Omówienie domeny zabezpieczeń w zarządzanym module HSM

Zarządzany moduł HSM to jednodostępny, federal information processing standards (FIPS) 140-2 zweryfikowany, wysoce dostępny, sprzętowy moduł zabezpieczeń (HSM), który ma domenę zabezpieczeń kontrolowaną przez klienta.

Aby można było działać, zarządzany moduł HSM musi mieć domenę zabezpieczeń. Domena zabezpieczeń to zaszyfrowany plik obiektów blob, który zawiera artefakty, takie jak kopia zapasowa modułu HSM, poświadczenia użytkownika, klucz podpisywania i klucz szyfrowania danych unikatowy dla zarządzanego modułu HSM.

Domena zabezpieczeń zarządzanego modułu HSM służy do następujących celów:

• Ustanawia "własność" przez kryptograficzne wiązanie każdego zarządzanego modułu HSM z katalogiem głównym kluczy zaufania pod wyłączną kontrolą. Dzięki temu firma Microsoft nie ma dostępu do materiałów klucza kryptograficznego w zarządzanym module HSM.

• Ustawia granicę kryptograficzną dla materiału klucza w zarządzanym wystąpieniu modułu HSM.

• Umożliwia całkowite odzyskanie zarządzanego wystąpienia modułu HSM w przypadku awarii. Omówiono następujące scenariusze awarii:

  • Katastrofalna awaria, w której wszystkie wystąpienia modułu HSM członka zarządzanego wystąpienia modułu HSM zostaną zniszczone.
  • Wystąpienie zarządzanego modułu HSM zostało usunięte nietrwale przez klienta, a zasób został przeczyszczone po upływie obowiązkowego okresu przechowywania.
  • Klient zarchiwizował projekt, wykonując kopię zapasową zawierającą wystąpienie zarządzanego modułu HSM i wszystkie dane, a następnie usunął wszystkie zasoby platformy Azure skojarzone z projektem.

Bez domeny zabezpieczeń odzyskiwanie po awarii nie jest możliwe. Firma Microsoft nie ma możliwości odzyskania domeny zabezpieczeń, a firma Microsoft nie może uzyskać dostępu do kluczy bez domeny zabezpieczeń. Ochrona domeny zabezpieczeń ma zatem największe znaczenie dla ciągłości działania i zapewnienia, że nie masz kryptograficznego blokady.

Najlepsze rozwiązania dotyczące ochrony domeny zabezpieczeń

Zaimplementuj następujące najlepsze rozwiązania, aby zapewnić ochronę domeny zabezpieczeń.

Pobieranie zaszyfrowanej domeny zabezpieczeń

Domena zabezpieczeń jest generowana zarówno w zarządzanym sprzęcie HSM, jak i w enklawie oprogramowania usługi podczas inicjowania. Po aprowizacji zarządzanego modułu HSM należy utworzyć co najmniej trzy pary kluczy RSA i wysłać klucze publiczne do usługi podczas żądania pobrania domeny zabezpieczeń. Należy również określić minimalną wymaganą liczbę kluczy (kworum), aby odszyfrować domenę zabezpieczeń w przyszłości.

Zarządzany moduł HSM inicjuje domenę zabezpieczeń i szyfruje ją przy użyciu kluczy publicznych udostępnianych przy użyciu algorytmu udostępniania wpisów tajnych shamiru. Po pobraniu domeny zabezpieczeń zarządzany moduł HSM przechodzi do stanu aktywowanego i jest gotowy do użycia.

Przechowywanie kluczy domeny zabezpieczeń

Klucze do domeny zabezpieczeń muszą być przechowywane w magazynie offline (takim jak na zaszyfrowanym dysku USB), z każdym podziałem kworum na oddzielnym urządzeniu magazynowym. Urządzenia magazynujące muszą być przechowywane w oddzielnych lokalizacjach geograficznych i w fizycznym bezpiecznym lub zablokowanym pudełku. W przypadku przypadków użycia ultrawrażliwych i wysoce gwarancji można nawet przechowywać klucze prywatne domeny zabezpieczeń w lokalnym, offline HSM.

Szczególnie ważne jest, aby okresowo przeglądać zasady zabezpieczeń dla zarządzanego kworum modułu HSM. Zasady zabezpieczeń muszą być dokładne, musisz mieć aktualne rekordy, w których są przechowywane domeny zabezpieczeń i jej klucze prywatne, i musisz wiedzieć, kto ma kontrolę nad domeną zabezpieczeń.

Poniżej przedstawiono zakazy obsługi kluczy domeny zabezpieczeń:

• Jedna osoba nigdy nie powinna mieć fizycznego dostępu do wszystkich kluczy kworum. Innymi słowy, m musi być większa niż 1 (a najlepiej mieć >wartość = 3).
• Klucze domeny zabezpieczeń nigdy nie muszą być przechowywane na komputerze, który ma połączenie internetowe. Komputer połączony z Internetem jest narażony na różne zagrożenia, takie jak wirusy i złośliwi hakerzy. Znacznie zmniejszasz ryzyko, przechowując klucze domeny zabezpieczeń w trybie offline.

Ustanawianie kworum domeny zabezpieczeń

Najlepszym sposobem ochrony domeny zabezpieczeń i zapobiegania blokadzie kryptograficznego jest zaimplementowanie wieloosobowej kontroli przy użyciu zarządzanego kworum koncepcji modułu HSM. Kworum to próg podzielonego wpisu tajnego, który dzieli klucz, który szyfruje domenę zabezpieczeń między wieloma osobami. Kworum wymusza kontrolę wieloosobową. W ten sposób domena zabezpieczeń nie jest zależna od jednej osoby, która może opuścić organizację lub mieć złośliwą intencję.

Zalecamy zaimplementowanie kworum m osób, gdzie m jest większe lub równe 3. Maksymalny rozmiar kworum domeny zabezpieczeń zarządzanego modułu HSM wynosi 10.

Mimo że większy m rozmiar zapewnia większe bezpieczeństwo, nakłada dodatkowe nakłady administracyjne na obsługę domeny zabezpieczeń. Dlatego konieczne jest dokładne wybranie kworum domeny zabezpieczeń z co najmniej m>= 3.

Rozmiar kworum domeny zabezpieczeń powinien być również okresowo przeglądany i aktualizowany (na przykład w przypadku zmian personelu). Szczególnie ważne jest przechowywanie rekordów posiadaczy domeny zabezpieczeń. Rekordy powinny dokumentować każdą rękę lub zmianę posiadania. Zasady powinny wymuszać rygorystyczne przestrzeganie kworum i wymagań dotyczących dokumentacji.

Ponieważ klucze umożliwiają dostęp do najbardziej poufnych i krytycznych informacji zarządzanych modułów HSM, klucze prywatne domeny zabezpieczeń muszą być przechowywane przez podstawowych, zaufanych pracowników w organizacji. Posiadacze domeny zabezpieczeń powinni mieć oddzielne role i być geograficznie oddzielone w organizacji.

Na przykład kworum domeny zabezpieczeń może składać się z czterech par kluczy, z każdym kluczem prywatnym nadanym innej osobie. Co najmniej dwie osoby musiałyby zebrać się, aby zrekonstruować domenę zabezpieczeń. Części mogą być przekazywane kluczowym pracownikom, takim jak:

• Lider techniczny jednostki biznesowej
• Architekt zabezpieczeń
• Inżynier zabezpieczeń
• Deweloper aplikacji

Każda organizacja jest inna i wymusza inne zasady zabezpieczeń na podstawie swoich potrzeb. Zalecamy okresowe przeglądanie zasad zabezpieczeń pod kątem zgodności i podejmowanie decyzji dotyczących kworum i jego rozmiaru. Organizacja może wybrać czas przeglądu, ale zalecamy przeprowadzenie przeglądu domeny zabezpieczeń co najmniej raz w kwartale, a także w tym czasie:

• Gdy członek kworum opuści organizację.
• Gdy nowe lub pojawiające się zagrożenie sprawia, że decydujesz się zwiększyć rozmiar kworum.
• W przypadku zmiany procesu implementowania kworum.
• Gdy dysk USB lub moduł HSM należący do członka kworum domeny zabezpieczeń zostanie utracony lub naruszony.

Naruszenie lub utrata domeny zabezpieczeń

W przypadku naruszenia zabezpieczeń domeny złośliwy aktor może użyć go do utworzenia własnego zarządzanego wystąpienia modułu HSM. Złośliwy aktor może użyć dostępu do kluczy kopii zapasowych, aby rozpocząć odszyfrowywanie danych chronionych kluczami w zarządzanym module HSM.

Utracona domena zabezpieczeń jest uważana za naruszoną.

Po naruszeniu zabezpieczeń domeny wszystkie dane zaszyfrowane za pośrednictwem bieżącego zarządzanego modułu HSM muszą zostać odszyfrowane przy użyciu bieżącego materiału klucza. Należy aprowizować nowe wystąpienie zarządzanego modułu HSM usługi Azure Key Vault, a należy zaimplementować nową domenę zabezpieczeń wskazującą nowy adres URL.

Ponieważ nie ma możliwości migracji materiału klucza z jednego wystąpienia zarządzanego modułu HSM do innego wystąpienia, które ma inną domenę zabezpieczeń, implementacja domeny zabezpieczeń musi być dobrze przemyślana i musi być chroniona przez dokładne, okresowo przeglądane rekordy.

Podsumowanie

Domena zabezpieczeń i odpowiadające im klucze prywatne odgrywają ważną rolę w operacjach zarządzanych modułów HSM. Te artefakty są analogiczne do kombinacji bezpiecznego, a słabe zarządzanie może łatwo naruszyć silne algorytmy i systemy. Jeśli bezpieczna kombinacja jest znana przeciwnikowi, najsilniejszy bezpieczny nie zapewnia bezpieczeństwa. Właściwe zarządzanie domeną zabezpieczeń i jego kluczami prywatnymi jest niezbędne do skutecznego korzystania z zarządzanego modułu HSM.

Zdecydowanie zalecamy przejrzenie specjalnej publikacji NIST 800-57 w celu uzyskania najlepszych rozwiązań dotyczących zarządzania kluczami przed opracowaniem i wdrożeniem zasad, systemów i standardów, które są niezbędne do spełnienia i zwiększenia celów bezpieczeństwa organizacji.

Następne kroki

• Przeczytaj omówienie zarządzanego modułu HSM.
• Dowiedz się więcej o zarządzaniu zarządzanym modułem HSM przy użyciu interfejsu wiersza polecenia platformy Azure.
• Zapoznaj się z najlepszymi rozwiązaniami dotyczącymi zarządzanego modułu HSM.