Introducción al dominio de seguridad en HSM administrado
Un HSM administrado es un módulo de seguridad de hardware (HSM) de un solo inquilino, validado por el Estándar federal de procesamiento de información (FIPS) 140-2, de alta disponibilidad y con un dominio de seguridad controlado por el cliente.
Para funcionar, un HSM administrado debe tener un dominio de seguridad. El dominio de seguridad es un archivo de blob cifrado que contiene artefactos como la copia de seguridad de HSM, las credenciales de usuario, la clave de firma y la clave de cifrado de datos única para el HSM administrado.
Un dominio de seguridad HSM administrado sirve para los siguientes propósitos:
Establece la "propiedad" mediante la asociación criptográfica de cada HSM administrado a una raíz de claves de confianza bajo su único control. Esto garantiza que Microsoft no tiene acceso al material de clave criptográfica en el HSM administrado.
Establece el límite criptográfico para el material de clave en una instancia administrada de HSM.
Permite recuperar completamente una instancia de HSM administrada si se produce un desastre. Se tratan los siguientes escenarios de desastres:
- Un error catastrófico en el que se destruyen todas las instancias de HSM miembro de una instancia administrada de HSM.
- Un cliente eliminó temporalmente la instancia de HSM administrada y el recurso se purgó después de la expiración del período de retención obligatorio.
- El cliente archivó un proyecto realizando una copia de seguridad que incluía la instancia administrada de HSM y todos los datos y, a continuación, eliminó todos los recursos de Azure asociados al proyecto.
Sin el dominio de seguridad, la recuperación ante desastres no es posible. Microsoft no tiene ninguna manera de recuperar el dominio de seguridad y Microsoft no puede acceder a las claves sin el dominio de seguridad. Por lo tanto, la protección del dominio de seguridad es de la máxima importancia para la continuidad empresarial y para asegurarse de que no está bloqueado criptográficamente.
Procedimientos recomendados de protección de dominios de seguridad
Implemente los siguientes procedimientos recomendados para ayudar a garantizar la protección del dominio de seguridad.
Descarga del dominio de seguridad cifrado
El dominio de seguridad se genera en el hardware de HSM administrado y los enclaves de software de servicio en el momento de la inicialización. Una vez aprovisionado el HSM administrado, debe crear al menos tres pares de claves RSA y enviar las claves públicas al servicio al solicitar la descarga del dominio de seguridad. También debe especificar el número mínimo de claves necesarias (cuórum) para descifrar el dominio de seguridad en el futuro.
El HSM administrado inicializará el dominio de seguridad y lo cifrará con las claves públicas que proporcione mediante el algoritmo de uso compartido de secretos de Shamir. Una vez descargado el dominio de seguridad, el HSM administrado pasa a un estado activado y está listo para su consumo.
Almacenamiento de las claves de dominio de seguridad
Las claves de un dominio de seguridad se deben mantener en el almacenamiento sin conexión (por ejemplo, una unidad USB cifrada), con cada división del cuórum en un dispositivo de almacenamiento independiente. Los dispositivos de almacenamiento se deben mantener en ubicaciones geográficas independientes y en una caja fuerte física o en una caja de seguridad. Para los casos de uso extremadamente confidenciales y de alto control, incluso puede optar por almacenar las claves privadas del dominio de seguridad en el HSM local y sin conexión.
Es especialmente importante revisar periódicamente la directiva de seguridad del cuórum de HSM administrado. La directiva de seguridad debe ser precisa, debe tener registros actualizados de dónde se almacenan el dominio de seguridad y sus claves privadas, y debe saber quién tiene el control del dominio de seguridad.
Estas son las prohibiciones de control de claves de dominio de seguridad:
- Nunca se debe permitir que una persona tenga acceso físico a todas las claves de cuórum. En otras palabras,
mdebe ser mayor que 1 (e idealmente debería ser >= 3). - Las claves de dominio de seguridad nunca deben almacenarse en un equipo con una conexión a Internet. Un equipo con conexión a Internet se expone a varias amenazas, como virus y hackers malintencionados. Se reduce significativamente el riesgo mediante el almacenamiento sin conexión de las claves de dominio de seguridad.
Establecimiento de un cuórum de dominio de seguridad
La mejor manera de proteger un dominio de seguridad y evitar el bloqueo criptográfico es implementar el control de varias personas, mediante el concepto de HSM administrado denominado cuórum. Un cuórum es un umbral de secreto dividido para dividir la clave que cifra el dominio de seguridad entre varias personas. Un cuórum exige el control de varias personas. De este modo, el dominio de seguridad no depende de una sola persona, que podría abandonar la organización o tener intenciones malintencionadas.
Se recomienda implementar un cuórum de m personas, donde m es mayor o igual que 3. El tamaño máximo de cuórum del dominio de seguridad para un HSM administrado es 10.
Aunque un tamaño mayor (m) proporciona más seguridad, impone una sobrecarga administrativa adicional en términos de control del dominio de seguridad. Por lo tanto, es imperativo que el cuórum de dominio de seguridad se elija cuidadosamente, con al menos m>= 3.
El tamaño del cuórum de dominio de seguridad también debe revisarse y actualizarse periódicamente (por ejemplo, en el caso de cambios de personal). Es especialmente importante mantener registros de los titulares del dominio de seguridad. Los registros deben documentar cada entrega o cambio de posesión. La directiva debe aplicar un cumplimiento riguroso de los requisitos de cuórum y documentación.
Dado que las claves permiten el acceso a la información más confidencial y crítica del HSM administrado, las claves privadas del dominio de seguridad deben ser mantenidas por los empleados principales y de confianza de la organización. Los titulares de dominios de seguridad deben tener roles independientes y estar separados geográficamente dentro de la organización.
Por ejemplo, un cuórum de dominio de seguridad podría incluir cuatro pares de claves, con cada clave privada dada a una persona diferente. Un mínimo de dos personas tendría que reunirse para reconstruir un dominio de seguridad. Las partes se podrían dar al personal clave, como:
- Director técnico de unidad de negocio
- Arquitecto de seguridad
- Ingeniero de seguridad
- Desarrollador de aplicaciones
Cada organización es diferente y aplica una directiva de seguridad diferente en función de sus necesidades. Se recomienda revisar periódicamente la directiva de seguridad para el cumplimiento y para tomar decisiones sobre el cuórum y su tamaño. Su organización puede elegir el momento de la revisión, pero se recomienda realizar una revisión de dominio de seguridad al menos una vez cada trimestre y también en estos momentos:
- Cuando un miembro del cuórum deja la organización.
- Cuando una amenaza nueva o emergente le hace decidir aumentar el tamaño del cuórum.
- Cuando hay un cambio de proceso en la implementación del cuórum.
- Cuando una unidad USB o HSM que pertenece a un miembro del cuórum de dominio de seguridad se pierde o se pone en peligro.
Pérdida o riesgo de dominio de seguridad
Si el dominio de seguridad está en peligro, un actor malintencionado podría usarlo para crear su propia instancia administrada de HSM. El actor malintencionado podría usar el acceso a las copias de seguridad de claves para empezar a descifrar los datos protegidos con las claves en el HSM administrado.
Un dominio de seguridad perdido se considera en peligro.
Después de que un dominio de seguridad se vea comprometido, todos los datos cifrados a través del HSM administrado en ese momento deberán descifrarse usando el material de clave actual. Debe aprovisionarse una nueva instancia de HSM administrado de Azure Key Vault e implementarse un nuevo dominio de seguridad que apunte a la nueva dirección URL.
Dado que no hay forma de migrar el material clave de una instancia de HSM administrado a otra instancia que tenga un dominio de seguridad diferente, la implementación del dominio de seguridad debe estar bien pensada y debe protegerse mediante un registro preciso y revisado periódicamente.
Resumen
El dominio de seguridad y sus claves privadas correspondientes desempeñan un papel importante en las operaciones de HSM administrado. Estos artefactos son análogos a la combinación de una administración segura y una administración deficiente puede poner en peligro fácilmente algoritmos y sistemas seguros. Si un adversario conoce una combinación segura, la más segura no proporciona seguridad. La administración adecuada del dominio de seguridad y sus claves privadas es esencial para el uso eficaz del HSM administrado.
Se recomienda encarecidamente revisar la publicación especial 800-57 de NIST para conocer los procedimientos recomendados de administración clave, antes de desarrollar e implementar las directivas, sistemas y estándares necesarios para cumplir y mejorar los objetivos de seguridad de la organización.
Pasos siguientes
- Lea una introducción a HSM administrado.
- Obtenga información sobre cómo administrar el HSM administrado mediante la CLI de Azure.
- Revise los Procedimientos recomendados de HSM administrado.