Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управляемый модуль HSM — это однопользовательский, сертифицированный по федеральным стандартам обработки информации (FIPS) 140-3 уровня 3, высокодоступный, аппаратный модуль безопасности (HSM), имеющий домен безопасности, управляемый клиентом.
Для работы управляемый HSM должен иметь домен безопасности. Домен безопасности — это зашифрованный большой двоичный объект, содержащий артефакты, такие как резервная копия HSM, учетные данные пользователя, ключ подписывания и ключ шифрования данных, уникальный для управляемого HSM.
Управляемый домен безопасности HSM служит следующим целям:
Устанавливает "право собственности", криптографически связывая каждый управляемый HSM с корневым доверительным ключом, находящимся под вашим единственным контролем. Это гарантирует, что Майкрософт не имеет доступа к материалу криптографического ключа в управляемом HSM.
Задает границу шифрования для материала ключа в управляемом экземпляре HSM.
Позволяет полностью восстановить управляемый экземпляр HSM в случае аварии. Охватываются следующие сценарии катастроф.
- Катастрофический сбой, в результате которого уничтожаются все HSM-компоненты управляемого HSM-инстанса.
- Экземпляр управляемого HSM был временно удален клиентом, и ресурс был окончательно удалён после истечения обязательного срока хранения.
- Клиент архивировал проект, выполнив резервную копию, включающую управляемый экземпляр HSM и все данные, а затем удалил все Azure ресурсы, связанные с проектом.
Без домена безопасности аварийное восстановление невозможно. Все ключи постоянно и безвозвратно потеряны. Майкрософт не имеет способа восстановить домен безопасности, и Майкрософт не может получить доступ к ключам без домена безопасности. Это архитектурно применяется аппаратным и криптографическим дизайном HSM, а не только политикой. Поэтому защита домена безопасности является крайне важной для обеспечения непрерывности бизнес-процессов.
Рекомендации по защите домена безопасности
Выполните следующие рекомендации, чтобы обеспечить защиту домена безопасности.
Скачивание зашифрованного домена безопасности
Домен безопасности создается как в управляемом аппаратном обеспечении HSM, так и в анклавах программного обеспечения службы в процессе инициализации. После подготовки управляемого модуля HSM необходимо создать по крайней мере три пары ключей RSA и отправить открытые ключи в службу при запросе загрузки домена безопасности. Кроме того, необходимо указать минимальное количество ключей, необходимых (кворума) для расшифровки домена безопасности в будущем.
Управляемый HSM инициализирует домен безопасности и шифрует его с использованием открытых ключей, которые вы предоставляете, с помощью алгоритма разделения секрета Шамира. После скачивания домена безопасности управляемый HSM переходит в активированное состояние и готов к использованию.
Безопасное создание пар ключей RSA
Пары ключей RSA, которые защищают домен безопасности, являются корнем доверия для управляемого HSM. Эти ключи должны создаваться и обрабатываться с наивысшим уровнем безопасности, соответствующим вашей организации.
Для рабочих сред рассмотрим следующие подходы в порядке снижения безопасности:
Создайте ключи в локальной изолированной системе HSM. Это обеспечивает самую надежную защиту, так как закрытые ключи никогда не существуют на компьютере общего назначения или подключенном к сети устройстве.
Создайте ключи на компьютере, изолированном от сети. Выделенная рабочая станция, которая никогда не была подключена к сети, снижает воздействие вредоносных программ и удаленных атак.
Создайте ключи на безопасной доверенной рабочей станции. Если системы с воздушным зазором недоступны, используйте рабочую станцию с привилегированным доступом с полным шифрованием диска, актуальными исправлениями безопасности и минимально установленным программным обеспечением.
Используйте средство создания криптографических ключей, например opensslслужебные программы создания ключей аппаратного модуля безопасности или утвержденную криптографическую библиотеку вашей организации.
Внимание
Безопасность всего управляемого HSM в конечном счете зависит от того, насколько хорошо защищены эти закрытые ключи RSA. Злоумышленник с доступом к достаточному ключу кворума и резервной копии домена безопасности может восстановить HSM и получить доступ ко всем ключам.
Хранение ключей домена безопасности
Ключи к домену безопасности должны храниться в автономном хранилище (например, на зашифрованном USB-диске) с каждым разделением кворума на отдельном устройстве хранения. Устройства хранения должны размещаться в отдельных географических местоположениях и находиться в физическом сейфе или замке. Для случаев использования ультрачувствительных и высокобезопасных ключей можно даже хранить закрытые ключи домена безопасности в локальной среде, автономном HSM.
Особенно важно периодически просматривать политику безопасности для управляемого кворума HSM. Ваша политика безопасности должна быть точной, у вас должны быть актуальные записи о том, где хранится домен безопасности и его закрытые ключи, и вы должны знать, кто контролирует домен безопасности.
Ниже приведены запреты на обработку ключей домена безопасности:
- Ни одному человеку не следует разрешать иметь физический доступ ко всем ключам кворума. Другими словами,
mдолжно быть больше 1 (и в идеале должно быть >= 3). - Ключи домена безопасности никогда не должны храниться на компьютере с подключением к Интернету. Компьютер, подключенный к Интернету, подвергается различным угрозам, таким как вирусы и злоумышленники. Вы значительно снижаете риск, сохраняя ключи домена безопасности в автономном режиме.
Установка кворума домена безопасности
Лучший способ защитить домен безопасности и предотвратить криптографическую блокировку — реализовать управление несколькими пользователями с помощью кворума концепции управляемого модуля HSM. Кворум — это порог разделения секрета для разделения ключа, который шифрует домен безопасности между несколькими людьми. Кворум обеспечивает управление несколькими лицами. Таким образом, домен безопасности не зависит от одного человека, который может оставить организацию или иметь злонамеренное намерение.
Рекомендуется установить кворум m лиц, где m больше или равно 3. Максимальный размер кворума домена безопасности для управляемого устройства HSM составляет 10.
Хотя более высокий m размер обеспечивает более высокий уровень безопасности, он накладывает дополнительные административные издержки с точки зрения обработки домена безопасности. Поэтому настоятельно необходимо тщательно выбрать кворум домена безопасности, по крайней мере m>= 3.
Размер кворума домена безопасности также следует периодически проверять и обновлять (например, в случае кадровых изменений). Особенно важно хранить записи владельцев домена безопасности. Ваши записи должны документировать каждую передачу или изменение владения. Ваша политика должна обеспечить строгое соблюдение требований кворума и документации.
Так как ключи позволяют получить доступ к наиболее конфиденциальной и критической информации управляемого HSM, закрытые ключи домена безопасности должны храниться основными доверенными сотрудниками в организации. Владельцы доменов безопасности должны иметь отдельные роли и быть географически разделены в организации.
Например, кворум домена безопасности может состоять из четырех пар ключей с каждым закрытым ключом, предоставленным другому лицу. Для восстановления домена безопасности необходимо участие как минимум двух человек. Части могут быть предоставлены ключевым сотрудникам, таким как:
- Технический руководитель подразделения
- Архитектор систем безопасности
- Инженер систем безопасности
- Разработчик приложения
Каждая организация отличается и применяет другую политику безопасности в зависимости от потребностей. Мы рекомендуем периодически просматривать политику безопасности для соответствия требованиям и принимать решения о кворуме и его размере. Ваша организация может выбрать сроки проверки, но рекомендуется проводить проверку домена безопасности по крайней мере один раз в квартале, а также в это время:
- Когда член кворума покидает организацию.
- Когда новая или возникающая угроза заставляет вас решить увеличить размер кворума.
- При изменении процесса реализации кворума.
- Когда USB-накопитель или HSM, принадлежащий члену кворума домена безопасности, теряется или скомпрометирован.
Компрометация или потеря домена безопасности
Если ваш домен безопасности скомпрометирован, злоумышленник может использовать его для создания собственного управляемого экземпляра HSM. Злоумышленник может использовать доступ к резервным копиям ключей, чтобы начать расшифровку данных, защищенных ключами в управляемом HSM.
Потерянный домен безопасности считается скомпрометированным.
После компрометации домена безопасности все данные, зашифрованные с помощью текущего управляемого HSM, должны быть расшифрованы с помощью текущего материала ключа. Необходимо подготовить новый экземпляр управляемого HSM Azure Key Vault, а новый домен безопасности, указывающий на новый URL-адрес, должен быть реализован.
Так как нет способа перенести материалы ключей из одного экземпляра управляемого модуля HSM в другой экземпляр, имеющий другой домен безопасности, реализация домена безопасности должна быть хорошо продумана, и она должна быть защищена с помощью точной, периодически проверяемой записи.
Компрометация или потеря ключей домена безопасности
Если ключи, защищающие домен безопасности, скомпрометируются или теряются, или политики требуют периодического смены ключей домена безопасности, можно скачать новую копию домена безопасности с новым кворумом ключей, защищающих его. Пользователь с ролью администратора управляемого устройства HSM снова может выполнить команду загрузки домена безопасности с новым набором ключей оболочки домена безопасности. Перед удалением старых ключей и предыдущей копии домена безопасности необходимо проверить и безопасно хранить новые ключи и домен безопасности. Повторное скачивание домена безопасности с новыми ключами защиты не влияет на существующие ключи в HSM. Сам домен безопасности не изменяется, только ключи, защищающие его.
Внимание
Роль администратора управляемого устройства HSM — это высоко привилегированная роль. Уведомления и оповещения должны быть заданы в операциях SecurityDomainBackup и SecurityDomainBackupStatusGet, а для роли администратора управляемого устройства HSM рекомендуется включить PIM.
Итоги
Домен безопасности и соответствующие закрытые ключи играют важную роль в операциях управляемого модуля HSM. Эти артефакты аналогичны сочетанию сейфа, и плохое управление может легко компрометировать сильные алгоритмы и системы. Если комбинация цифр для кода сейфа известна противнику, то даже самый надежный сейф не сможет обеспечить безопасность. Надлежащее управление доменом безопасности и его закрытыми ключами является важным для эффективного использования управляемого устройства HSM.
Мы настоятельно рекомендуем ознакомиться с специальной публикацией NIST 800-57 в целях изучения лучших практик управления ключами перед разработкой и реализацией политик, систем и стандартов, необходимых для достижения и усиления целей безопасности вашей организации.
Следующие шаги
- Ознакомьтесь с обзором управляемого устройства HSM.
- Узнайте о управлении вашим управляемым HSM с помощью Azure CLI.
- Просмотрите Обеспечьте безопасность развертывания управляемого HSM в Azure.