Segurança física do HSM dedicado do Azure
O HSM Dedicado do Azure ajuda você a atender aos requisitos avançados de segurança para armazenamento de chaves. Ele é gerenciado seguindo práticas de segurança rigorosas durante todo o seu ciclo de vida para atender às necessidades dos clientes.
Segurança através da contratação pública
A Microsoft segue um processo de aquisição seguro. Gerimos a cadeia de custódia e garantimos que o dispositivo específico encomendado e enviado é o dispositivo que chega aos nossos centros de dados. Os dispositivos estão em sacos e recipientes plásticos serializados de eventos de violação. Eles são armazenados em uma área de armazenamento segura até comissionados na galeria de dados do data center. Os racks que contêm os dispositivos HSM são considerados de alto impacto nos negócios (HBI). Os dispositivos estão bloqueados e sob vigilância por vídeo em todos os momentos frente e trás.
Segurança através da implementação
Os HSMs são instalados em racks juntamente com componentes de rede associados. Uma vez instalados, eles devem ser configurados antes de serem disponibilizados como parte do Serviço HSM Dedicado do Azure. Essa atividade de configuração é executada por funcionários da Microsoft que passaram por uma verificação de antecedentes. A administração "Just In Time" (JIT) é usada para limitar o acesso apenas aos funcionários certos e apenas pelo tempo que o acesso é necessário. Os procedimentos e sistemas usados também garantem que todas as atividades relacionadas aos dispositivos HSM sejam registradas.
Segurança nas operações
HSMs são dispositivos de hardware (o HSM real sendo uma placa PCI dentro do dispositivo), portanto, é possível que problemas de nível de componente possam surgir. Os problemas potenciais incluem, mas não estão limitados a, falhas no ventilador e na fonte de alimentação. Este tipo de evento exigirá manutenção ou atividades de quebra/conserto para substituir quaisquer componentes permutáveis.
Substituição de componentes
Depois que um dispositivo é provisionado e está sob gerenciamento do cliente, a fonte de alimentação hot-swappable é o único componente que seria substituído. Este componente está fora do limite de segurança e não causa um evento de violação. Um sistema de emissão de tíquetes é usado para autorizar um engenheiro da Microsoft a acessar a parte traseira do rack HBI. Quando o ticket é processado, uma chave física temporária é emitida. Essa chave dá ao engenheiro acesso ao dispositivo e permite que eles troquem o componente afetado. Qualquer outro acesso (ou seja, causar eventos de adulteração) seria feito quando um dispositivo não é alocado a um cliente, minimizando assim o risco de segurança e disponibilidade.
Substituição do dispositivo
No caso de falha total do dispositivo, um processo semelhante ao usado durante a falha do componente é seguido. Se um cliente não conseguir zerar o dispositivo, ou se o dispositivo estiver em um estado desconhecido, os dispositivos de rolamento de dados serão removidos e colocados em um compartimento de destruição no rack. Os dispositivos colocados no contentor serão destruídos de forma controlada e segura. Nenhum dispositivo de suporte de dados de um rack HBI sairá de um datacenter da Microsoft.
Outras atividades de acesso ao rack
Se um engenheiro da Microsoft precisar acessar o rack usado por dispositivos HSM (por exemplo, manutenção de dispositivos de rede), os procedimentos de segurança padrão serão usados para obter acesso ao rack seguro HBI. Todos os acessos serão sob videovigilância. Os dispositivos HSM são validados para FIPS 140-2 Nível 3 , portanto, qualquer acesso não autorizado aos dispositivos HSM será sinalizado ao cliente e os dados serão zerados.
Considerações de segurança de nível lógico
Os HSMs são provisionados para uma rede virtual criada pelo cliente dentro do espaço de endereço IP privado do cliente. Essa configuração fornece um valioso isolamento lógico no nível da rede e garante o acesso apenas pelo cliente. Isto implica que todos os controlos de segurança de nível lógico são da responsabilidade do cliente.
Próximos passos
Recomenda-se que todos os conceitos-chave do serviço, como alta disponibilidade e segurança e capacidade de suporte, por exemplo, sejam bem compreendidos antes do provisionamento de dispositivos, design de aplicativos ou implantação.