Sicurezza fisica di HSM dedicato di Azure
HSM dedicato di Azure consente di soddisfare requisiti di sicurezza avanzati per l'archiviazione delle chiavi. Viene gestito seguendo procedure di sicurezza rigorose nell'intero ciclo di vita, per soddisfare le esigenze dei clienti.
Sicurezza tramite approvvigionamento
Microsoft segue un processo di approvvigionamento sicuro. Gestisce la catena di custodia e verifica che lo specifico dispositivo ordinato e spedito sia quello consegnato nei data center. I dispositivi sono in contenitori e sacchetti di plastica in caso di manomissione serializzati. Vengono conservati in un'area di deposito protetta finché non vengono messi in funzione nella sala dati del data center. Il rack che contengono i dispositivi HSM sono considerati ad alto impatto aziendale (High Business Impact, HBI). I dispositivi sono fissati e sottoposti a videosorveglianza costante dalla parte frontale e posteriore.
Sicurezza tramite la distribuzione
I moduli di protezione hardware vengono installati in rack insieme ai componenti di rete associati. Dopo l'installazione, devono essere configurati prima di essere resi disponibili come parte del servizio HSM dedicato di Azure. L'attività di configurazione viene eseguita da dipendenti Microsoft che sono stati sottoposti a un controllo dei precedenti penali. Per limitare l'accesso ai soli dipendenti autorizzati e solo per il tempo necessario, viene usata l'amministrazione JIT. Le procedure e i sistemi usati assicurano inoltre che tutte le attività correlate ai dispositivi HSM sia registrata.
Sicurezza nelle operazioni
I dispositivi HSM sono appliance hardware (l'effettivo modulo di protezione hardware è una scheda PCI all'interno dell'appliance), quindi è possibile che si verifichino problemi a livello di componenti. I problemi potenziali includono, ad esempio, guasti di alimentatori e ventole. Gli eventi di questo tipo richiedono attività di manutenzione o riparazione per sostituire i componenti rimovibili.
Sostituzione di componenti
Dopo il provisioning e quando la gestione del dispositivo è affidata al cliente, l'alimentatore con tecnologia hot swap è l'unico componente che può essere sostituito. Questo componente è all'esterno del limite di sicurezza e non causa un evento di manomissione. Un sistema di creazione ticket viene usato per autorizzare un tecnico Microsoft ad accedere alla parte posteriore del rack ad alto impatto aziendale. Quando il ticket viene elaborato, viene rilasciata una chiave fisica temporanea. Questa chiave offre al tecnico l'accesso al dispositivo e consente di sostituire il componente interessato. Qualsiasi altro accesso (vale a dire che causi un evento di manomissione) verrebbe eseguito quando il dispositivo non è allocato al cliente, riducendo così al minimo i rischi per la disponibilità e la sicurezza.
Sostituzione del dispositivo
In caso di guasto completo del dispositivo, viene seguito un processo simile a quello usato per il guasto di un componente. Se il cliente non è in grado di impostare su zero il dispositivo o quest'ultimo è in uno stato sconosciuto, i dispositivi contenenti dati verranno rimossi e inseriti in un contenitore per la distruzione interno al rack. I dispositivi collocati nel contenitore verranno distrutti in modo controllato e sicuro. Nessun dispositivo contenente dati proveniente da un rack ad alto impatto aziendale lascerà un data center Microsoft.
Altre attività di accesso al rack
Se un tecnico Microsoft deve accedere al rack usato dai dispositivi HSM (ad esempio per la manutenzione dei dispositivi di rete), per accedere al rack HBI protetto verranno seguire le procedure di sicurezza standard. Tutti gli accessi saranno sottoposti a videosorveglianza. I dispositivi HSM sono convalidati FIPS 140-2 Livello 3, pertanto qualsiasi accesso non autorizzato verrà segnalato al cliente e i dati verranno impostati su zero.
Considerazioni sulla sicurezza a livello logico
Il provisioning dei moduli di protezione hardware viene eseguito in una rete virtuale creata dal cliente all'interno dello spazio indirizzi IP privato del cliente. Questa configurazione offre un utile isolamento a livello di rete logica e garantisce l'accesso esclusivo al cliente. Ciò implica che tutti i controlli di sicurezza a livello logico sono responsabilità del cliente.
Passaggi successivi
Prima di eseguire il provisioning di dispositivi o di iniziare la progettazione o distribuzione di applicazioni, è consigliabile aver ben compreso tutti i concetti chiave relativi al servizio, ad esempio disponibilità elevata, sicurezza e supporto.