Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Managed HSM est un service HSM entièrement managé, hautement disponible et à locataire unique qui fournit la protection de clé de chiffrement validée FIPS 140-3 niveau 3 pour vos applications cloud. Étant donné que managed HSM protège vos clés de chiffrement et secrets les plus sensibles, l’implémentation de contrôles de sécurité complets est essentielle pour protéger contre les menaces et maintenir la continuité de l’activité.
Les recommandations de sécurité de cet article implémentent des principes de confiance zéro : « Vérifier explicitement », « Utiliser l’accès au privilège minimum » et « Supposer une violation ». Pour obtenir des conseils complets sur la confiance zéro, consultez le Centre d’aide sur la confiance Zéro.
Cet article fournit des recommandations de sécurité pour protéger votre déploiement Azure Managed HSM.
Sécurité réseau
La sécurité réseau protège votre HSM managé par le biais de la connectivité sécurisée et des contrôles d’accès réseau. Ces fonctionnalités de sécurité réseau sont classées de la plus restreinte à la moins restreinte en termes de capacités. Choisissez la configuration qui convient le mieux au cas d’usage de votre organisation. Pour plus d’informations sur toutes les configurations de sécurité réseau, consultez Sécurité réseau pour azure Key Vault Managed HSM.
Désactivez l’accès au réseau public et utilisez uniquement les points de terminaison privés : déployez Azure Private Link pour établir une connectivité privée sécurisée à votre instance HSM managée en créant un point de terminaison privé dans votre réseau virtuel. La désactivation de l’accès au réseau public empêche l’accès à partir d’adresses IP publiques en configurant votre HSM managé pour refuser l’accès au réseau public. Cela empêche l’exposition à l’Internet public et route tout le trafic sur le réseau principal Microsoft. Consultez Intégrer un HSM managé à Azure Private Link.
Configurez le pare-feu HSM managé avec des services approuvés : configurez les règles de pare-feu HSM managées pour refuser l’accès à Internet public tout en autorisant des services Azure approuvés spécifiques via le
--bypass AzureServicesparamètre requis par votre scénario. Cela limite la surface d’attaque tout en conservant les intégrations de service nécessaires. Pour plus d’informations, consultez Sécurité réseau : Pare-feu HSM managé activé (services approuvés).Activer le pare-feu réseau IP : limitez l’accès aux adresses IP statiques publiques lorsque les scénarios réseau nécessitent un accès public contrôlé. Pour plus d’informations, consultez Sécurité réseau : Pare-feu HSM managé activé (pare-feu réseau IP).
Pour obtenir des instructions de configuration pas à pas, consultez Comment configurer les paramètres réseau HSM managés Azure.
Gestion de l’identité et de l’accès
La gestion des identités et des accès sécurise l’authentification et l’autorisation pour vos ressources HSM managées. Le HSM géré utilise un modèle d’accès à double volet avec différents systèmes d’autorisation pour les opérations du plan de contrôle et du plan de données.
Implémentez le RBAC local de HSM managé pour l’accès au plan de contrôle : utilisez le RBAC local de HSM managé pour contrôler l’accès aux clés et aux opérations de chiffrement dans le HSM. Ce système d’autorisation fonctionne indépendamment d’Azure RBAC et fournit des autorisations granulaires pour les opérations de clé, les attributions de rôles et la gestion du domaine de sécurité. Consultez contrôle d’accès pour managed HSM.
Activez les identités managées pour l’accès aux applications : configurez les identités managées affectées par le système ou affectées par l’utilisateur pour que les applications s’authentifient auprès du HSM managé sans stocker d’informations d’identification dans du code ou des fichiers de configuration. Les identités managées s’intègrent à l’ID Microsoft Entra et gèrent automatiquement la rotation des informations d’identification. Consultez contrôle d’accès pour managed HSM.
Appliquez l’accès avec des privilèges minimum avec les étendues appropriées : accordez des autorisations à l’étendue la plus restrictive nécessaire, soit au niveau HSM (
/ou/keys) pour l’accès étendu ou au niveau clé (/keys/<key-name>) pour un accès à clé spécifique. Utilisez des rôles intégrés tels que l’agent de chiffrement HSM managé, l’utilisateur de chiffrement HSM managé ou l’auditeur de chiffrement HSM managé en fonction des opérations requises. Consultez contrôle d’accès pour managed HSM.Attribuez le rôle Administrateur HSM aux groupes de sécurité : accordez le rôle Administrateur HSM aux groupes de sécurité Microsoft Entra au lieu d’utilisateurs individuels pour empêcher le verrouillage accidentel si les comptes d’utilisateur sont supprimés. Cette approche simplifie la gestion des autorisations et garantit la continuité de l’accès administratif pendant le processus d’approvisionnement HSM. Consultez contrôle d’accès pour managed HSM.
Activez Privileged Identity Management pour les rôles d’administration : utilisez Microsoft Entra Privileged Identity Management (PIM) pour appliquer un accès juste-à-temps pour des rôles hautement privilégiés tels que l’administrateur HSM managé. PIM réduit le risque de privilèges administratifs permanents et fournit des flux de travail d’approbation pour un accès élevé. Consultez contrôle d’accès pour managed HSM.
Accès distinct au plan de contrôle et au plan de données : comprenez que l’accès au plan de contrôle (Azure RBAC) pour la gestion des ressources HSM n’accorde pas l’accès au plan de données aux clés. Affectez explicitement des rôles de plan de données via le RBAC local HSM managé aux utilisateurs qui doivent effectuer des opérations de clé. Consultez contrôle d’accès pour managed HSM.
Protection de données
La protection des données protège les clés de chiffrement et les données sensibles stockées dans le HSM managé par le biais du chiffrement, des stratégies de gestion des clés et des pratiques de stockage sécurisées. Une protection appropriée des données garantit que les éléments clés restent confidentiels et résistants aux falsifications.
Implémentez le contrôle multi-personne pour le domaine de sécurité : configurez un quorum de domaine de sécurité avec plusieurs paires de clés RSA (minimum 3 recommandé) pour empêcher le contrôle à personne unique sur la récupération HSM. Spécifiez un seuil de quorum qui exige que plusieurs titulaires de clés collaborent pour le déchiffrement du domaine de sécurité, ce qui garantit qu’aucun individu ne peut compromettre le HSM. Consultez la vue d’ensemble du domaine de sécurité.
Stocker des clés de domaine de sécurité hors connexion dans des emplacements sécurisés : conservez des clés privées de domaine de sécurité sur des périphériques de stockage chiffrés, tels que des lecteurs USB chiffrés stockés dans des emplacements géographiques distincts dans des coffres-forts physiques ou des zones de verrouillage. Ne stockez jamais les clés de domaine sécurisé sur des ordinateurs connectés à Internet afin de réduire l’exposition aux cybermenaces et de garantir la sécurité air-gap. Consultez la vue d’ensemble du domaine de sécurité.
Établissez des procédures de gestion des clés de domaine de sécurité : implémentez des stratégies pour l’examen périodique de la garde des clés de domaine de sécurité lorsque des modifications du personnel se produisent ou lorsque des clés peuvent être compromises. Documenter les responsabilités des titulaires du domaine de la sécurité, conserver des enregistrements précis des emplacements clés et de la garde, et garantir que l'assemblée nécessaire peut être réunie pour les scénarios de reprise après sinistre. Consultez la vue d’ensemble du domaine de sécurité.
Activer la protection contre le vidage pour HSM et les clés : configurez la protection contre le vidage pour empêcher la suppression définitive du HSM ou des clés individuelles avant l’expiration de la période de rétention. Ce contrôle protège contre la suppression accidentelle ou malveillante et fournit une fenêtre de récupération pour les opérations critiques. Voir Vue d’ensemble de la suppression réversible.
Configurez les périodes de rétention de suppression réversible appropriées : définissez les périodes de rétention de suppression réversible comprises entre 7 et 90 jours en fonction des besoins de récupération et de conformité. Les périodes de rétention plus longues fournissent davantage de temps de récupération, mais peuvent entrer en conflit avec les exigences de résidence des données. Voir Vue d’ensemble de la suppression réversible.
Enregistrement et surveillance
La journalisation et la supervision offrent une visibilité sur les modèles et opérations d’accès HSM, ce qui permet la détection des menaces et les rapports de conformité. La journalisation complète permet d’identifier les activités suspectes et de prendre en charge les enquêtes judiciaires.
Activez la journalisation d’audit avec les paramètres de diagnostic : configurez les paramètres de diagnostic pour capturer toutes les demandes d’API REST authentifiées, les opérations clés et les actions de domaine de sécurité dans la table AzureDiagnostics. Acheminer les journaux vers des comptes de stockage Azure, des espaces de travail Log Analytics ou Event Hubs en fonction de vos besoins en matière de rétention et d’analyse. Voir Journalisation pour HSM managé.
Analyser les journaux avec Azure Monitor et Log Analytics : Utilisez Azure Monitor pour collecter et analyser des journaux HSM via des requêtes KQL qui filtrent sur ResourceProvider « MICROSOFT.KEYVAULT » et ResourceType « MANAGEDHSMS ». Créez des tableaux de bord et des classeurs personnalisés pour les équipes d’opérations de sécurité afin de surveiller les modèles d’accès et l’utilisation des clés. Consultez Monitor Azure Managed HSM.
Configurer des alertes pour les événements de sécurité critiques : créez des règles d’alerte Azure Monitor pour les événements tels que la disponibilité HSM tombe sous 100%, la latence de l’API de service dépassant les seuils, les modèles de code d’erreur inhabituels ou les tentatives d’authentification ayant échoué. Configurez les alertes de seuil statique et de seuil dynamique pour réduire les faux positifs tout en conservant la visibilité de la sécurité. Consultez Configurer des alertes HSM managées.
Intégrer à Microsoft Sentinel pour la détection avancée des menaces : déployez Microsoft Sentinel pour détecter automatiquement les activités suspectes à l’aide d’analyses Machine Learning et de règles de détection personnalisées spécifiques aux opérations HSM managées. Créez des règles analytiques pour les opérations sensibles telles que les téléchargements de domaine de sécurité, les opérations de clé en bloc ou les modèles d’accès anormal. Consultez Configuration de Microsoft Sentinel pour Azure Managed HSM.
Implémentez des stratégies de rétention des journaux appropriées : établissez des périodes de rétention des journaux qui répondent aux exigences de conformité et prennent en charge les enquêtes d’investigation. Utilisez des stratégies de rétention Log Analytics Azure Monitor pour gérer les coûts de stockage tout en conservant des fonctionnalités d’investigation adéquates pour les incidents de sécurité. Consultez Monitor Azure Managed HSM.
Gouvernance et conformité
Les contrôles de conformité et de gouvernance garantissent que votre déploiement HSM managé répond aux exigences réglementaires et aux stratégies organisationnelles par le biais de l’application automatisée des stratégies et de la surveillance de la conformité.
Implémenter Azure Policy pour la gouvernance des clés : accordez le rôle « Vérificateur de chiffrement HSM managé » au « Service de gouvernance des clés HSM managés » (ID d’application : a1b76039-a76c-499f-a2dd-846b4cc32627) pour activer l’analyse de conformité Azure Policy, définissez ensuite des règles de stratégie pour auditer ou appliquer des configurations de clés sécurisées, notamment les exigences d’expiration des clés, les tailles minimales de clés RSA et les restrictions d’algorithme de courbe elliptique. Sans cette attribution de rôle, Azure Policy ne peut pas évaluer votre inventaire complet des clés. Consultez Intégrer Azure Managed HSM à Azure Policy.
Configurez le cycle de vie des clés et les normes de chiffrement : utilisez des définitions Azure Policy intégrées pour appliquer des dates d’expiration de clé, imposer des tailles minimales de clés RSA pour la conformité de la sécurité, restreindre le chiffrement de courbe elliptique aux noms de courbes approuvés (P-256, P-256K, P-384, P-521) et vérifier que les clés ont suffisamment de temps avant l’expiration des procédures de rotation. Consultez Intégrer Azure Managed HSM à Azure Policy.
Surveiller la conformité via les tableaux de bord Azure Policy : utilisez des tableaux de bord de conformité Azure Policy pour suivre l’adhésion aux normes de sécurité de chiffrement et identifier les clés non conformes qui nécessitent une correction. Configurez les effets de stratégie d’audit et de déni pour fournir une visibilité et une mise en œuvre des bases de référence de sécurité. Consultez Intégrer Azure Managed HSM à Azure Policy.
Sauvegarde et récupération
La sauvegarde et la récupération protège contre la perte de données et permet la continuité de l’activité par le biais de stratégies de sauvegarde appropriées, de procédures de récupération d’urgence et de tests de récupération pour garantir que les clés de chiffrement restent accessibles.
Créez des sauvegardes HSM complètes régulières : planifiez des sauvegardes HSM complètes automatisées qui incluent toutes les clés, versions, attributs, balises et attributions de rôles pour empêcher la perte de données des défaillances matérielles ou des incidents opérationnels. Utilisez des identités managées affectées par l’utilisateur pour les opérations de sauvegarde afin d’activer l’accès sécurisé aux comptes de stockage sans gestion des informations d’identification. Consultez sauvegarde et restauration complètes.
Implémentez des sauvegardes individuelles au niveau des clés pour les clés critiques : créez des sauvegardes sélectives de clés à valeur élevée à l’aide de la commande pour activer la
az keyvault key backuprécupération granulaire sans opérations complètes de restauration HSM. Les sauvegardes de clés sont chiffrées et liées par chiffrement au domaine de sécurité, ce qui signifie qu’elles ne peuvent être restaurées que sur des HSM partageant le même domaine de sécurité. Consultez sauvegarde et restauration complètes.Préparez des procédures complètes de récupération d’urgence : développez et testez des plans de récupération d’urgence qui incluent la récupération de domaine de sécurité à l’aide de paires de clés RSA, de procédures de restauration de sauvegarde et de nouvelles étapes de reconfiguration de l’application. Veillez à maintenir un accès hors connexion sécurisé aux fichiers de domaine de sécurité, aux clés privées (quorum minimal) et aux sauvegardes récentes stockées dans des emplacements géographiquement distincts. Consultez le guide de récupération d’urgence.
Tester régulièrement les procédures de sauvegarde et de restauration : effectuez régulièrement des exercices de récupération d’urgence à l’aide d’instances HSM hors production pour valider la récupération de domaine de sécurité, la restauration de sauvegarde et le flux de travail de récupération d’urgence complet. Le test garantit que les titulaires de quorum de domaine de sécurité peuvent exécuter correctement des opérations de récupération et vérifier l’intégrité de la sauvegarde. Consultez le guide de récupération d’urgence.
Stockage de sauvegarde sécurisé avec des contrôles d’accès appropriés : stockez les sauvegardes HSM dans les comptes de stockage Azure configurés avec les autorisations RBAC appropriées, les points de terminaison privés et les clés de chiffrement gérées par le client. Configurez l'identité managée assignée par l'utilisateur avec le rôle de Contributeur de données Blob de stockage et mettez en œuvre des stratégies de rétention de sauvegarde qui équilibrent les exigences de récupération et les coûts de stockage. Consultez sauvegarde et restauration complètes.
Sécurité spécifique au service
La sécurité spécifique au service traite des caractéristiques uniques du HSM managé, notamment la protection au niveau matériel, la conformité FIPS et les opérations de chiffrement spécialisées qui la distinguent d’autres services Azure.
Profitez de la validation matérielle FIPS 140-3 de niveau 3 : bénéficiez des modules de sécurité matériels validés FIPS 140-3 niveau 3 des HSM gérés, qui offrent un traitement cryptographique haute entropie et résistant aux falsifications, avec une isolation des clés basée sur le matériel. Cela fournit le niveau de protection de clé le plus élevé disponible dans Azure. Voir Qu’est-ce qu’Azure Managed HSM ?.
Implémentez bring-your-own-key (BYOK) pour la conformité réglementaire : utilisez BYOK pour importer des clés protégées par HSM à partir de HSM locaux lorsque les exigences réglementaires imposent des procédures spécifiques de génération de clés. BYOK garantit que les clés n’existent jamais en dehors des limites HSM sous forme de texte clair pendant le processus de transfert. Voir Qu’est-ce qu’Azure Managed HSM ?.
Utilisez l’isolation à locataire unique pour les charges de travail sensibles : tirez parti de l’architecture monolocataire du HSM managée, où chaque instance HSM est dédiée à un seul client et isolé par chiffrement via des domaines de sécurité spécifiques au client. Cela offre une isolation plus forte que les solutions multilocataires de coffre à clés. Voir Qu’est-ce qu’Azure Managed HSM ?.
Implémentez des procédures d’attestation clés appropriées : utilisez les fonctionnalités d’attestation clés pour prouver que les clés ont été générées et traitées dans les limites matérielles fiPS 140-3 de niveau 3. L’attestation de clé fournit une preuve de chiffrement de provenance de clé pour les scénarios de haute assurance. Voir Attestation clé.
Configurez la réplication interrégion pour la continuité d’activité : activez la réplication multirégion pour étendre votre HSM managé d’une région primaire à une région étendue, en fournissant un déploiement actif-actif avec la réplication automatisée. Les deux régions peuvent traiter les demandes et le Traffic Manager redirige les demandes vers la région disponible la plus proche, ce qui augmente le SLA combiné à 99,99 %. Consultez la réplication multirégion.
Étapes suivantes
- Sécurité réseau pour azure Key Vault Managed HSM
- Guide pratique pour configurer les paramètres de mise en réseau Azure Managed HSM
- Intégrer à Azure Private Link
- Contrôle d’accès
- Rôles RBAC locaux intégrés au HSM managé
- Intégrer à Azure Policy
- Vue d’ensemble du domaine de sécurité
- Concepts de base de la sécurité Azure