Visão geral do domínio de segurança no HSM Gerenciado
Um HSM Gerenciado é um módulo de segurança de hardware (HSM) de locatário único, Validado pelo Padrão FIPS (FIPS) 140-2, altamente disponível, que tem um domínio de segurança controlado pelo cliente.
Para operar, um HSM Gerenciado deve ter um domínio de segurança. O domínio de segurança é um arquivo de blob criptografado que contém artefatos como o backup do HSM, as credenciais do usuário, a chave de entrada e a chave de criptografia de dados que é exclusiva do HSM Gerenciado.
Um domínio de segurança HSM gerenciado tem as seguintes finalidades:
Estabelece a "propriedade" ao vincular criptograficamente cada HSM Gerenciado a uma raiz de chaves de confiança sob seu controle exclusivo. Isso garante que a Microsoft não tenha acesso ao material da chave de criptografia no HSM Gerenciado.
Define o limite da criptografia para o material da chave em uma instância do HSM Gerenciado.
Permite que você recupere totalmente uma instância do HSM Gerenciado se existir um desastre. Os seguintes cenários de desastre são abordados:
- Uma falha catastrófica na qual todas as instâncias do HSM membro de uma instância do HSM Gerenciado são destruídas.
- A instância do HSM Gerenciado foi incluída na exclusão reversível por um cliente e o recurso foi eliminado depois que o período de retenção obrigatório expirou.
- O cliente arquivou um projeto executando um backup que incluía a instância do HSM Gerenciado e todos os dados e, em seguida, excluiu todos os recursos do Azure que estavam associados ao projeto.
Sem o domínio de segurança, a recuperação de desastres não é possível. A Microsoft não consegue de forma alguma recuperar o domínio de segurança e não pode acessar suas chaves sem o domínio de segurança. Proteger o domínio de segurança é, portanto, de extrema importância para a continuidade dos seus negócios e para garantir que você não seja bloqueado criptograficamente.
Melhores práticas da proteção contra domínio de segurança
Implemente as melhores práticas a seguir para ajudar a garantir a proteção do seu domínio de segurança.
Baixando o domínio de segurança criptografado
O domínio de segurança é gerado no hardware do HSM Gerenciado e nos enclaves do software de serviço durante a inicialização. Depois que o HSM Gerenciado for provisionado, você deverá criar pelo menos três pares de chaves RSA e enviar as chaves públicas para o serviço quando solicitar o download do domínio de segurança. Também é necessário especificar o número mínimo de chaves exigido (o quorum) para descriptografar o domínio de segurança no futuro.
O HSM Gerenciado inicializará o domínio de segurança e o criptografará com as chaves públicas fornecidas por você usando o Algoritmo de Compartilhamento de Segredos do Shamir. Depois que o domínio de segurança é baixado, o HSM Gerenciado passa para o estado ativado e está pronto para o consumo.
Armazenar as chaves de domínio de segurança
As chaves de um domínio de segurança devem ser mantidas em um armazenamento offline (por exemplo, em uma unidade USB criptografada), com cada divisão do quórum em um dispositivo de armazenamento separado. Os dispositivos de armazenamento devem ser mantidos em locais geográficos separados e em um cofre ou caixa de segurança física. Para os casos de uso ultrassensíveis e de alta garantia, você pode até optar por armazenar as chaves privadas do domínio de segurança no seu HSM offline local.
É especialmente importante revisar periodicamente sua política de segurança para o quorum do HSM Gerenciado. Sua política de segurança deve ser precisa, você deve ter registros atualizados de onde o domínio de segurança e suas chaves privadas estão armazenados e saber quem tem controle do domínio de segurança.
Aqui estão as proibições de manipulação de chaves do domínio de segurança:
- Uma pessoa nunca deve poder ter acesso físico a todas as chaves de quorum. Em outras palavras,
mdeve ser maior que 1 (e, idealmente, deve ser >= 3). - As chaves do domínio de segurança nunca devem ser armazenadas em um computador que tenha conexão com a Internet. Um computador conectado à Internet está exposto a várias ameaças, como vírus e hackers mal-intencionados. Você reduz significativamente o risco ao armazenar as chaves do domínio de segurança offline.
Estabelecendo um quorum de domínio de segurança
A melhor maneira de proteger um domínio de segurança e evitar o bloqueio criptográfico é implementar o controle de várias pessoas usando o conceito de quorum do HSM Gerenciado. Um quorum é um limite de segredo dividido para dividir a chave que criptografa o domínio de segurança entre várias pessoas. Um quorum impõe o controle de várias pessoas. Dessa forma, o domínio de segurança não depende de uma única pessoa, que pode deixar a organização ou ter intenções maliciosas.
Recomendamos que você implemente um quorum de m pessoas, sendo m maior ou igual a 3. O tamanho máximo do quorum do domínio de segurança para um HSM Gerenciado é 10.
Embora um tamanho m maior ofereça mais segurança, ele impõe uma sobrecarga administrativa adicional em termos de manipulação do domínio de segurança. Portanto, é imperativo que o quorum do domínio de segurança seja cuidadosamente escolhido, com pelo menos m>= 3.
O tamanho do quorum do domínio de segurança também deve ser revisado e atualizado periodicamente (no caso de alterações de pessoal, por exemplo). É especialmente importante manter os registros dos titulares de domínios de segurança. Seus registros devem documentar cada transferência ou mudança de posse. Sua política deve impor uma adesão rigorosa aos requisitos de quorum e documentação.
Como as chaves permitem o acesso às informações mais confidenciais e críticas do seu HSM Gerenciado, as chaves privadas do domínio de segurança devem ser mantidas por funcionários primários e confiáveis da organização. Os titulares de domínio de segurança devem ter funções separadas e estar geograficamente separados em sua organização.
Por exemplo, um quorum de domínio de segurança pode incluir quatro pares de chaves, sendo que cada chave privada é fornecida a uma pessoa diferente. No mínimo, duas pessoas teriam que se reunir para reconstruir um domínio de segurança. As partes podem ser fornecidas ao pessoal-chave, como:
- Líder técnico da Unidade de Negócios
- Arquiteto de segurança
- Engenheiro de segurança da informação
- Desenvolvedor de aplicativos
Cada organização é diferente e aplica uma política de segurança diferente com base nas suas necessidades. Recomendamos que você revise periodicamente sua política de segurança para verificar a conformidade e tomar decisões sobre o quorum e seu tamanho. Sua organização pode escolher o tempo da revisão, mas recomendamos que você realize uma revisão do domínio de segurança pelo menos uma vez a cada trimestre, e também nesses momentos:
- Quando um membro do quorum deixar a organização.
- Quando uma ameaça nova ou emergente fizer com que você decida aumentar o tamanho do quorum.
- Quando existe uma mudança no processo de implementação do quorum.
- Quando uma unidade USB ou HSM que pertence a um membro do quorum do domínio de segurança é perdido ou comprometido.
Comprometimento ou perda do domínio de segurança
Se seu domínio de segurança for comprometido, um agente mal-intencionado poderá usá-lo para criar sua própria instância de HSM Gerenciado. O agente mal-intencionado pode usar o acesso aos backups de chaves para começar a descriptografar os dados que estão protegidos com as chaves no HSM Gerenciado.
Um domínio de segurança perdido é considerado comprometido.
Depois que um domínio de segurança é comprometido, todos os dados criptografados por meio do HSM Gerenciado atual devem ser descriptografados usando o material da chave atual. Uma nova instância do HSM Gerenciado do Azure Key Vault deve ser provisionada e um novo domínio de segurança que aponte para a nova URL deve ser implementado.
Como não existe nenhuma maneira de migrar o material-chave de uma instância do HSM Gerenciado para outra instância que tenha um domínio de segurança diferente, a implementação do domínio de segurança deve ser bem pensada e deve ser protegida por meio da manutenção de registros precisos e periodicamente revisados.
Resumo
O domínio de segurança e suas chaves privadas correspondentes desempenharão um papel importante nas operações de HSM gerenciado. Esses artefatos são análogos à combinação de um cofre, e o gerenciamento inadequado pode facilmente comprometer algoritmos e sistemas sólidos. Se uma combinação segura for conhecida por um adversário, o cofre mais forte não fornece segurança. O gerenciamento adequado do domínio de segurança e suas chaves privadas é essencial para o uso efetivo do HSM gerenciado.
É altamente recomendável que você analise a Publicação Especial do NIST 800-57 para conhecer as práticas recomendadas de gerenciamento de chaves antes de desenvolver e implementar as políticas, os sistemas e os padrões necessários para atender e aprimorar as metas de segurança da sua organização.
Próximas etapas
- Leia a visão geral do HSM Gerenciado.
- Saiba mais sobre como gerenciar seu HSM Gerenciado usando a CLI do Azure.
- Analise as Melhores práticas do HSM Gerenciado.