečení není zotavení po havárii možné. Microsoft nemá žádný způsob, jak obnovit doménu zabezpečení a Microsoft nemá přístup k vašim klíčům bez domény zabezpečení. Ochrana domény zabezpečení je proto pro zajištění kontinuity podnikových procesů velmi důležitá a aby se zajistilo, že nejste kryptograficky uzamčení.

Osvědčené postupy ochrany domény zabezpečení

Implementujte následující osvědčené postupy, které vám pomůžou zajistit ochranu domény zabezpečení.

Stažení šifrované domény zabezpečení

Doména zabezpečení se generuje v hardwaru spravovaného HSM i v enklávách softwaru služby během inicializace. Po zřízení spravovaného HSM musíte vytvořit aspoň tři páry klíčů RSA a odeslat veřejné klíče službě, když požádáte o stažení domény zabezpečení. Musíte také zadat minimální počet klíčů potřebných k dešifrování domény zabezpečení (kvora) v budoucnu.

Spravovaný HSM inicializuje doménu zabezpečení a zašifruje ji veřejnými klíči, které poskytnete pomocí algoritmu Shamirova algoritmu pro sdílení tajných kódů. Po stažení domény zabezpečení se spravovaný HSM přesune do aktivovaného stavu a je připravený ke spotřebě.

Ukládání klíčů domény zabezpečení

Klíče k doméně zabezpečení musí být uloženy v offline úložišti (například na šifrované jednotce USB) s každým rozdělením kvora na samostatném úložném zařízení. Zařízení úložiště musí být uložena v samostatných geografických umístěních a v fyzickém bezpečném nebo zamykacím rámečku. V případě ultrasenzitivních a vysoce zaručených případů použití můžete dokonce zvolit uložení privátních klíčů domény zabezpečení do místního offline HSM.

Důležité je pravidelně kontrolovat zásady zabezpečení pro spravované kvorum HSM. Vaše zásady zabezpečení musí být přesné, musíte mít aktuální záznamy o tom, kde se doména zabezpečení a její privátní klíče ukládají, a musíte vědět, kdo má kontrolu nad doménou zabezpečení.

Tady jsou zákazy zpracování klíčů domény zabezpečení:

  • Jedna osoba by nikdy neměla mít fyzický přístup ke všem klíčům kvora. Jinými slovy, m musí být větší než 1 (a ideálně by měl být >= 3).
  • Klíče domény zabezpečení nesmí být nikdy uloženy v počítači, který má připojení k internetu. Počítač připojený k internetu je vystaven různým hrozbám, jako jsou viry a škodlivé hackery. Výrazně snížíte riziko uložením klíčů domény zabezpečení do offline režimu.

Vytvoření kvora domény zabezpečení

Nejlepší způsob, jak chránit doménu zabezpečení a zabránit kryptografickému uzamčení, je implementovat řízení více osob pomocí kvora konceptu spravovaného HSM. Kvorum je prahová hodnota rozděleného tajného klíče, která rozdělí klíč, který šifruje doménu zabezpečení mezi více osob. Kvorum vynucuje řízení více osob. Doména zabezpečení tak není závislá na jedné osobě, která může organizaci opustit nebo mít škodlivý záměr.

Doporučujeme implementovat kvorum m osob, kde m je větší nebo rovno 3. Maximální velikost kvora domény zabezpečení spravovaného HSM je 10.

I když větší m velikost poskytuje větší zabezpečení, ukládá další režijní náklady na správu z hlediska zpracování domény zabezpečení. Proto je nezbytné pečlivě zvolit kvorum domény zabezpečení s alespoň m>= 3.

Velikost kvora domény zabezpečení by se také měla pravidelně kontrolovat a aktualizovat (například v případě změn pracovníků). Zvlášť důležité je uchovávat záznamy držitelů domény zabezpečení. Vaše záznamy by měly dokumentovat každé předání nebo změnu vlastnictví. Vaše zásady by měly vynutit přísné dodržování požadavků na kvorum a dokumentaci.

Protože klíče umožňují přístup k nejcitlivějším a nejdůležitějším informacím spravovaného HSM, musí privátní klíče domény zabezpečení uchovávat primární a důvěryhodné zaměstnance v organizaci. Držitelé domény zabezpečení by měli mít samostatné role a být geograficky odděleni v rámci vaší organizace.

Například kvorum domény zabezpečení může obsahovat čtyři páry klíčů, přičemž každý privátní klíč je předán jiné osobě. Minimálně dva lidé by se museli spojit, aby rekonstruovali doménu zabezpečení. Tyto části mohou být předány klíčovým pracovníkům, například:

  • Technický zájemce o obchodní jednotku
  • Architekt zabezpečení
  • Technik zabezpečení
  • Vývojář aplikace

Každá organizace je jiná a vynucuje různé zásady zabezpečení na základě svých potřeb. Doporučujeme pravidelně kontrolovat zásady zabezpečení pro dodržování předpisů a rozhodovat se o kvoru a jeho velikosti. Vaše organizace může zvolit načasování kontroly, ale doporučujeme provést kontrolu domény zabezpečení alespoň jednou za čtvrtletí a také v těchto časech:

  • Když člen kvora opustí organizaci.
  • Při nové nebo vznikající hrozbě se rozhodnete zvětšit velikost kvora.
  • Když dojde ke změně procesu při implementaci kvora.
  • Když dojde ke ztrátě nebo ohrožení zabezpečení jednotky USB nebo HSM, které patří členu kvora domény zabezpečení.

Ohrožení nebo ztráta domény zabezpečení

Pokud dojde k ohrožení vaší domény zabezpečení, může ho aktér se zlými úmysly použít k vytvoření vlastní spravované instance HSM. Aktér se zlými úmysly může použít přístup k zálohám klíčů k zahájení dešifrování dat chráněných klíči na spravovaném HSM.

Ztracená doména zabezpečení se považuje za ohroženou.

Po napadení domény zabezpečení musí být všechna data zašifrovaná prostřednictvím aktuálního spravovaného modulu HSM dešifrována pomocí aktuálního materiálu klíče. Je potřeba zřídit novou instanci spravovaného HSM služby Azure Key Vault a musí být implementována nová doména zabezpečení, která odkazuje na novou adresu URL.

Vzhledem k tomu, že neexistuje způsob, jak migrovat klíč z jedné instance spravovaného HSM do jiné instance, která má jinou doménu zabezpečení, musí být implementace domény zabezpečení dobře promyšlená a musí být chráněna přesnou a pravidelně kontrolovanou správou záznamů.

Shrnutí

Doména zabezpečení a odpovídající privátní klíče hrají důležitou roli při spravovaných operacích HSM. Tyto artefakty jsou podobné kombinaci bezpečné a špatná správa může snadno ohrozit silné algoritmy a systémy. Pokud je pro nežádoucí osobu známa bezpečná kombinace, tím nejsilnějším bezpečným zabezpečením není zabezpečení. Správná správa domény zabezpečení a jejích privátních klíčů je nezbytná pro efektivní použití spravovaného HSM.

Důrazně doporučujeme, abyste si prostudovali speciální publikaci NIST 800-57 , abyste před vývojem a implementací zásad, systémů a standardů, které jsou nezbytné pro splnění a zlepšení cílů zabezpečení vaší organizace, projděte si osvědčené postupy pro správu klíčů.

Další kroky