受控 HSM 中安全性網域的概觀
受控 HSM 是經聯邦資訊處理標準 (FIPS) 140-2 驗證的高可用性單一租用戶硬體安全性模組 (HSM),具有受客戶控制的安全性網域。
每個受控 HSM 必須有安全性網域才能運作。 安全性網域是加密的 Blob 檔案,其中包含 HSM 備份、使用者認證、簽署金鑰,以及受控 HSM 專屬的資料加密金鑰等成品。
受控 HSM 安全性網域具有下列用途:
藉由密碼編譯方式,將每個受控 HSM 繫結至在您全權控制之下的信任金鑰根,以建立「擁有權」。 這可確保 Microsoft 無法存取受控 HSM 上的密碼編譯金鑰資料。
設定受控 HSM 執行個體中金鑰資料的密碼編譯界限。
如果發生災害,可供完全復原受控 HSM 執行個體。 包含下列災害案例:
- 嚴重失敗,其中屬於受控 HSM 執行個體的所有受控 HSM 執行個體都會遭到終結。
- 受控 HSM 執行個體已由客戶虛刪除,且在強制保留期間到期後會清除資源。
- 終端客戶執行備份 (包含受控 HSM 執行個體和所有資料的備份) 來封存專案,然後刪除與專案相關的所有 Azure 資源。
如果沒有安全性網域,則無法進行災害復原。 Microsoft 無法復原安全性網域,且在沒有安全性網域的情況下也無法存取您的金鑰。 因此對於商務持續性,安全性網域的保護工作至關重要,也能確保不會以密碼編譯方式將您封鎖。
安全性網域保護的最佳做法
實作下列最佳做法,協助確保安全性網域保護。
下載加密的安全性網域
於初始化期間,安全性網域會在受控 HSM 硬體及服務軟體記憶體保護區中產生。 佈建受控 HSM 之後,您必須建立至少三個 RSA 金鑰組,並在要求下載安全性網域時,將這些公開金鑰傳送至該服務。 您也須指定未來要解密安全性網域的所需金鑰數目下限 (仲裁)。
受控 HSM 會將安全性網域初始化,並透過您使用 Shamir 秘密共用演算法所提供的公開金鑰來加密。 下載安全性網域後,受控 HSM 會進入啟動狀態,並可供取用。
儲存安全性網域金鑰
安全性網域的金鑰必須保留在離線儲存體 (例如加密的 USB 磁碟機),每個仲裁的分割位於個別的儲存裝置上。 儲存裝置必須保存於不同地理位置,並且位於實體的保險箱或上鎖容器中。 針對極度敏感和高保證度的使用案例,您甚至可以選擇將安全性網域私密金鑰儲存於內部部署的離線 HSM 中。
請務必定期檢查受控 HSM 仲裁的安全性原則。 您的安全性原則必須正確妥當,必須留存安全性網域及其私密金鑰儲存位置的最新記錄,而且必須知道哪些人員擁有安全性網域控制權。
以下為安全性網域金鑰處理禁止事項:
- 絕對不能讓同一人可實際取得所有仲裁金鑰。 換句話說,
m
必須大於 1 (而且最好 >= 3)。 - 絕不能將安全性網域金鑰儲存在具有網際網路連線的電腦上。 連線至網際網路的電腦容易遭受各種威脅,例如病毒和惡意駭客。 將安全性網域金鑰離線儲存可大幅降低風險。
建立安全性網域仲裁
保護安全性網域並避免密碼編譯鎖定情形的最佳方法,即是使用稱為「仲裁」的受控 HSM 概念來實施多人控制。 仲裁是分割秘密的閾值,用於將安全性網域加密金鑰分配給多人。 仲裁會強制執行多人控制。 如此一來,安全性網域就不會單獨依靠一人,以免人員離開組織或抱有惡意。
建議您實作 m
人的仲裁,m
大於或等於 3。 受控 HSM 安全性網域的仲裁大小最大值為 10。
雖然 m
大小較大可提高安全性,但在安全性網域處理方面,會施加額外的系統管理負荷。 因此請務必謹慎選擇安全性網域仲裁,至少 m
>= 3。
安全性網域的仲裁大小也應該定期檢閱和更新 (例如人員變更的情況)。 請務必保留安全性網域持有者的記錄。 您的記錄應該包括每次遞交或所有權變更。 您的原則應嚴格遵循仲裁和文件需求。
由於金鑰可供存取受控 HSM 最機密且重要的資訊,因此安全性網域私密金鑰必須由組織中受信任的主要員工持有。 安全性網域持有者必須有個別的角色,而且在您的組織內應以地理方式分隔。
例如,安全性網域仲裁可能是由四個金鑰組構成,將各個私密金鑰提供給不同人員。 至少兩個人必須結合在一起,才能重新建構安全性網域。 這些元件能提供給重要人員,諸如:
- 業務單位技術主管
- 安全性架構師
- 安全性工程師
- 應用程式開發人員
每個組織各不相同,且會依據各自需求強制執行不同的安全性原則。 建議您定期檢閱安全性原則,以達到合規性並就仲裁及其大小做出決策。 您的組織可以選擇檢閱時間,但建議每季至少檢閱一次安全性網域,並在出現下列情況時進行:
- 當仲裁的成員離開組織。
- 當新出現的或剛開始發展的威脅讓您決定增加仲裁的大小。
- 當實作仲裁的流程變更。
- 當屬於安全性網域仲裁成員的 USB 磁碟機或 HSM 遺失或遭入侵。
安全性網域遭入侵或已遺失
如果您的安全性網域遭入侵,惡意執行者可能會將其用於建立自己的受控 HSM 執行個體。 惡意執行者可能會利用金鑰備份的存取權,開始解密受控 HSM 上受金鑰保護的資料。
已遺失的安全性網域會被視為遭入侵。
安全性網域遭入侵後,使用目前受控 HSM 加密的所有資料,都必須使用目前的金鑰資料來解密。 必須佈建新的 Azure Key Vault 受控 HSM 執行個體,且必須採用指向新 URL 的新安全性網域。
由於無法將金鑰資料從受控 HSM 的執行個體移轉至另一個不同安全性網域的執行個體,因此實作安全性網域時必須妥善考慮,且須透過正確保留記錄並定期檢閱來加以防護。
摘要
安全性網域及其對應的私密金鑰在受控 HSM 作業中扮演要角。 這些成品類似於保險箱的密碼組合,若管理不當可能會輕易地破解強式演算法和系統。 如果敵人知道了保險箱密碼,最堅固的保險箱也毫無保護能力。 若要有效使用受控 HSM,妥善管理安全性網域及其私密金鑰是不可或缺的環節。
強烈建議您先詳閱 NIST 特殊發行集 800-57,掌握金鑰管理的最佳做法,再開發和實作符合及加強組織安全性目標所需的原則、系統和標準。
下一步
- 閱讀受控 HSM 的概觀。
- 深入了解如何使用 Azure CLI 管理受控 HSM。
- 檢閱受控 HSM 最佳做法。