Overzicht van beveiligingsdomein in beheerde HSM

Een beheerde HSM is een single-tenant, Federal Information Processing Standards (FIPS) 140-2 gevalideerd, maximaal beschikbaar, hardwarebeveiligingsmodule (HSM) met een door de klant beheerd beveiligingsdomein.

Als u wilt werken, moet een beheerde HSM een beveiligingsdomein hebben. Het beveiligingsdomein is een versleuteld blobbestand dat artefacten bevat zoals de HSM-back-up, gebruikersreferenties, de ondertekeningssleutel en de gegevensversleutelingssleutel die uniek is voor de beheerde HSM.

Een beheerd HSM-beveiligingsdomein dient de volgende doeleinden:

• Stelt 'eigendom' vast door elke beheerde HSM cryptografisch te koppelen aan een hoofdsleutel van vertrouwenssleutels onder uw enige controle. Dit zorgt ervoor dat Microsoft geen toegang heeft tot uw cryptografische sleutelmateriaal op de beheerde HSM.

• Hiermee stelt u de cryptografische grens voor sleutelmateriaal in een beheerd HSM-exemplaar in.

• Hiermee kunt u een beheerd HSM-exemplaar volledig herstellen als er een noodgeval is. De volgende scenario's voor noodgevallen worden behandeld:

  • Een onherstelbare fout waarbij alle HSM-exemplaren van een beheerd HSM-exemplaar worden vernietigd.
  • Het beheerde HSM-exemplaar is voorlopig verwijderd door een klant en de resource is verwijderd nadat de verplichte bewaarperiode is verlopen.
  • De klant heeft een project gearchiveerd door een back-up uit te voeren met het beheerde HSM-exemplaar en alle gegevens, en vervolgens alle Azure-resources verwijderd die aan het project zijn gekoppeld.

Zonder het beveiligingsdomein is herstel na noodgevallen niet mogelijk. Microsoft kan het beveiligingsdomein niet herstellen en Microsoft heeft geen toegang tot uw sleutels zonder het beveiligingsdomein. Het beveiligen van het beveiligingsdomein is daarom van het grootste belang voor uw bedrijfscontinuïteit en om ervoor te zorgen dat u niet cryptografisch bent vergrendeld.

Best practices voor beveiliging van beveiligingsdomeinen

Implementeer de volgende aanbevolen procedures om de beveiliging van uw beveiligingsdomein te waarborgen.

Het versleutelde beveiligingsdomein downloaden

Het beveiligingsdomein wordt gegenereerd in zowel de beheerde HSM-hardware als de servicesoftware-enclaves tijdens de initialisatie. Nadat de beheerde HSM is ingericht, moet u ten minste drie RSA-sleutelparen maken en de openbare sleutels naar de service verzenden wanneer u de download van het beveiligingsdomein aanvraagt. U moet ook het minimale aantal sleutels opgeven dat is vereist (het quorum) om het beveiligingsdomein in de toekomst te ontsleutelen.

De beheerde HSM initialiseert het beveiligingsdomein en versleutelt het met de openbare sleutels die u opgeeft met behulp van het algoritme voor geheim delen van Shamir. Nadat het beveiligingsdomein is gedownload, wordt de beheerde HSM geactiveerd en is deze gereed voor gebruik.

De beveiligingsdomeinsleutels opslaan

De sleutels voor een beveiligingsdomein moeten worden opgeslagen in offlineopslag (zoals op een versleuteld USB-station), waarbij elk deel van het quorum op een afzonderlijk opslagapparaat wordt gesplitst. De opslagapparaten moeten worden bewaard op afzonderlijke geografische locaties en in een fysieke kluis of vergrendelingsvak. Voor gebruiksscenario's met een hoge zekerheid kunt u er zelfs voor kiezen om uw persoonlijke sleutels van uw beveiligingsdomein op te slaan in uw on-premises, offline HSM.

Het is vooral belangrijk dat u uw beveiligingsbeleid regelmatig controleert voor het beheerde HSM-quorum. Uw beveiligingsbeleid moet nauwkeurig zijn, u moet up-to-date records hebben van waar het beveiligingsdomein en de bijbehorende persoonlijke sleutels worden opgeslagen en u moet weten wie de controle heeft over het beveiligingsdomein.

Hier volgen verbodsbepalingen voor sleutelafhandeling van beveiligingsdomeinen:

• Eén persoon mag nooit fysieke toegang hebben tot alle quorumsleutels. Met andere woorden, m moet groter zijn dan 1 (en moet idealiter = 3 zijn >).
• De beveiligingsdomeinsleutels mogen nooit worden opgeslagen op een computer met een internetverbinding. Een computer die is verbonden met internet, wordt blootgesteld aan verschillende bedreigingen, zoals virussen en kwaadwillende hackers. U vermindert het risico aanzienlijk door de beveiligingsdomeinsleutels offline op te slaan.

Een beveiligingsdomeinquorum tot stand brengen

De beste manier om een beveiligingsdomein te beveiligen en cryptografische vergrendeling te voorkomen, is door beheer van meerdere personen te implementeren met behulp van het beheerde HSM-conceptquorum. Een quorum is een drempelwaarde voor gesplitst geheim om de sleutel te verdelen die het beveiligingsdomein tussen meerdere personen versleutelt. Een quorum dwingt controle van meerdere personen af. Op deze manier is het beveiligingsdomein niet afhankelijk van één persoon, die de organisatie kan verlaten of kwaadwillende bedoelingen heeft.

U wordt aangeraden een quorum van m personen te implementeren, waarbij m deze groter is dan of gelijk is aan 3. De maximale quorumgrootte van het beveiligingsdomein voor een beheerde HSM is 10.

Hoewel een hogere m grootte meer beveiliging biedt, legt het verdere administratieve overhead op in termen van het afhandelen van het beveiligingsdomein. Het is daarom noodzakelijk dat het quorum van het beveiligingsdomein zorgvuldig wordt gekozen, met ten minste m>= 3.

De quorumgrootte van het beveiligingsdomein moet ook periodiek worden gecontroleerd en bijgewerkt (in het geval van personeelswijzigingen, bijvoorbeeld). Het is vooral belangrijk om records van beveiligingsdomeinhouders bij te houden. Uw records moeten elke hand-off of wijziging van het bezit vastleggen. Uw beleid moet een strikte naleving van quorum- en documentatievereisten afdwingen.

Omdat de sleutels toegang bieden tot de meest gevoelige en kritieke informatie van uw beheerde HSM, moeten de persoonlijke sleutels van het beveiligingsdomein worden bewaard door primaire, vertrouwde werknemers in de organisatie. Beveiligingsdomeinhouders moeten afzonderlijke rollen hebben en geografisch worden gescheiden binnen uw organisatie.

Een quorum van een beveiligingsdomein kan bijvoorbeeld bestaan uit vier sleutelparen, waarbij elke persoonlijke sleutel aan een andere persoon wordt gegeven. Er moeten minimaal twee personen bijeenkomen om een beveiligingsdomein te reconstrueren. De onderdelen kunnen worden gegeven aan sleutelpersoneel, zoals:

• Technische hoofd bedrijfseenheid
• Beveiligingsarchitect
• Security Engineer
• Toepassingsontwikkelaar

Elke organisatie is anders en dwingt een ander beveiligingsbeleid af op basis van zijn behoeften. We raden u aan uw beveiligingsbeleid regelmatig te controleren op naleving en beslissingen te nemen over het quorum en de grootte ervan. Uw organisatie kan de timing van de beoordeling kiezen, maar we raden u aan ten minste één keer per kwartaal een beveiligingsdomeinbeoordeling uit te voeren, en ook op deze momenten:

• Wanneer een lid van het quorum de organisatie verlaat.
• Wanneer een nieuwe of opkomende bedreiging u besluit om de grootte van het quorum te vergroten.
• Wanneer er een proceswijziging is bij het implementeren van het quorum.
• Wanneer een USB-station of HSM dat deel uitmaakt van een lid van het quorum van het beveiligingsdomein verloren gaat of is gecompromitteerd.

Inbreuk of verlies van beveiligingsdomein

Als uw beveiligingsdomein is aangetast, kan een kwaadwillende actor deze gebruiken om een eigen beheerde HSM-instantie te maken. De kwaadwillende actor kan de toegang tot sleutelback-ups gebruiken om te beginnen met het ontsleutelen van de gegevens die zijn beveiligd met de sleutels op de beheerde HSM.

Een verloren beveiligingsdomein wordt beschouwd als gecompromitteerd.

Nadat een beveiligingsdomein is gecompromitteerd, moeten alle gegevens die zijn versleuteld via de huidige beheerde HSM, worden ontsleuteld met behulp van het huidige sleutelmateriaal. Er moet een nieuw exemplaar van azure Key Vault Managed HSM worden ingericht en er moet een nieuw beveiligingsdomein worden geïmplementeerd dat verwijst naar de nieuwe URL.

Omdat er geen manier is om sleutelmateriaal te migreren van het ene exemplaar van beheerde HSM naar een ander exemplaar met een ander beveiligingsdomein, moet het implementeren van het beveiligingsdomein goed doordacht zijn en moet het worden beveiligd via nauwkeurige, periodiek gecontroleerd recordbeheer.

Samenvatting

Het beveiligingsdomein en de bijbehorende persoonlijke sleutels spelen een belangrijke rol in beheerde HSM-bewerkingen. Deze artefacten zijn vergelijkbaar met de combinatie van een veilig en slecht beheer kan gemakkelijk sterke algoritmen en systemen in gevaar brengen. Als een veilige combinatie bekend is bij een aanvaller, biedt de sterkste kluis geen beveiliging. Het juiste beheer van het beveiligingsdomein en de bijbehorende persoonlijke sleutels is essentieel voor het effectieve gebruik van de beheerde HSM.

We raden u ten zeerste aan om NIST Special Publication 800-57 te bekijken voordat u de beleidsregels, systemen en standaarden ontwikkelt en implementeert die nodig zijn om te voldoen aan de beveiligingsdoelstellingen van uw organisatie en deze te verbeteren.

Volgende stappen

• Lees een overzicht van beheerde HSM.
• Meer informatie over het beheren van uw beheerde HSM met behulp van de Azure CLI.
• Best practices voor beheerde HSM bekijken.