Proteggere la distribuzione di HSM del cloud di Azure

Microsoft Azure modulo di protezione hardware cloud offre una soluzione HSM (High Assurance Hardware Security Module) per proteggere le chiavi crittografiche e proteggere i carichi di lavoro sensibili nel cloud. L'implementazione delle procedure consigliate per la sicurezza è essenziale per impedire l'accesso non autorizzato, mantenere l'integrità operativa e ottimizzare le prestazioni.

Questo articolo fornisce indicazioni su come mettere al sicuro al meglio la distribuzione del Cloud HSM.

Sicurezza e conformità

• Proteggere la radice di attendibilità: è consigliabile limitare l'accesso alla chiave privata del Partition Owner of the Application Partition (POTA) (PO.key). L'amministratore della partizione dell'applicazione (AOTA) e le chiavi private POTA sono equivalenti all'accesso root. Possono reimpostare le password per gli utenti del responsabile della crittografia (CO) in una partizione (AOTA per la partizione 0, POTA per le partizioni utente).

  PO.key non è necessario per l'accesso agli HSM durante il runtime. È necessario solo per la firma iniziale del certificato di autenticazione del proprietario della partizione (POAC) e per la reimpostazione della password CO. È consigliabile archiviare PO.key offline ed eseguire la firma iniziale di POAC in un computer offline, se possibile.

  Importante

  I clienti sono responsabili della protezione della chiave privata POTA. La perdita della chiave privata POTA comporta l'impossibilità di recuperare le password CO. Consigliamo ai clienti di archiviare in modo sicuro la chiave privata POTA e di mantenere i backup appropriati.

Sicurezza della rete

Garantire una forte sicurezza della rete è essenziale quando si usa Azure Cloud HSM. La configurazione corretta della rete può aiutare a impedire l'accesso non autorizzato e a ridurre l'esposizione a minacce esterne. Per altre informazioni, vedere La sicurezza della rete per Azure Cloud HSM.

• Usare endpoint privati: aiutare a proteggere la distribuzione di Azure Cloud HSM usando subnet private ed endpoint privati per impedire l'esposizione a Internet pubblico. Questa azione garantisce che il traffico rimanga all'interno della rete backbone Microsoft, riducendo così il rischio di accesso non autorizzato.

Gestione degli utenti

Una gestione efficace degli utenti è fondamentale per mantenere la sicurezza e l'integrità di Azure cloud HSM. L'implementazione di controlli appropriati per identità utente, credenziali e autorizzazioni può contribuire a impedire l'accesso non autorizzato e garantire la continuità operativa. Per altre informazioni, vedere Gestione utente in Azure Cloud HSM.

• Usare password complesse: creare password univoche e complesse per gli utenti del modulo di protezione hardware. Usare almeno 12 caratteri, tra cui una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali.

• Proteggere le credenziali utente del modulo di protezione hardware: proteggere attentamente le credenziali utente del modulo di protezione hardware, perché Microsoft non può recuperarle in caso di perdita.

• Implementare gli amministratori secondari per la prevenzione del blocco: designare almeno due amministratori per impedire il blocco del modulo di protezione hardware in caso di perdita di una password.

• Stabilire più utenti di crittografia (CU) con autorizzazioni limitate: creare più CU con responsabilità distinte per impedire a un singolo utente di avere il controllo completo.

• Limitare la capacità delle UR di esportare le chiavi: limitare le UR dall'esportazione del materiale della chiave impostando gli attributi utente appropriati.

• Limitare il controllo della CO sulle CPU: usare il disableUserAccess comando per impedire agli utenti di CO di gestire specifiche CPU. Tuttavia, gli utenti di CO possono ignorare questo comando con backup meno recenti.

Gestione delle chiavi

Una gestione efficace delle chiavi è fondamentale per ottimizzare le prestazioni, la sicurezza e l'efficienza del modulo di protezione hardware cloud Azure. La corretta gestione dei limiti di archiviazione delle chiavi, la sicurezza del wrapping delle chiavi, gli attributi chiave e le strategie di memorizzazione nella cache possono migliorare la protezione e le prestazioni. Per altre informazioni, vedere Key management in Azure Cloud HSM.

• Implementare la rotazione delle chiavi: Ruotare regolarmente le chiavi per sostituire quelle vecchie e liberare spazio di archiviazione mantenendo la sicurezza.

• Usare una gerarchia di chiavi: archiviare meno chiavi nel modulo di protezione hardware usando le chiavi master per crittografare altre chiavi.

• Condividere e riutilizzare le chiavi quando possibile: ridurre i requisiti di storage condividendo o riutilizzando le chiavi tra più sessioni quando appropriato.

• Eliminare in modo sicuro le chiavi inutilizzate: rimuovere le chiavi necessarie per evitare il consumo di storage non necessario.

• Impostare le chiavi come non estraibili quando possibile: usare EXTRACTABLE=0 per assicurarsi che le chiavi non possano essere esportate all'esterno del modulo di protezione hardware.

• Abilitare il wrapping chiave fidata: usare WRAP_WITH_TRUSTED=1 per limitare il wrapping alle chiavi fidate. Questa azione impedisce esportazioni di chiavi non autorizzate.

• Usare gli attributi chiave per limitare le autorizzazioni: assegnare solo gli attributi necessari quando si generano chiavi per limitare le operazioni indesiderate.

Autenticazione

L'autenticazione è un aspetto cruciale per un accesso e operazioni sicure all'interno di Azure Cloud HSM. I metodi di autenticazione appropriati consentono di proteggere le credenziali e garantire il controllo di accesso sicuro. Per altre informazioni, vedere Authentication in Azure Cloud HSM.

• Archiviare in modo sicuro le credenziali del modulo di protezione hardware: proteggere le credenziali archiviate ed evitare di esporle quando non sono in uso. Configurare l'ambiente per recuperare e impostare automaticamente le credenziali.

• Use implicit login for Java Cryptography Extension (JCE) authentication: quando possibile, usare l'accesso implicito per l'autenticazione JCE per consentire la gestione automatica delle credenziali e la riautenticazione.

• Evitare di condividere sessioni tra thread: per le applicazioni multithreading, assegnare a ogni thread la propria sessione per evitare conflitti e problemi di sicurezza.

• Implementare nuovi tentativi sul lato client: aggiungere la logica di ripetizione dei tentativi per le operazioni HSM per gestire potenziali eventi di manutenzione o sostituzioni degli HSM.

• Gestire attentamente le sessioni client HSM: tenere presente che azurecloudhsm_client condivide sessioni tra applicazioni nello stesso host. La gestione corretta delle sessioni evita conflitti.

Monitoraggio e registrazione

• Monitorare i log di controllo e operazioni: È consigliabile configurare la registrazione degli eventi delle operazioni. La registrazione degli eventi operativi è fondamentale per la sicurezza del modulo di protezione hardware. Fornisce un record non modificabile di accesso e operazioni per la responsabilità, la tracciabilità e la conformità alle normative. Consente di rilevare l'accesso non autorizzato, analizzare gli eventi imprevisti e identificare le anomalie, per garantire l'integrità e la riservatezza delle operazioni crittografiche.

  Per mantenere la sicurezza e la privacy, i log escludono dati sensibili, ad esempio ID chiave, nomi di chiave e dettagli utente. Acquisiscono operazioni HSM, timestamp e metadati, ma non possono determinare l'esito positivo o negativo. Possono registrare solo il fatto che l'operazione è stata eseguita. Questa limitazione esiste perché l'operazione HSM si verifica all'interno del canale TLS interno, che non è esposto all'esterno di tale limite.

Continuità aziendale e ripristino di emergenza

• Implementare un robusto backup e ripristino di emergenza: Azure modulo di protezione hardware cloud offre alta disponibilità tramite moduli di protezione hardware in cluster che sincronizzano chiavi e criteri e migrano automaticamente i carichi di lavoro in caso di guasti. Il servizio supporta operazioni complete di backup e ripristino che mantengono tutte le chiavi, gli attributi e le assegnazioni di ruolo. I backup sono protetti da chiavi derivate dal modulo di protezione hardware a cui Microsoft non può accedere.

  Per la continuità aziendale e il ripristino di emergenza :For business continuity and disaster recovery (BCDR):

  • Usare le identità gestite per l'autenticazione.
  • Archiviare i backup nell'Azure Blob Storage privato.
  • Implementare autorizzazioni minime di controllo degli accessi in base al ruolo.
  • Disabilitare l'accesso con chiave condivisa.

  Annotazioni

  Azure Cloud HSM non supporta il ripristino su HSM già attivati.

  Per istruzioni dettagliate sull'implementazione e opzioni di ripristino aggiuntive, vedere Backup e ripristino in Azure cloud HSM. Altre opzioni di ripristino includono l'uso extractMaskedObject di per estrarre chiavi come BLOB crittografati, archiviarli in modo sicuro e importarli con insertMaskedObject in base alle esigenze. Una procedura consigliata per il ripristino di emergenza consiste nel distribuire in due aree per la funzionalità di failover.

• Verificare la sincronizzazione dell'utente e della chiave in tutti i nodi: Azure Cloud HSM opera come cluster di tre nodi. Durante gli eventi del servizio, ad esempio la riparazione automatica o gli aggiornamenti, gli utenti o le chiavi potrebbero non essere replicati in tutti i nodi. Se si verificano errori di autenticazione o operazione intermittenti, verificare che tutti gli utenti e le chiavi esistano in ogni nodo. Per i passaggi di verifica e correzione, vedere Sincronizzare utenti e chiavi nei nodi Azure Cloud HSM.

Contenuti correlati

• Procedure consigliate per la sicurezza per i carichi di lavoro IaaS in Azure
• Abilitare l'accesso just-in-time alle macchine virtuali
• Adotta un approccio Zero Trust