Общие сведения о домене безопасности в управляемом HSM

  • Статья

Управляемый модуль HSM — это единый клиент, федеральный стандарт обработки информации (FIPS) 140-2, проверенный, высокодоступный, аппаратный модуль безопасности (HSM), имеющий управляемый клиентом домен безопасности.

Для работы управляемый HSM должен иметь домен безопасности. Домен безопасности — это зашифрованный большой двоичный объект, содержащий артефакты, такие как резервная копия HSM, учетные данные пользователя, ключ подписывания и ключ шифрования данных, уникальный для управляемого HSM.

Управляемый домен безопасности HSM служит следующим целям:

  • Устанавливает "владение", криптографически привязав каждый управляемый HSM к корню ключей доверия под единственным контролем. Это гарантирует, что корпорация Майкрософт не имеет доступа к материалу криптографического ключа в управляемом HSM.

  • Задает границу шифрования для материала ключа в управляемом экземпляре HSM.

  • Позволяет полностью восстановить управляемый экземпляр HSM в случае аварии. Рассматриваются следующие сценарии аварийного восстановления.

    • Катастрофический сбой, в котором уничтожаются все экземпляры HSM-элементов управляемого экземпляра HSM.
    • Управляемый экземпляр HSM был обратимо удален клиентом, и ресурс был удален после истечения обязательного срока хранения.
    • Клиент архивировал проект, выполнив резервную копию, включающую управляемый экземпляр HSM и все данные, а затем удалил все ресурсы Azure, связанные с проектом.

Без домена безопасности аварийное восстановление невозможно. Корпорация Майкрософт не может восстановить домен безопасности, и корпорация Майкрософт не может получить доступ к вашим ключам без домена безопасности. Поэтому защита домена безопасности является крайне важной для обеспечения непрерывности бизнес-процессов и обеспечения того, что вы не заблокировали криптографически.

Рекомендации по защите домена безопасности

Выполните следующие рекомендации, чтобы обеспечить защиту домена безопасности.

Скачивание зашифрованного домена безопасности

Домен безопасности создается как в управляемом оборудовании HSM, так и в анклавах программного обеспечения службы во время инициализации. После подготовки управляемого модуля HSM необходимо создать по крайней мере три пары ключей RSA и отправить открытые ключи в службу при запросе загрузки домена безопасности. Кроме того, необходимо указать минимальное количество ключей, необходимых (кворума) для расшифровки домена безопасности в будущем.

Управляемый HSM инициализирует домен безопасности и шифрует его с открытыми ключами, предоставляемыми с помощью алгоритма общего доступа к секретам Shamir. После скачивания домена безопасности управляемый HSM переходит в активированное состояние и готов к использованию.

Хранение ключей домена безопасности

Ключи к домену безопасности должны храниться в автономном хранилище (например, на зашифрованном USB-диске) с каждым разделением кворума на отдельном устройстве хранения. Устройства хранения должны храниться в отдельных географических расположениях и в физическом безопасном или блокировке. Для случаев использования ультрачувствительных и высокобезопасных ключей можно даже хранить закрытые ключи домена безопасности в локальной среде, автономном HSM.

Особенно важно периодически просматривать политику безопасности для управляемого кворума HSM. Ваша политика безопасности должна быть точной, у вас должны быть актуальные записи о том, где хранится домен безопасности и его закрытые ключи, и вы должны знать, кто контролирует домен безопасности.

Ниже приведены запреты на обработку ключей домена безопасности:

  • Права физического доступа ко всем ключам кворума должны иметь несколько пользователей. Другими словами, m должно быть больше 1 (и в идеале должно быть >= 3).
  • Ключи домена безопасности никогда не должны храниться на компьютере с подключением к Интернету. Компьютер, подключенный к Интернету, подвергается различным угрозам, таким как вирусы и злоумышленники. Вы значительно снижаете риск, сохраняя ключи домена безопасности в автономном режиме.

Установка кворума домена безопасности

Лучший способ защитить домен безопасности и предотвратить криптографическую блокировку — реализовать управление несколькими пользователями с помощью управляемого кворума концепции HSM. Кворум — это порог разделения секрета для разделения ключа, который шифрует домен безопасности между несколькими людьми. Кворум применяет многопользовательский контроль. Таким образом, домен безопасности не зависит от одного человека, который может оставить организацию или иметь злонамеренное намерение.

Рекомендуется реализовать кворум m лиц, где m больше или равно 3. Максимальный размер кворума домена безопасности для управляемого устройства HSM составляет 10.

Хотя более высокий m размер обеспечивает более высокий уровень безопасности, он накладывает дополнительные административные издержки с точки зрения обработки домена безопасности. Поэтому настоятельно необходимо тщательно выбрать кворум домена безопасности, по крайней мере m>= 3.

Размер кворума домена безопасности также следует периодически проверять и обновлять (например, в случае кадровых изменений). Особенно важно хранить записи владельцев домена безопасности. Ваши записи должны документировать каждую передачу или изменение владения. Ваша политика должна обеспечить строгое соблюдение требований кворума и документации.

Так как ключи позволяют получить доступ к наиболее конфиденциальной и критической информации управляемого HSM, закрытые ключи домена безопасности должны храниться основными доверенными сотрудниками в организации. Владельцы доменов безопасности должны иметь отдельные роли и быть географически разделены в организации.

Например, кворум домена безопасности может состоять из четырех пар ключей с каждым закрытым ключом, предоставленным другому лицу. Для восстановления домена безопасности необходимо участие как минимум двух человек. Ключи могут быть выданы ведущим сотрудникам, таким как:

  • Технический руководитель подразделения
  • Архитектор систем безопасности
  • Инженер систем безопасности
  • Разработчик приложения

Каждая организация отличается и применяет другую политику безопасности в зависимости от потребностей. Мы рекомендуем периодически просматривать политику безопасности для соответствия требованиям и принимать решения о кворуме и его размере. Ваша организация может выбрать сроки проверки, но рекомендуется проводить проверку домена безопасности по крайней мере один раз в квартале, а также в это время:

  • Когда член кворума покидает организацию.
  • Когда новая или возникающая угроза заставляет вас решить увеличить размер кворума.
  • При изменении процесса реализации кворума.
  • Когда USB-накопитель или HSM, принадлежащий члену кворума домена безопасности, теряется или скомпрометирован.

Компрометация или потеря домена безопасности

Если ваш домен безопасности скомпрометирован, злоумышленник может использовать его для создания собственного управляемого экземпляра HSM. Злоумышленник может использовать доступ к резервным копиям ключей, чтобы начать расшифровку данных, защищенных ключами в управляемом HSM.

Потерянный домен безопасности считается скомпрометированным.

После компрометации домена безопасности все данные, зашифрованные с помощью текущего управляемого HSM, должны быть расшифрованы с помощью текущего материала ключа. Необходимо подготовить новый экземпляр управляемого HSM в Azure Key Vault, а новый домен безопасности, указывающий на новый URL-адрес, должен быть реализован.

Так как нет способа перенести материалы ключей из одного экземпляра Управляемого HSM в другой экземпляр, имеющий другой домен безопасности, реализация домена безопасности должна быть хорошо продумана, и она должна быть защищена с помощью точной, периодически проверяемой записи.

Итоги

Домен безопасности и соответствующие закрытые ключи играют важную роль в операциях управляемого модуля HSM. Эти артефакты аналогичны сочетанию безопасного и плохого управления могут легко компрометировать сильные алгоритмы и системы. Если комбинация цифр для кода сейфа известна противнику, то даже самый надежный сейф не сможет обеспечить безопасность. Правильное управление доменом безопасности и его закрытыми ключами очень важно для эффективного использования управляемого модуля HSM.

Мы настоятельно рекомендуем ознакомиться с специальной публикацией NIST 800-57 для рекомендаций по управлению ключами перед разработкой и реализацией политик, систем и стандартов, необходимых для удовлетворения и улучшения целей безопасности организации.

Следующие шаги