マネージド HSM は、シングルテナント の Federal Information Processing Standards (FIPS) 140-3 レベル 3 で検証され、高可用性のハードウェア セキュリティ モジュール (HSM) であり、お客様が管理するセキュリティ ドメインを備えています。
マネージド HSM が動作するには、セキュリティ ドメインが必要です。 セキュリティ ドメインは暗号化された BLOB ファイルであり、HSM のバックアップ、ユーザー資格情報、署名キー、データ暗号化キーなど、マネージド HSM に固有の成果物が含まれています。
マネージド HSM セキュリティ ドメインは次の目的を果たします。
各マネージド HSM を、お客様が独自に管理する信頼キーのルートに暗号的に結びつけることで、"所有権" を確立します。 これにより、Microsoftがマネージド HSM の暗号化キー マテリアルにアクセスできなくなります。
マネージド HSM インスタンスのキーの暗号境界を設定します。
障害の発生時にマネージド HSM インスタンスを完全に復旧できます。 次の障害シナリオに対応できます。
- マネージド HSM インスタンスのすべてのメンバー HSM インスタンスが破棄されるような壊滅的な障害。
- マネージド HSM インスタンスが顧客によって論理的に削除され、必須の保持期間の満了後にリソースが消去された。
- お客様は、マネージド HSM インスタンスとすべてのデータを含むバックアップを実行してプロジェクトをアーカイブした後、プロジェクトに関連付けられているすべてのAzureリソースを削除しました。
セキュリティ ドメインがないと、ディザスター リカバリーは不可能です。すべてのキーは完全に失われ、回復不能になります。 Microsoftにはセキュリティ ドメインを回復する方法がなく、Microsoftはセキュリティ ドメインがないとキーにアクセスできません。 これは、ポリシーだけでなく、HSM ハードウェアと暗号化設計によってアーキテクチャ上適用されます。 そのため、セキュリティ ドメインの保護は、ビジネス継続性にとって最も重要です。
セキュリティ ドメイン保護のベスト プラクティス
セキュリティ ドメインを確実に保護するには、次のベスト プラクティスを実装します。
暗号化されたセキュリティ ドメインのダウンロード
セキュリティ ドメインは、初期化時にマネージド HSM ハードウェアとサービス ソフトウェア エンクレーブの両方に生成されます。 マネージド HSM をプロビジョニングした後、少なくとも 3 つの RSA キー ペアを作成し、セキュリティ ドメインのダウンロードを要求するときに、これらの公開キーをサービスに送信する必要があります。 また、後でセキュリティ ドメインの暗号化を解除するために必要なキーの最小数 (クォーラム) を指定する必要があります。
マネージド HSM は、セキュリティ ドメインを初期化し、Shamir のシークレット共有アルゴリズムを使用して、指定した公開キーで暗号化します。 セキュリティ ドメインがダウンロードされた後、マネージド HSM はアクティブ化された状態に移行し、使用できるようになります。
RSA キー ペアを安全に生成する
セキュリティ ドメインを保護する RSA キー ペアは、マネージド HSM の信頼のルートです。 これらのキーは、組織に適した最高レベルのセキュリティで生成および処理する必要があります。
運用環境では、セキュリティを低下させるために、次のアプローチを検討してください。
オンプレミスのエアギャップ HSM でキーを生成します。 これにより、汎用コンピューターやネットワークに接続されたデバイスには秘密キーが存在しないので、最も強力な保護が提供されます。
エアギャップコンピューターでキーを生成します。 ネットワークに接続されたことがない専用ワークステーションは、マルウェアやリモート攻撃への露出を減らします。
セキュリティで保護された信頼できるワークステーションでキーを生成します。 エアギャップ システムを使用できない場合は、ディスク全体の暗号化、up-to-date セキュリティ パッチ、および最小限のインストール済みソフトウェアを備えた 特権アクセス ワークステーション を使用します。
openssl、ハードウェア セキュリティ モジュールのキー生成ユーティリティ、組織で承認された暗号化ライブラリなど、暗号で保護されたキー生成ツールを使用します。
重要
最終的に、マネージド HSM 全体のセキュリティは、これらの RSA 秘密キーがどの程度保護されているかによって異なります。 十分なクォーラム キーとセキュリティ ドメイン バックアップにアクセスできる攻撃者は、HSM を再構築し、すべてのキーにアクセスできます。
セキュリティ ドメイン キーの格納
セキュリティ ドメイン キーは、オフライン ストレージ (暗号化された USB ドライブなど) に保管し、クォーラムの各分割を別のストレージ デバイスに格納する必要があります。 ストレージ デバイスは、地理的に離れた場所にある物理的な金庫またはロック ボックス内に保管する必要があります。 非常に機密性が高く保証度の高いユース ケースの場合は、セキュリティ ドメインの秘密キーをオンプレミスのオフライン HSM に格納することもできます。
マネージド HSM クォーラムのセキュリティ ポリシーを定期的に見直すことも特に重要です。 セキュリティ ポリシーは正確にする必要があります。セキュリティ ドメインとその秘密キーの格納場所について最新の記録を保持する必要があります。また、セキュリティ ドメインの管理者を把握している必要があります。
セキュリティ ドメイン キーの取り扱いに関する禁止事項は次のとおりです。
- すべてのクォーラム キーに物理的にアクセスする許可を 1 人の担当者に与えないでください。 つまり、
mは 1 より大きくする必要があります (理想的には > 3 以上をお勧めします)。 - セキュリティ ドメイン キーは、インターネットに接続されたコンピューターに格納しないでください。 インターネットに接続されたコンピューターは、ウイルスや悪意のあるハッカーなど、さまざまな脅威にさらされています。 セキュリティ ドメイン キーをオフラインで格納することで、リスクを大幅に軽減できます。
セキュリティ ドメイン クォーラムの確立
セキュリティ ドメインを保護し、暗号化ロックアウトを防ぐ最善の方法は、Managed HSM の概念クォーラムを使用して複数ユーザー制御を実装 することです。 クォーラムは、セキュリティドメインを暗号化するキーを複数の人で分割するための秘密分割しきい値です。 クォーラムは、複数ユーザーの制御を強制します。 こうすることで、セキュリティ ドメインは、組織を離れたり悪意を持っている可能性のある 1 人の担当者に依存しなくなります。
m が 3 以上である場合、m 人のクォーラムを設定することをお勧めします。 Managed HSM のセキュリティ ドメインの最大クォーラム サイズは 10 です。
より大きな (m) サイズにするとセキュリティは強化されますが、セキュリティ ドメインの扱いという点で管理のオーバーヘッドが増えます。 そのため、セキュリティ ドメイン クォーラムは、m>= 3 として慎重に選ぶ必要があります。
また、セキュリティ ドメイン クォーラムのサイズを定期的に見直し、更新するようにします (たとえば、人事異動があった場合など)。 セキュリティ ドメイン所有者の記録を保管することが特に重要です。 記録には、所有権の譲渡または変更をすべて記録する必要があります。 ポリシーでは、クォーラムと文書要件の厳格な順守を強制する必要があります。
このキーを使用すると、マネージド HSM の最も機密性の高い重要な情報にアクセスできるため、セキュリティ ドメインの秘密キーは、組織内の信頼できる主要な従業員が保持する必要があります。 セキュリティ ドメイン保持者には、組織内で個別の役割を持ち、地理的に離れた場所にいる担当者を指定するようにします。
たとえば、セキュリティ ドメイン クォーラムを 4 つのキー ペアに構成し、各秘密キーを異なる担当者に渡すことができます。 セキュリティ ドメインを再構築するには、少なくとも 2 人の担当者が集まる必要があります。 パーツは、次のような主要担当者に渡すことができます。
- 事業単位の技術リーダー
- セキュリティ アーキテクト
- セキュリティ エンジニア
- アプリケーション開発者
組織はそれぞれ異なり、そのニーズに応じて異なるセキュリティ ポリシーを実施しています。 セキュリティ ポリシーの準拠状況を定期的に見直し、クォーラムとそのサイズについて判断することをお勧めします。 組織はレビューのタイミングを選択できますが、少なくとも四半期に 1 回、次のタイミングでセキュリティ ドメイン レビューを実施することをお勧めします。
- クォーラムのメンバーが組織から離脱したとき。
- 新しい脅威または脅威の発生により、クォーラム サイズの増加を決定したとき。
- クォーラムの実施においてプロセスの変更がある場合。
- セキュリティ ドメイン クォーラムのメンバーに属する USB ドライブまたは HSM が紛失した、または侵害されたとき。
セキュリティ ドメインの侵害または紛失
セキュリティ ドメインが侵害された場合、悪意のあるアクターがそれを使用して独自の Managed HSM インスタンスを作成する可能性があります。 悪意のあるアクターは、キー バックアップへのアクセスを使用して、Managed HSM 上のキーで保護されているデータの暗号化解除を開始できます。
紛失したセキュリティ ドメインは侵害されたものと考えます。
セキュリティ ドメインが侵害された後、現在の Managed HSM を介して暗号化されたすべてのデータは、現在のキー マテリアルを使用して暗号化解除する必要があります。 Azure Key Vault Managed HSM の新しいインスタンスをプロビジョニングし、新しい URL を指す新しいセキュリティ ドメインを実装する必要があります。
マネージド HSM の 1 つのインスタンスから別のセキュリティ ドメインを持つ別のインスタンスにキー マテリアルを移行する方法がないため、セキュリティ ドメインの実装は十分に検討し、正確で定期的に確認された記録によって保護する必要があります。
セキュリティ ドメイン キーの侵害または紛失
セキュリティ ドメインを保護するキーが侵害されたり、それを紛失したりした場合、またはポリシーでセキュリティ ドメイン キーを定期的にローテーションする必要がある場合は、セキュリティ ドメインの新しいコピーをダウンロードし、それを保護するキーの新しいクォーラムを使用できます。 マネージド HSM 管理者の役割を持つユーザーは、新しいセキュリティ ドメイン ラッピング キーのセットを使用して、セキュリティ ドメインのダウンロード コマンドをもう一度実行できます。 古いキーと以前のセキュリティ ドメインのコピーを削除する前に、新しいキーとセキュリティ ドメインをテストして安全な場所に保存する必要があります。 新しい保護キーを使用してセキュリティ ドメインを再ダウンロードしても、HSM 内の既存のキーには影響しません。 セキュリティ ドメイン自体は変更されず、それを保護するキーのみが変更されます。
重要
マネージド HSM 管理者の役割は、高い特権を持つ役割です。 通知とアラートは、"SecurityDomainBackup" 操作と "SecurityDomainBackupStatusGet" 操作に設定する必要があり、Managed HSM 管理者ロールで PIM を有効にすることを強くお勧めします。
まとめ
セキュリティ ドメインとそれに対応する秘密キーには、マネージド HSM の運用に重要な役割があります。 これらの成果物は金庫の解錠番号と似ています。管理が不適切な場合、強固なアルゴリズムとシステムでも容易に侵害される可能性があります。 金庫の解錠番号が敵対者に知られると、最強の金庫でも安全ではありません。 マネージド HSM を効果的に使用するには、セキュリティ ドメインとその秘密キーの適切な管理が不可欠です。
組織のセキュリティ目標を達成し、拡張するために必要なポリシー、システム、標準を開発および実装する前に、NIST Special Publication 800-57 のキー管理のベスト プラクティスを確認することを強くお勧めします。
次のステップ
- 「Managed HSM の概要」をお読みください。
- Azure CLIを使用したマネージド HSM の管理について説明します。
- Azure Managed HSM のデプロイをセキュリティで保護するを確認します。