Panoramica del dominio di sicurezza nel modulo di protezione hardware gestito
Un modulo di protezione hardware gestito è un singolo tenant, FIPS (Federal Information Processing Standards) convalidato da 140-2, a disponibilità elevata, modulo di protezione hardware (HSM) con un dominio di sicurezza controllato dal cliente.
Per operare, un modulo di protezione hardware gestito deve avere un dominio di sicurezza. Il dominio di sicurezza è un file BLOB crittografato che contiene artefatti come il backup del modulo di protezione hardware, le credenziali utente, la chiave di firma e la chiave di crittografia dei dati univoca per il modulo di protezione hardware gestito.
Un dominio di sicurezza del modulo di protezione hardware gestito ha gli scopi seguenti:
Stabilisce la "proprietà" legando crittograficamente ogni modulo di protezione hardware gestito a una radice di chiavi di trust sotto il solo controllo. Ciò garantisce che Microsoft non abbia accesso al materiale della chiave crittografica nel modulo di protezione hardware gestito.
Imposta il limite crittografico per il materiale della chiave in un'istanza del modulo di protezione hardware gestito.
Consente di ripristinare completamente un'istanza del modulo di protezione hardware gestito in caso di emergenza. Vengono illustrati gli scenari di emergenza seguenti:
- Un errore irreversibile in cui tutte le istanze del modulo di protezione hardware membro di un'istanza del modulo di protezione hardware gestito vengono eliminate definitivamente.
- L'istanza gestita del modulo di protezione hardware è stata eliminata temporaneamente da un cliente e la risorsa è stata rimossa definitivamente dopo la scadenza del periodo di conservazione obbligatorio.
- Il cliente ha archiviato un progetto eseguendo un backup che includeva l'istanza del modulo di protezione hardware gestito e tutti i dati e quindi eliminato tutte le risorse di Azure associate al progetto.
Senza il dominio di sicurezza, il ripristino di emergenza non è possibile. Microsoft non è in grado di ripristinare il dominio di sicurezza e Microsoft non può accedere alle chiavi senza il dominio di sicurezza. La protezione del dominio di sicurezza è quindi della massima importanza per la continuità aziendale e per assicurarsi che non si sia bloccati in modo crittografico.
Procedure consigliate per la protezione del dominio di sicurezza
Implementare le procedure consigliate seguenti per garantire la protezione del dominio di sicurezza.
Download del dominio di sicurezza crittografato
Il dominio di sicurezza viene generato sia nell'hardware del modulo di protezione hardware gestito che nelle enclave software del servizio durante l'inizializzazione. Dopo il provisioning del modulo di protezione hardware gestito, è necessario creare almeno tre coppie di chiavi RSA e inviare le chiavi pubbliche al servizio quando si richiede il download del dominio di sicurezza. È anche necessario specificare il numero minimo di chiavi necessarie (quorum) per decrittografare il dominio di sicurezza in futuro.
Il modulo di protezione hardware gestito inizializza il dominio di sicurezza e lo crittografa con le chiavi pubbliche fornite usando l'algoritmo di condivisione dei segreti di Shamir. Dopo il download del dominio di sicurezza, il modulo di protezione hardware gestito passa a uno stato attivato ed è pronto per l'utilizzo.
Archiviazione delle chiavi del dominio di sicurezza
Le chiavi di un dominio di sicurezza devono essere mantenute nello spazio di archiviazione offline (ad esempio in un'unità USB crittografata), con ogni divisione del quorum in un dispositivo di archiviazione separato. I dispositivi di archiviazione devono essere mantenuti in posizioni geografiche separate e in una cassetta di sicurezza fisica o di blocco. Per i casi d'uso ultrasensibili e ad alta garanzia, è anche possibile scegliere di archiviare le chiavi private del dominio di sicurezza nel modulo di protezione hardware offline locale.
È particolarmente importante esaminare periodicamente i criteri di sicurezza per il quorum del modulo di protezione hardware gestito. I criteri di sicurezza devono essere accurati, è necessario disporre di record aggiornati in cui sono archiviati il dominio di sicurezza e le relative chiavi private ed è necessario conoscere chi ha il controllo del dominio di sicurezza.
Di seguito sono riportati i divieti di gestione delle chiavi del dominio di sicurezza:
- Una persona non deve mai avere accesso fisico a tutte le chiavi quorum. In altre parole,
mdeve essere maggiore di 1 (e idealmente deve essere >= 3). - Le chiavi del dominio di sicurezza non devono mai essere archiviate in un computer che dispone di una connessione Internet. Un computer connesso a Internet è esposto a varie minacce, ad esempio virus e hacker malintenzionati. È possibile ridurre significativamente il rischio archiviando le chiavi del dominio di sicurezza offline.
Definizione di un quorum del dominio di sicurezza
Il modo migliore per proteggere un dominio di sicurezza e impedire il blocco crittografico consiste nell'implementare il controllo in più persone usando il concetto di modulo di protezione hardware gestito quorum. Un quorum è una soglia del segreto diviso al fine di dividere la chiave che crittografa il dominio di sicurezza tra più persone. Un quorum assegna il controllo a più persone. In questo modo, il dominio di sicurezza non dipende da una singola persona, che potrebbe lasciare l'organizzazione o avere finalità dannose.
È consigliabile implementare un quorum di m persone, in cui m è maggiore o uguale a 3. La dimensione massima del quorum del dominio di sicurezza per un modulo di protezione hardware gestito è 10.
Sebbene una dimensione superiore a m offra maggiore sicurezza, impone un ulteriore sovraccarico amministrativo in termini di gestione del dominio di sicurezza. È quindi fondamentale scegliere attentamente il quorum del dominio di sicurezza, con almeno m>= 3.
Anche le dimensioni del quorum del dominio di sicurezza devono essere esaminate e aggiornate periodicamente (nel caso di modifiche del personale, ad esempio). È particolarmente importante conservare i record dei titolari del dominio di sicurezza. I tuoi record devono documentare ogni consegna o modifica del possesso. I criteri devono applicare una rigorosa conformità ai requisiti di quorum e documentazione.
Poiché le chiavi consentono l'accesso alle informazioni più sensibili e critiche del modulo di protezione hardware gestito, le chiavi private del dominio di sicurezza devono essere mantenute dai dipendenti primari e attendibili dell'organizzazione. I titolari del dominio di sicurezza devono avere ruoli separati e essere separati geograficamente all'interno dell'organizzazione.
Ad esempio, un quorum del dominio di sicurezza può includere quattro coppie di chiavi, con ogni chiave privata assegnata a una persona diversa. Almeno due persone dovranno riunirsi per ricostruire un dominio di sicurezza. Le parti possono essere date al personale chiave, ad esempio:
- Business Unit Technical Lead
- Security Architect
- Ingegnere della sicurezza
- Sviluppatore di applicazioni
Ogni organizzazione è diversa e applica criteri di sicurezza diversi in base alle proprie esigenze. È consigliabile esaminare periodicamente i criteri di sicurezza per la conformità e prendere decisioni relative al quorum e alle relative dimensioni. L'organizzazione può scegliere la tempistica della revisione, ma è consigliabile eseguire una verifica del dominio di sicurezza almeno una volta ogni trimestre e anche in questi casi:
- Quando un membro del quorum lascia l'organizzazione.
- Quando una minaccia nuova o emergente consente di decidere di aumentare le dimensioni del quorum.
- Quando si verifica una modifica del processo nell'implementazione del quorum.
- Quando un'unità USB o un modulo di protezione hardware appartenente a un membro del quorum del dominio di sicurezza viene perso o compromesso.
Compromissione o perdita del dominio di sicurezza
Se il dominio di sicurezza è compromesso, un attore malintenzionato potrebbe usarlo per creare una propria istanza del modulo di protezione hardware gestito. L'attore malintenzionato può usare l'accesso ai backup delle chiavi per iniziare a decrittografare i dati protetti con le chiavi nel modulo di protezione hardware gestito.
Un dominio di sicurezza perso viene considerato compromesso.
Dopo la compromissione di un dominio di sicurezza, tutti i dati crittografati tramite il modulo di protezione hardware gestito corrente devono essere decrittografati usando il materiale della chiave corrente. È necessario effettuare il provisioning di una nuova istanza del modulo di protezione hardware gestito di Azure Key Vault e implementare un nuovo dominio di sicurezza che punta al nuovo URL.
Poiché non è possibile eseguire la migrazione del materiale della chiave da un'istanza del modulo di protezione hardware gestito a un'altra istanza con un dominio di sicurezza diverso, l'implementazione del dominio di sicurezza deve essere ben ponderata e deve essere protetta tramite una conservazione accurata e periodicamente esaminata.
Riepilogo
Il dominio di sicurezza e le chiavi private corrispondenti svolgono una parte importante nelle operazioni dell’HSM gestito. Questi artefatti sono analoghi alla combinazione di una cassaforte e una scarsa gestione potrebbe compromettere facilmente algoritmi e sistemi avanzati. Se una combinazione sicura è nota a un antagonista, la migliore sicurezza non garantisce nulla. La corretta gestione del dominio di sicurezza e delle relative chiavi private è essenziale per l'uso efficace dell’HSM gestito.
È consigliabile esaminare la pubblicazione NIST Special Publication 800-57 per le procedure consigliate per la gestione delle chiavi prima di sviluppare e implementare i criteri, i sistemi e gli standard necessari per soddisfare e migliorare gli obiettivi di sicurezza dell'organizzazione.