Segurança física do HSM dedicado do Azure
O HSM Dedicado do Azure ajuda-o a cumprir os requisitos de segurança avançados para o armazenamento de chaves. É gerido seguindo práticas de segurança rigorosas ao longo do seu ciclo de vida completo para satisfazer as necessidades dos clientes.
Segurança através de aprovisionamento
A Microsoft segue um processo de aprovisionamento seguro. Gerimos a cadeia de custódia e asseguramos que o dispositivo específico encomendado e enviado é o dispositivo que chega aos nossos datacenters. Os dispositivos estão em contentores e sacos plásticos serializados de eventos de adulteração. São armazenados numa área de armazenamento segura até serem encomendados na galeria de dados do datacenter. Os racks que contêm os dispositivos HSM são considerados um elevado impacto comercial (HBI). Os dispositivos estão sempre bloqueados e sob videovigilância à frente e atrás.
Segurança através da implementação
Os HSMs são instalados em racks juntamente com componentes de rede associados. Depois de instaladas, têm de ser configuradas antes de serem disponibilizadas como parte do Serviço HSM Dedicado do Azure. Esta atividade de configuração é realizada por funcionários da Microsoft que foram submetidos a uma verificação de antecedentes. A administração "Just In Time" (JIT) é utilizada para limitar o acesso apenas aos funcionários certos e apenas durante o tempo em que o acesso é necessário. Os procedimentos e sistemas utilizados também garantem que todas as atividades relacionadas com os dispositivos HSM são registadas.
Segurança nas operações
Os HSMs são aplicações de hardware (o HSM real é um cartão PCI dentro da aplicação), pelo que é possível que possam surgir problemas ao nível do componente. Os potenciais problemas incluem, mas não se limitam a falhas de ventoinhas e fontes de alimentação. Este tipo de evento exigirá atividades de manutenção ou interrupção/correção para substituir quaisquer componentes permutáveis.
Substituição de componentes
Depois de um dispositivo ser aprovisionado e sob gestão de clientes, a fonte de alimentação permutáveis é o único componente que seria substituído. Este componente está fora do limite de segurança e não causa um evento de adulteração. Um sistema de bilhética é utilizado para autorizar um engenheiro da Microsoft a aceder à parte traseira do rack HBI. Quando o pedido é processado, é emitida uma chave física temporária. Esta chave dá ao engenheiro acesso ao dispositivo e permite-lhe trocar o componente afetado. Qualquer outro acesso (ou seja, evento de adulteração causado) seria feito quando um dispositivo não é alocado a um cliente, minimizando assim o risco de segurança e disponibilidade.
Substituição do dispositivo
Em caso de falha total do dispositivo, é seguido um processo semelhante ao utilizado durante a falha do componente. Se um cliente não conseguir zeroar o dispositivo ou se o dispositivo estiver num estado desconhecido, os dispositivos com suporte de dados serão removidos e colocados num contentor de destruição. Os dispositivos colocados na reciclagem serão destruídos de forma controlada e segura. Nenhum data bearing devices from an HBI rack will leave a Microsoft datacenter.
Outras Atividades de Acesso ao Rack
Se um engenheiro da Microsoft tiver de aceder ao rack utilizado pelos dispositivos HSM (por exemplo, manutenção de dispositivos de rede), serão utilizados procedimentos de segurança padrão para obter acesso ao rack seguro HBI. Todo o acesso estará sob videovigilância. Os dispositivos HSM são validados para FIPS 140-2 Nível 3 para que qualquer acesso não autorizado aos Dispositivos HSM seja sinalizado para o cliente e os dados serão zeroados.
Considerações de segurança de nível lógico
Os HSMs são aprovisionados numa rede virtual criada pelo cliente no espaço de Endereços IP privados do cliente. Esta configuração fornece um valioso isolamento ao nível da rede lógica e garante o acesso apenas pelo cliente. Isto implica que todos os controlos de segurança de nível lógico são da responsabilidade do cliente.
Passos seguintes
Recomenda-se que todos os principais conceitos do serviço, como elevada disponibilidade e segurança e suporte, por exemplo, sejam bem compreendidos antes do aprovisionamento de dispositivos, design da aplicação ou implementação.