Dela via


Fysisk säkerhet i Azure Dedicated HSM

Azure Dedicated HSM hjälper dig att uppfylla avancerade säkerhetskrav för nyckellagring. Den hanteras enligt strikta säkerhetsmetoder under hela livscykeln för att uppfylla kundernas behov.

Säkerhet via anskaffning

Microsoft följer en säker anskaffningsprocess. Vi hanterar kedjan för förvaring och ser till att den specifika enhet som beställts och levererats är den enhet som anländer till våra datacenter. Enheterna finns i serialiserade manipuleringshändelser plastpåsar och containrar. De lagras i ett säkert lagringsområde tills de tas i drift i datagalleriet i datacentret. Racken som innehåller HSM-enheterna anses ha hög affärspåverkan (HBI). Enheterna är låsta och under videoövervakning hela tiden fram och tillbaka.

Säkerhet via distribution

HSM:er installeras i rack tillsammans med associerade nätverkskomponenter. När de har installerats måste de konfigureras innan de görs tillgängliga som en del av Azure Dedicated HSM-tjänsten. Den här konfigurationsaktiviteten utförs av Microsoft-anställda som har genomgått en bakgrundskontroll. JiT-administration (Just In Time) används för att begränsa åtkomsten till endast rätt anställda och endast för den tid som åtkomsten behövs. De procedurer och system som används säkerställer också att all aktivitet som är relaterad till HSM-enheterna loggas.

Säkerhet i åtgärder

HSM:er är maskinvaruinstallationer (den faktiska HSM är ett PCI-kort i installationen) så det är möjligt att problem på komponentnivå kan uppstå. Potentiella problem omfattar men är inte begränsade till fel i fläkt- och strömförsörjningen. Den här typen av händelse kräver underhålls- eller avbrotts-/korrigeringsaktiviteter för att ersätta alla utbytbara komponenter.

Komponentersättning

När en enhet har etablerats och under kundhantering är den strömförsörjning som kan bytas ut med frekvent ström de enda komponenter som skulle ersättas. Den här komponenten ligger utanför säkerhetsgränsen och orsakar ingen manipulationshändelse. Ett biljettsystem används för att ge en Microsoft-tekniker åtkomst till baksidan av HBI-racket. När biljetten bearbetas utfärdas en tillfällig fysisk nyckel. Den här nyckeln ger teknikern åtkomst till enheten och gör att de kan växla den berörda komponenten. All annan åtkomst (d.v.s. manipulationshändelse som orsakar) skulle göras när en enhet inte allokeras till en kund, vilket minimerar säkerhets- och tillgänglighetsrisken.

Ersättning av enhet

I händelse av totalt enhetsfel följs en process som liknar den som användes vid komponentfel. Om en kund inte kan nollställa enheten, eller om enheten är i ett okänt tillstånd, tas datalagerenheterna bort och placeras i ett destruktionslager i rack. Enheter som placeras i lagerplatsen förstörs på ett kontrollerat och säkert sätt. Inga datalagerenheter från ett HBI-rack lämnar ett Microsoft-datacenter.

Andra rackåtkomstaktiviteter

Om en Microsoft-tekniker måste komma åt det rack som används av HSM-enheter (till exempel underhåll av nätverksenheter) används standardsäkerhetsprocedurer för att få åtkomst till HBI-säkerhetsrack. All åtkomst kommer att vara under videoövervakning. HSM-enheterna verifieras till FIPS 140-2 Nivå 3 så all obehörig åtkomst till HSM-enheterna kommer att signaleras till kunden och data nollställs.

Säkerhetsöverväganden på logisk nivå

HSM:er etableras till ett virtuellt nätverk som skapats av kunden inom kundens privata IP-adressutrymme. Den här konfigurationen ger en värdefull isolering på logisk nätverksnivå och garanterar endast åtkomst av kunden. Detta innebär att alla säkerhetskontroller på logisk nivå är kundens ansvar.

Nästa steg

Vi rekommenderar att alla viktiga begrepp i tjänsten, till exempel hög tillgänglighet och säkerhet och support, förstås väl före enhetsetablering, programdesign eller distribution.