Yönetilen HSM'de güvenlik etki alanına genel bakış

Yönetilen HSM, müşteri tarafından denetlenen bir güvenlik etki alanına sahip tek kiracılı, Federal Bilgi İşleme Standartları (FIPS) 140-2 onaylı, yüksek oranda kullanılabilir, donanım güvenlik modülüdür (HSM).

Çalıştırmak için, yönetilen bir HSM'nin bir güvenlik etki alanına sahip olması gerekir. Güvenlik etki alanı, HSM yedeklemesi, kullanıcı kimlik bilgileri, imzalama anahtarı ve yönetilen HSM'ye özgü veri şifreleme anahtarı gibi yapıtları içeren şifrelenmiş bir blob dosyasıdır.

Yönetilen bir HSM güvenlik etki alanı aşağıdaki amaçlara hizmet eder:

• Yönetilen her HSM'yi tek denetiminiz altındaki güven anahtarlarının köküne şifreleme yoluyla "sahiplik" oluşturur. Bu, Microsoft'un yönetilen HSM'de şifreleme anahtarı malzemenize erişmemesini sağlar.

• Yönetilen HSM örneğindeki anahtar malzeme için şifreleme sınırını ayarlar.

• Bir olağanüstü durum söz konusu olduğunda yönetilen bir HSM örneğini tam olarak kurtarmanıza olanak tanır. Aşağıdaki olağanüstü durum senaryoları ele alınmıştır:

  • Yönetilen HSM örneğinin tüm üye HSM örneklerinin yok edildiği yıkıcı bir hata.
  • Yönetilen HSM örneği bir müşteri tarafından geçici olarak silindi ve zorunlu saklama süresi dolduktan sonra kaynak temizlendi.
  • Müşteri, yönetilen HSM örneğini ve tüm verileri içeren bir yedekleme gerçekleştirerek projeyi arşivledi ve ardından projeyle ilişkili tüm Azure kaynaklarını sildi.

Güvenlik etki alanı olmadan olağanüstü durum kurtarma mümkün değildir. Microsoft'un güvenlik etki alanını kurtarma yolu yoktur ve Microsoft, güvenlik etki alanı olmadan anahtarlarınıza erişemez. Bu nedenle güvenlik etki alanını korumak, iş sürekliliğiniz ve şifreleme açısından kilitlenmediğinizden emin olmak için son derece önemlidir.

Güvenlik etki alanı koruması en iyi yöntemleri

Güvenlik etki alanınızın korunmasına yardımcı olmak için aşağıdaki en iyi yöntemleri uygulayın.

Şifrelenmiş güvenlik etki alanını indirme

Güvenlik etki alanı, başlatma sırasında hem yönetilen HSM donanımında hem de hizmet yazılımı kuşatmalarında oluşturulur. Yönetilen HSM sağlandıktan sonra, güvenlik etki alanı indirme isteğinde bulunurken en az üç RSA anahtar çifti oluşturmanız ve ortak anahtarları hizmete göndermeniz gerekir. Ayrıca, gelecekte güvenlik etki alanının şifresini çözmek için gereken en az anahtar sayısını (çekirdek) belirtmeniz gerekir.

Yönetilen HSM, güvenlik etki alanını başlatır ve Shamir'in Gizli Dizi Paylaşım Algoritması'nı kullanarak sağladığınız ortak anahtarlarla şifreler. Güvenlik etki alanı indirildikten sonra, yönetilen HSM etkinleştirilmiş duruma geçer ve kullanıma hazırdır.

Güvenlik etki alanı anahtarlarını depolama

Bir güvenlik etki alanının anahtarları, çekirdeğin her bölümü ayrı bir depolama cihazında olacak şekilde çevrimdışı depolamada (şifrelenmiş bir USB sürücüsünde olduğu gibi) tutulmalıdır. Depolama cihazları ayrı coğrafi konumlarda ve fiziksel bir kasada veya kilit kutusunda tutulmalıdır. Ultra duyarlı ve yüksek güvenceli kullanım örnekleri için, güvenlik etki alanı özel anahtarlarınızı şirket içi, çevrimdışı HSM'nizde depolamayı bile seçebilirsiniz.

Yönetilen HSM çekirdeği için güvenlik ilkenizi düzenli aralıklarla gözden geçirmeniz özellikle önemlidir. Güvenlik ilkeniz doğru olmalıdır, güvenlik etki alanının ve özel anahtarlarının depolandığı yerin güncel kayıtlarına sahip olmanız ve güvenlik etki alanı denetiminin kimde olduğunu bilmeniz gerekir.

Güvenlik etki alanı anahtar işleme yasakları şunlardır:

• Bir kişinin hiçbir zaman tüm çekirdek anahtarlarına fiziksel erişimine izin verilmemelidir. Başka bir deyişle, m 1'den büyük olmalıdır (ve ideal olarak = 3 olmalıdır >).
• Güvenlik etki alanı anahtarları hiçbir zaman İnternet bağlantısı olan bir bilgisayarda depolanmamalıdır. İnternet'e bağlı bir bilgisayar virüsler ve kötü amaçlı korsanlar gibi çeşitli tehditlere maruz kalmaktadır. Güvenlik etki alanı anahtarlarını çevrimdışı depolayarak riskinizi önemli ölçüde azaltırsınız.

Güvenlik etki alanı çekirdeği oluşturma

Bir güvenlik etki alanını korumanın ve şifreleme kilitlemesini önlemenin en iyi yolu, yönetilen HSM kavram çekirdeğini kullanarak çok kişili denetim uygulamaktır. Çekirdek, güvenlik etki alanını birden çok kişi arasında şifreleyen anahtarı bölmek için bir bölünmüş gizli dizi eşiğidir. Çekirdek, çok kişili denetimi zorlar. Bu şekilde, güvenlik etki alanı kuruluş dışına çıkan veya kötü amaçlı olabilecek tek bir kişiye bağımlı değildir.

3'ten büyük veya 3'e eşit olan m kişilerden oluşan m bir çekirdek uygulamanızı öneririz. Yönetilen bir HSM için güvenlik etki alanının en büyük çekirdek boyutu 10'dur.

Daha yüksek m bir boyut daha fazla güvenlik sağlasa da, güvenlik etki alanını işleme açısından daha fazla yönetim yükü getirir. Bu nedenle, güvenlik etki alanı çekirdeğinin en az m>= 3 ile dikkatli bir şekilde seçilmesi şarttır.

Güvenlik etki alanı çekirdek boyutu da düzenli aralıklarla gözden geçirilmeli ve güncelleştirilmelidir (örneğin personel değişiklikleri söz konusu olduğunda). Güvenlik etki alanı sahiplerinin kayıtlarını tutmak özellikle önemlidir. Kayıtlarınız her elden çıkarma veya sahip olma değişikliğini belgelemelidir. İlkeniz çekirdek ve belge gereksinimlerine sıkı sıkıya bağlı kalmalıdır.

Anahtarlar yönetilen HSM'nizin en hassas ve kritik bilgilerine erişim sağladığından, güvenlik etki alanı özel anahtarları kuruluştaki birincil, güvenilir çalışanlar tarafından tutulmalıdır. Güvenlik etki alanı sahiplerinin ayrı rolleri olmalı ve kuruluşunuzda coğrafi olarak ayrılmış olmalıdır.

Örneğin, bir güvenlik etki alanı çekirdeği dört anahtar çifti içerebilir ve her özel anahtar farklı bir kişiye verilebilir. Güvenlik etki alanını yeniden oluşturmak için en az iki kişinin bir araya gelmesi gerekir. Parçalar aşağıdakiler gibi önemli personele verilebilir:

• İş Birimi Teknik Müşteri Adayı
• Güvenlik Mimarı
• Güvenlik Mühendisi
• Uygulama Geliştirici

Her kuruluş farklıdır ve ihtiyaçlarına göre farklı bir güvenlik ilkesi uygular. Uyumluluk ve çekirdek ve boyutu hakkında kararlar almak için güvenlik ilkenizi düzenli aralıklarla gözden geçirmenizi öneririz. Kuruluşunuz incelemenin zamanlamasını seçebilir, ancak her üç ayda en az bir kez ve şu zamanlarda bir güvenlik etki alanı incelemesi gerçekleştirmenizi öneririz:

• Çekirdeğin bir üyesi kuruluşa ayrıldığında.
• Yeni veya yeni bir tehdit, çekirdek boyutunu artırmaya karar vermenize neden olduğunda.
• Çekirdeğin uygulanmasında bir işlem değişikliği olduğunda.
• Güvenlik etki alanı çekirdeğinin bir üyesine ait bir USB sürücüsü veya HSM kaybolduğunda veya güvenliği aşıldığında.

Güvenlik etki alanı güvenliğinin aşılmasına veya kaybolmasına neden olur

Güvenlik etki alanınızın güvenliği ihlal edilirse, kötü amaçlı bir aktör kendi yönetilen HSM örneğini oluşturmak için bu etki alanını kullanabilir. Kötü amaçlı aktör, yönetilen HSM'de anahtarlarla korunan verilerin şifresini çözmeye başlamak için anahtar yedeklemelerine erişimi kullanabilir.

Kayıp bir güvenlik etki alanının gizliliğinin ihlal edildiği kabul edilir.

Bir güvenlik etki alanı tehlikeye girdikten sonra, geçerli yönetilen HSM aracılığıyla şifrelenen tüm verilerin şifresi geçerli anahtar malzemesi kullanılarak çözülmelidir. Azure Key Vault Yönetilen HSM'nin yeni bir örneği sağlanmalıdır ve yeni URL'ye işaret eden yeni bir güvenlik etki alanı uygulanmalıdır.

Anahtar malzemeyi Yönetilen HSM'nin bir örneğinden farklı bir güvenlik etki alanına sahip başka bir örneğe geçirmenin bir yolu olmadığından, güvenlik etki alanını uygulamak iyi düşünülmeli ve doğru, düzenli aralıklarla gözden geçirilmiş kayıt tutma yoluyla korunmalıdır.

Özet

Güvenlik etki alanı ve buna karşılık gelen özel anahtarlar yönetilen HSM işlemlerinde önemli bir rol oynar. Bu yapıtlar bir kasanın birleşimine benzer ve kötü yönetim güçlü algoritmaları ve sistemleri kolayca tehlikeye atabilir. Bir saldırgan tarafından güvenli bir birleşim biliniyorsa, en güçlü kasa hiçbir güvenlik sağlamaz. Güvenlik etki alanının ve özel anahtarlarının düzgün yönetimi, yönetilen HSM'nin etkili kullanımı için gereklidir.

Kuruluşunuzun güvenlik hedeflerini karşılamak ve geliştirmek için gereken ilkeleri, sistemleri ve standartları geliştirmeden ve uygulamadan önce önemli yönetim en iyi yöntemleri için NIST Özel Yayını 800-57'yi gözden geçirmenizi kesinlikle öneririz.

Sonraki adımlar

• Yönetilen HSM'ye genel bir bakış okuyun.
• Azure CLI kullanarak yönetilen HSM'nizi yönetme hakkında bilgi edinin.
• Yönetilen HSM en iyi yöntemlerini gözden geçirin.