Vue d’ensemble du domaine de sécurité dans le HSM managé

Un HSM managé est un module de sécurité matériel (HSM) à locataire unique, validé par la norme Federal Information Processing Standards (FIPS) 140-2 , hautement disponible, dont le domaine de sécurité est contrôlé par le client.

Pour fonctionner, un HSM managé doit avoir un domaine de sécurité. Le domaine de sécurité est un fichier blob chiffré contenant des artefacts tels que la sauvegarde HSM, des informations d’identification d’utilisateur, la clé de signature et la clé de chiffrement de données qui est propre à votre HSM managé.

Un domaine de sécurité HSM managé répond aux objectifs suivants :

• Établit la « propriété » en liant par chiffrement chaque HSM managé à une racine de clés de confiance sous votre seul contrôle. Cela garantit que Microsoft n’a pas accès à votre matériel de clé de chiffrement sur le HSM managé.

• Définit la limite de chiffrement pour le matériel de clé dans une instance de HSM managé.

• Vous permet de récupérer entièrement une instance de HSM managé en cas de sinistre. Les scénarios de sinistre couverts sont les suivants :

  • Défaillance catastrophique dans laquelle toutes les instances de HSM membres d’une instance de HSM managé sont détruites.
  • L’instance de HSM managé a été supprimée de manière réversible par un client, et la ressource a été purgée après l’expiration de la période de conservation obligatoire.
  • Le client a archivé un projet en effectuant une sauvegarde qui incluait l’instance de HSM managé et toutes les données, puis a supprimé toutes les ressources Azure qui étaient associées au projet.

Sans le domaine de sécurité, une récupération d’urgence n’est pas possible. Microsoft n’a aucun moyen de récupérer le domaine de sécurité, et Microsoft ne peut pas accéder à vos clés sans le domaine de sécurité. La protection du domaine de sécurité est donc de la plus haute importance pour la continuité de votre activité, et pour garantir que vous n’êtes pas verrouillé par chiffrement.

Meilleures pratiques en matière de protection du domaine de sécurité

Implémentez les meilleures pratiques suivantes pour garantir la protection de votre domaine de sécurité.

Téléchargement du domaine de sécurité chiffré

Le domaine de sécurité est généré à la fois dans le matériel du HSM managé et les enclaves du logiciel de service durant l’initialisation. Une fois le HSM managé provisionné, vous devez créer au moins trois paires de clés RSA, et envoyer les clés publiques au service lorsque vous avez demandé le téléchargement du domaine de sécurité. Vous devez également spécifier le nombre minimal de clés nécessaires (le quorum) pour déchiffrer le domaine de sécurité à l’avenir.

Le HSM managé va initialiser le domaine de sécurité et le chiffrer avec les clés publiques que vous fournissez à l’aide de l’algorithme de partage de clé secrète de Shamir. Une fois le domaine de sécurité téléchargé, le HSM managé passe à un état activé et prêt à être consommé.

Stockage des clés de domaine de sécurité

Les clés d’un domaine de sécurité doivent être conservées dans un stockage hors connexion (par exemple, un lecteur USB chiffré), chaque fractionnement du quorum se trouvant sur un dispositif de stockage distinct. Les dispositifs de stockage doivent être conservés dans des emplacements géographiques distincts, et dans un coffre-fort ou un boîtier. Pour les cas d’usage ultra-sensibles et avec niveau d'assurance élevé, vous pouvez même choisir de stocker vos clés privées de domaine de sécurité sur votre HSM local hors connexion.

Il est particulièrement important de revoir périodiquement votre stratégie de sécurité de sécurité concernant le quorum de HSM managé. Votre stratégie de sécurité doit être exacte, vous devez disposer d’enregistrements à jour concernant l’emplacement de stockage du domaine de sécurité et de ses clés privées, et vous devez savoir qui contrôle le domaine de sécurité.

Voici les interdictions de la gestion des clés de domaine de sécurité :

• Une personne ne doit jamais être autorisée à accéder physiquement aux clés du quorum. En d’autres termes, la valeur de m doit être supérieure à 1 (et idéalement être >=3).
• Les clés de domaine de sécurité ne doivent jamais être stockées sur un ordinateur qui dispose d’une connexion à Internet. Un ordinateur disposant d’une connexion Internet est exposé à différentes menaces, telles que des virus et des pirates informatiques. Vous réduisez considérablement vos risques en stockant les clés de domaine de sécurité hors connexion.

Établissement d’un quorum de domaine de sécurité

La meilleure façon de protéger un domaine de sécurité et d’empêcher le verrouillage de chiffrement consiste à implémenter un contrôle par plusieurs personnes, sur la base du concept de HSM managé quorum. Un quorum est un seuil de secret fractionné pour diviser la clé qui chiffre le domaine de sécurité entre plusieurs personnes. Un quorum applique le contrôle de plusieurs personnes. De cette façon, le domaine de sécurité ne dépend pas d’une seule personne qui pourrait quitter l’organisation ou avoir une intention malveillante.

Nous vous recommandons d’implémenter un quorum de m personnes, où m est supérieur ou égal à 3. La taille de quorum maximale du domaine de sécurité pour un HSM managé est de 10.

Bien qu’une taille supérieure (m) offre davantage de sécurité, elle impose une surcharge administrative en termes de gestion du domaine de sécurité. Il est donc impératif de choisir soigneusement le quorum du domaine de sécurité, avec au moins m>= 3.

La taille du quorum du domaine de sécurité doit également être revue et mise à jour périodiquement (par exemple, en cas de changement de personnel). Il est particulièrement important de conserver des enregistrements des titulaires de domaine de sécurité. Vos dossiers doivent documenter chaque transfert ou changement de possession. Votre stratégie doit appliquer un respect rigoureux des exigences de quorum et de documentation.

Étant donné que les clés permettent d’accéder aux informations les plus sensibles et critiques de votre HSM managé, les clés privées de domaine de sécurité doivent être détenues par des employés principaux et approuvés dans le organization. Les détenteurs du domaine de sécurité doivent avoir des rôles distincts et être géographiquement séparés au sein de l’organisation.

Par exemple, un quorum de domaine de sécurité pourrait comporter quatre paires de clés, chaque clé privée étant confiée à une personne distincte. Au moins deux personnes devraient être réunies pour reconstruire un domaine de sécurité. Les parties pourraient être confiées à du personnel de clé, par exemple :

• Directeur technique de division commerciale
• Architecte de la sécurité
• Ingénieur Sécurité
• Développeur d’applications

Chaque organisation est spécifique et applique une stratégie de sécurité qui lui est propre en fonction de ses besoins. Nous vous recommandons de réviser la conformité de votre stratégie de sécurité et de prendre des décisions sur le quorum et sa taille à intervalles réguliers. Votre organisation peut choisir le calendrier de la révision, mais nous vous recommandons d’effectuer une révision de domaine de sécurité au moins une fois par trimestre, et également à ces moments :

• Lorsqu’un membre du quorum quitte l’organisation.
• Lorsqu’une menace nouvelle ou émergente vous amène à décider d’augmenter la taille du quorum.
• Lorsque l’implémentation du quorum fait l’objet d’un changement de processus.
• Lorsqu’un lecteur USB ou un HSM appartenant à un membre du quorum du domaine de sécurité est perdu ou compromis.

Compromission ou perte du domaine de sécurité

Si votre domaine de sécurité est compromis, un acteur malveillant pourrait l’utiliser pour créer sa propre instance de HSM managé. Cet acteur malveillant pourrait utiliser l’accès aux sauvegardes de clé pour commencer à déchiffrer les données protégées à l’aide des clés présentes sur le HSM managé.

Un domaine de sécurité perdu est considéré comme compromis.

Lorsqu'un domaine de sécurité est compromis, toutes les données cryptées par le HSM géré actuel doivent être décryptées à l'aide des clés actuelles. Une nouvelle instance d'Azure Key Vault HSM managé doit être provisionnée et un nouveau domaine de sécurité pointant vers la nouvelle URL doit être implémenté.

Étant donné qu’il n’existe aucun moyen de migrer le matériel de clé d’un instance de HSM managé vers un autre instance ayant un domaine de sécurité différent, l’implémentation du domaine de sécurité doit être bien pensée et doit être protégée par un enregistrement précis et périodiquement révisé.

Résumé

Le domaine de sécurité et ses clés privées correspondantes jouent un rôle important dans les opérations de HSM managé. Ces artefacts sont analogues à la combinaison d’un coffre, et une gestion médiocre pourrait facilement comprendre des algorithmes et systèmes forts. Si la combinaison d’un coffre est connue d’un adversaire, le coffre le plus fort n’offre aucune sécurité. Une gestion correcte du domaine de sécurité et de ses clés privées est essentielle pour l’utilisation effective du HSM managé.

Nous vous recommandons vivement de consulter la publication spéciale NIST 800-57 pour découvrir les meilleures pratiques de gestion des clés, avant de développer et d’implémenter les stratégies, les systèmes et les normes nécessaires au respect et à l’amélioration des objectifs de sécurité de votre organisation.

Étapes suivantes

• Lire une présentation d’un HSM managé.
• Découvrez comment gérer votre HSM managé à l’aide d’Azure CLI.
• Passer en revue les bonnes pratiques liées à un HSM managé.