Biztonsági tartomány a felügyelt HSM-ben – áttekintés
A felügyelt HSM egy egybérlős, Federal Information Processing Standards (FIPS) 140-2 ellenőrzött, magas rendelkezésre állású hardveres biztonsági modul (HSM), amely ügyfél által ellenőrzött biztonsági tartománnyal rendelkezik.
A működéshez a felügyelt HSM-nek biztonsági tartománnyal kell rendelkeznie. A biztonsági tartomány egy titkosított blobfájl, amely olyan összetevőket tartalmaz, mint a HSM biztonsági mentése, a felhasználói hitelesítő adatok, az aláíró kulcs és a felügyelt HSM-hez egyedi adattitkosítási kulcs.
A felügyelt HSM biztonsági tartomány a következő célokat szolgálja:
A "tulajdonjogot" úgy hozza létre, hogy kriptográfiailag az egyes felügyelt HSM-eket az ön kizárólagos felügyelete alá tartozó megbízhatósági kulcsok gyökeréhez vonta. Ez biztosítja, hogy a Microsoft ne férhessen hozzá a felügyelt HSM titkosítási kulcsanyagához.
Egy felügyelt HSM-példány kulcsanyagának titkosítási határát állítja be.
Lehetővé teszi egy felügyelt HSM-példány teljes helyreállítását vészhelyzet esetén. A következő vészforgatókönyveket ismerteti:
- Katasztrofális hiba, amelyben egy felügyelt HSM-példány összes tag HSM-példánya megsemmisül.
- A felügyelt HSM-példányt az ügyfél helyreállíthatóan törölte, és az erőforrást a kötelező megőrzési időszak lejárta után törölték.
- Az ügyfél archivált egy projektet egy biztonsági mentés végrehajtásával, amely tartalmazza a felügyelt HSM-példányt és az összes adatot, majd törölte a projekthez társított összes Azure-erőforrást.
A biztonsági tartomány nélkül a vészhelyreállítás nem lehetséges. A Microsoft nem tudja helyreállítani a biztonsági tartományt, és a Microsoft nem tudja elérni a kulcsokat a biztonsági tartomány nélkül. A biztonsági tartomány védelme ezért rendkívül fontos az üzletmenet folytonossága szempontjából, és annak biztosítása érdekében, hogy ne zárják ki kriptográfiailag.
Ajánlott biztonsági tartományvédelmi eljárások
A következő ajánlott eljárások implementálása a biztonsági tartomány védelmének biztosításához.
A titkosított biztonsági tartomány letöltése
A biztonsági tartomány a felügyelt HSM-hardverben és a szolgáltatásszoftver-enklávékban is létre lesz hozva az inicializálás során. A felügyelt HSM kiépítése után létre kell hoznia legalább három RSA-kulcspárt, és a biztonsági tartomány letöltésének kérésekor el kell küldenie a nyilvános kulcsokat a szolgáltatásnak. Meg kell adnia a biztonsági tartomány jövőbeni visszafejtéséhez szükséges kulcsok minimális számát (kvórum).
A felügyelt HSM inicializálja a biztonsági tartományt, és a Shamir titkos megosztó algoritmusával megadott nyilvános kulcsokkal titkosítja. A biztonsági tartomány letöltése után a felügyelt HSM aktivált állapotba kerül, és használatra kész.
A biztonsági tartománykulcsok tárolása
A biztonsági tartomány kulcsait offline tárolóban (például titkosított USB-meghajtón) kell tárolni, a kvórum minden egyes felosztását külön tárolóeszközön kell tárolni. A tárolóeszközöket külön földrajzi helyen, fizikai széfben vagy zárdobozban kell tárolni. Az ultraérzékeny és nagy megbízhatóságú használati esetek esetén akár a helyszíni, offline HSM-ben is tárolhatja a biztonsági tartomány titkos kulcsait.
Különösen fontos, hogy rendszeresen tekintse át a felügyelt HSM kvórum biztonsági szabályzatát. A biztonsági szabályzatnak pontosnak kell lennie, naprakész rekordokat kell tartalmaznia arról, hogy a biztonsági tartomány és a titkos kulcsok hol vannak tárolva, és tudnia kell, hogy ki felügyeli a biztonsági tartományt.
A biztonsági tartomány kulcskezelési tilalmai a következők:
- Egy személynek soha nem szabad fizikai hozzáféréssel rendelkeznie az összes kvórumkulcshoz. Más szóval
m
1-nél nagyobbnak kell lennie (és ideális esetben = 3).> - A biztonsági tartománykulcsokat soha nem szabad internetkapcsolattal rendelkező számítógépen tárolni. Az internethez csatlakozó számítógépek különböző fenyegetéseknek vannak kitéve, például vírusoknak és rosszindulatú hackereknek. A biztonsági tartománykulcsok offline tárolásával jelentősen csökkentheti a kockázatot.
Biztonsági tartomány kvórumának létrehozása
A biztonsági tartományok védelmének és a titkosítási zárolás megelőzésének legjobb módja a többszemélyes vezérlés implementálása a felügyelt HSM-koncepció kvórumával. A kvórum egy titkos kulcs felosztási küszöbértéke, amely a biztonsági tartományt több személy között titkosítja. A kvórum kényszeríti a többszemélyes vezérlést. Így a biztonsági tartomány nem függ egyetlen személytől, aki elhagyhatja a szervezetet, vagy rosszindulatú szándékkal rendelkezik.
Javasoljuk, hogy a személyek kvórumát m
alkalmazza, ahol m
nagyobb vagy egyenlő a 3-nál. A felügyelt HSM biztonsági tartományának maximális kvórummérete 10.
Bár a nagyobb m
méret nagyobb biztonságot nyújt, további adminisztrációs többletterhelést ró a biztonsági tartomány kezelésére. Ezért elengedhetetlen, hogy a biztonsági tartomány kvórumát gondosan kell kiválasztani, legalább m
>= 3 értékgel.
A biztonsági tartomány kvórumméretét rendszeresen felül kell vizsgálni és frissíteni kell (például személyi változások esetén). Különösen fontos a biztonsági tartományok tulajdonosainak nyilvántartása. A nyilvántartásnak dokumentálnia kell az összes átadást vagy birtoklási változást. A szabályzatnak szigorúan be kell tartania a kvórumra és a dokumentációra vonatkozó követelményeket.
Mivel a kulcsok lehetővé teszik a felügyelt HSM legérzékenyebb és legkritikusabb információinak elérését, a biztonsági tartomány titkos kulcsait a szervezet elsődleges, megbízható alkalmazottainak kell tartaniuk. A biztonsági tartományok tulajdonosainak külön szerepköröknek kell lenniük, és földrajzilag el kell különíteniük a szervezeten belül.
Egy biztonsági tartomány kvóruma például négy kulcspárt tartalmazhat, és mindegyik titkos kulcsot egy másik személynek adja. Legalább két személynek össze kell jönnie egy biztonsági tartomány rekonstruálásához. A részek átadhatók a kulcsfontosságú személyzetnek, például:
- Üzletági műszaki vezető
- Biztonsági tervező
- Biztonsági mérnök
- Alkalmazásfejlesztő
Minden szervezet más, és az igényeinek megfelelően egy másik biztonsági szabályzatot kényszerít ki. Javasoljuk, hogy rendszeresen tekintse át a biztonsági szabályzatot a megfelelőség érdekében, és döntsön a kvórumról és annak méretéről. A szervezet kiválaszthatja a felülvizsgálat időzítését, de azt javasoljuk, hogy negyedévente legalább egyszer végezzen biztonsági tartományvizsgálatot, és az alábbi esetekben is:
- Amikor a kvórum egy tagja elhagyja a szervezetet.
- Amikor egy új vagy újonnan megjelenő fenyegetés miatt úgy dönt, hogy növeli a kvórum méretét.
- Amikor a kvórum megvalósítása folyamatban van.
- Ha a biztonsági tartomány kvórumának egy tagjának tartozó USB-meghajtó vagy HSM elveszik vagy megsérül.
Biztonsági tartomány biztonsága vagy elvesztése
Ha a biztonsági tartomány biztonsága sérül, egy rosszindulatú szereplő felhasználhatja saját felügyelt HSM-példány létrehozására. A rosszindulatú szereplő a kulcsok biztonsági mentéseinek hozzáférésével megkezdheti a felügyelt HSM kulcsaival védett adatok visszafejtését.
Az elveszett biztonsági tartomány sérültnek minősül.
A biztonsági tartomány feltörése után az aktuális felügyelt HSM-en keresztül titkosított összes adatot vissza kell fejteni az aktuális kulcsanyag használatával. Ki kell létesíteni az Azure Key Vault felügyelt HSM új példányát, és végre kell hajtani egy új biztonsági tartományt, amely az új URL-címre mutat.
Mivel a felügyelt HSM egyik példányáról nem lehet kulcsanyagot áttelepíteni egy másik, más biztonsági tartománnyal rendelkező példányra, a biztonsági tartomány implementálásának jól átgondoltnak kell lennie, és pontos, rendszeres időközönként áttekintett rekordkezeléssel kell védeni.
Összegzés
A biztonsági tartomány és a hozzá tartozó titkos kulcsok fontos szerepet játszanak a felügyelt HSM-műveletekben. Ezek az összetevők a biztonságoshoz hasonlóak, és a rossz felügyelet könnyen veszélyeztetheti az erős algoritmusokat és rendszereket. Ha egy támadó biztonságos kombinációt ismer, a legerősebb széf nem biztosít biztonságot. A felügyelt HSM hatékony használatához elengedhetetlen a biztonsági tartomány és a titkos kulcsok megfelelő kezelése.
Javasoljuk, hogy tekintse át a NIST 800-57 speciális kiadványát a legfontosabb felügyeleti ajánlott eljárásokhoz, mielőtt kialakítja és megvalósítja a szervezet biztonsági céljainak teljesítéséhez és továbbfejlesztéséhez szükséges szabályzatokat, rendszereket és szabványokat.
Következő lépések
- Olvassa el a felügyelt HSM áttekintését.
- Tudnivalók a felügyelt HSM Azure CLI-vel történő kezeléséről.
- Tekintse át a felügyelt HSM ajánlott eljárásait.