Visão geral do domínio de segurança no HSM gerenciado
Um HSM gerenciado é um módulo de segurança de hardware (HSM) de hardware (FIPS) 140-2 validado pelo Federal Information Processing Standards (FIPS) 140-2 de locatário único que tem um domínio de segurança controlado pelo cliente.
Para operar, um HSM gerenciado deve ter um domínio de segurança. O domínio de segurança é um arquivo de blob criptografado que contém artefatos como o backup do HSM, as credenciais do usuário, a chave de assinatura e a chave de criptografia de dados exclusiva do HSM gerenciado.
Um domínio de segurança HSM gerenciado serve às seguintes finalidades:
Estabelece a "propriedade" vinculando criptograficamente cada HSM gerenciado a uma raiz de chaves de confiança sob seu controle exclusivo. Isso garante que a Microsoft não tenha acesso ao material da sua chave criptográfica no HSM gerenciado.
Define o limite criptográfico para material de chave em uma instância de HSM gerenciada.
Permite que você recupere totalmente uma instância gerenciada do HSM em caso de desastre. São abordados os seguintes cenários de desastre:
- Uma falha catastrófica na qual todas as instâncias de HSM membro de uma instância de HSM gerenciada são destruídas.
- A instância gerenciada do HSM foi excluída suavemente por um cliente e o recurso foi limpo depois que o período de retenção obrigatório expirou.
- O cliente arquivou um projeto executando um backup que incluía a instância gerenciada do HSM e todos os dados e, em seguida, excluiu todos os recursos do Azure que estavam associados ao projeto.
Sem o domínio de segurança, a recuperação de desastres não é possível. A Microsoft não tem como recuperar o domínio de segurança e a Microsoft não pode acessar suas chaves sem o domínio de segurança. Proteger o domínio de segurança é, portanto, de extrema importância para a continuidade do seu negócio e para garantir que você não seja bloqueado criptograficamente.
Práticas recomendadas de proteção de domínio de segurança
Implemente as seguintes práticas recomendadas para ajudar a garantir a proteção do seu domínio de segurança.
Transferir o domínio de segurança encriptado
O domínio de segurança é gerado no hardware HSM gerenciado e nos enclaves de software de serviço durante a inicialização. Depois que o HSM gerenciado for provisionado, você deverá criar pelo menos três pares de chaves RSA e enviar as chaves públicas para o serviço quando solicitar o download do domínio de segurança. Você também precisa especificar o número mínimo de chaves necessárias (o quórum) para descriptografar o domínio de segurança no futuro.
O HSM gerenciado inicializa o domínio de segurança e o criptografa com as chaves públicas fornecidas usando o algoritmo de compartilhamento secreto de Shamir. Depois que o domínio de segurança é baixado, o HSM gerenciado entra em um estado ativado e está pronto para consumo.
Armazenando as chaves de domínio de segurança
As chaves de um domínio de segurança devem ser mantidas em armazenamento offline (como em uma unidade USB criptografada), com cada divisão do quórum em um dispositivo de armazenamento separado. Os dispositivos de armazenamento devem ser mantidos em locais geográficos separados e num cofre ou cofre físico. Para casos de uso ultrassensíveis e de alta garantia, você pode até optar por armazenar as chaves privadas do domínio de segurança em seu HSM offline local.
É especialmente importante revisar periodicamente sua política de segurança para obter o quórum de HSM gerenciado. Sua política de segurança deve ser precisa, você deve ter registros atualizados de onde o domínio de segurança e suas chaves privadas estão armazenados e você deve saber quem tem o controle do domínio de segurança.
Aqui estão as proibições de manipulação de chaves de domínio de segurança:
- Nunca se deve permitir que uma pessoa tenha acesso físico a todas as chaves de quórum. Em outras palavras,
m
deve ser maior que 1 (e idealmente deve ser >= 3). - As chaves de domínio de segurança nunca devem ser armazenadas num computador com ligação à Internet. Um computador conectado à internet está exposto a várias ameaças, como vírus e hackers mal-intencionados. Você reduz significativamente o risco armazenando as chaves de domínio de segurança offline.
Estabelecendo um quórum de domínio de segurança
A melhor maneira de proteger um domínio de segurança e evitar o bloqueio criptográfico é implementar o controle de várias pessoas usando o quórum de conceito de HSM gerenciado. Um quórum é um limite secreto dividido para dividir a chave que criptografa o domínio de segurança entre várias pessoas. O quórum impõe o controlo de várias pessoas. Dessa forma, o domínio de segurança não depende de uma única pessoa, que pode sair da organização ou ter intenções maliciosas.
Recomendamos que você implemente um quórum de m
pessoas, onde m
é maior ou igual a 3. O tamanho máximo do quórum do domínio de segurança para um HSM gerenciado é 10.
Embora um tamanho maior m
forneça mais segurança, ele impõe mais sobrecarga administrativa em termos de manipulação do domínio de segurança. Portanto, é imperativo que o quórum do domínio de segurança seja cuidadosamente escolhido, com pelo menos m
>= 3.
O tamanho do quórum do domínio de segurança também deve ser revisto e atualizado periodicamente (no caso de mudanças de pessoal, por exemplo). É especialmente importante manter registos dos titulares de domínios de segurança. Seus registros devem documentar cada transferência ou mudança de posse. Sua política deve impor uma rigorosa adesão aos requisitos de quórum e documentação.
Como as chaves permitem o acesso às informações mais confidenciais e críticas do HSM gerenciado, as chaves privadas do domínio de segurança devem ser mantidas por funcionários primários e confiáveis na organização. Os titulares de domínios de segurança devem ter funções separadas e estar geograficamente separados dentro da sua organização.
Por exemplo, um quórum de domínio de segurança pode incluir quatro pares de chaves, com cada chave privada dada a uma pessoa diferente. Um mínimo de duas pessoas teriam que se juntar para reconstruir um domínio de segurança. As peças podem ser dadas a pessoal-chave, tais como:
- Líder Técnico da Unidade de Negócios
- Arquiteto de Segurança
- Engenheiro de Segurança
- Programador de Aplicações
Cada organização é diferente e aplica uma política de segurança diferente com base nas suas necessidades. Recomendamos que você revise periodicamente sua política de segurança para fins de conformidade e para tomar decisões sobre o quórum e seu tamanho. Sua organização pode escolher o momento da revisão, mas recomendamos que você realize uma revisão do domínio de segurança pelo menos uma vez a cada trimestre, e também nestes momentos:
- Quando um membro do quórum deixa a organização.
- Quando uma ameaça nova ou emergente faz com que você decida aumentar o tamanho do quórum.
- Quando há uma mudança de processo na implementação do quórum.
- Quando uma unidade USB ou HSM que pertence a um membro do quórum do domínio de segurança é perdida ou comprometida.
Comprometimento ou perda de domínio de segurança
Se seu domínio de segurança estiver comprometido, um ator mal-intencionado poderá usá-lo para criar sua própria instância gerenciada do HSM. O agente mal-intencionado pode usar o acesso a backups de chaves para começar a descriptografar os dados protegidos com as chaves no HSM gerenciado.
Um domínio de segurança perdido é considerado comprometido.
Depois que um domínio de segurança é comprometido, todos os dados criptografados por meio do HSM gerenciado atual devem ser descriptografados usando o material de chave atual. Uma nova instância do Azure Key Vault Managed HSM deve ser provisionada e um novo domínio de segurança que aponte para a nova URL deve ser implementado.
Como não há como migrar material de chave de uma instância do HSM gerenciado para outra instância que tenha um domínio de segurança diferente, a implementação do domínio de segurança deve ser bem pensada e deve ser protegida por meio de manutenção de registros precisa e periodicamente revisada.
Resumo
O domínio de segurança e suas chaves privadas correspondentes desempenham um papel importante nas operações gerenciadas do HSM. Esses artefatos são análogos à combinação de um cofre, e um gerenciamento deficiente pode facilmente comprometer algoritmos e sistemas fortes. Se uma combinação segura é conhecida por um adversário, o cofre mais forte não fornece segurança. O gerenciamento adequado do domínio de segurança e suas chaves privadas é essencial para o uso eficaz do HSM gerenciado.
É altamente recomendável que você revise a Publicação Especial NIST 800-57 para conhecer as principais práticas recomendadas de gerenciamento antes de desenvolver e implementar as políticas, sistemas e padrões necessários para atender e aprimorar as metas de segurança da sua organização.
Próximos passos
- Leia uma visão geral do HSM gerenciado.
- Saiba mais sobre como gerenciar seu HSM gerenciado usando a CLI do Azure.
- Analise as práticas recomendadas do HSM gerenciado.