Protección de la implementación de Azure Cloud HSM

Microsoft Azure Cloud HSM proporciona una solución de módulo de seguridad de hardware (HSM) de alta garantía para proteger las claves criptográficas y proteger las cargas de trabajo confidenciales en la nube. La implementación de procedimientos recomendados de seguridad es esencial para evitar el acceso no autorizado, mantener la integridad operativa y optimizar el rendimiento.

En este artículo se proporcionan instrucciones sobre cómo proteger mejor la implementación de HSM en la nube.

Seguridad y cumplimiento

• Proteger la raíz de confianza: Recomendamos a los clientes que limiten el acceso a la clave privada del Propietario de la Partición de Aplicación (POTA) (PO.key). El administrador de la partición de aplicación (AOTA) y las claves privadas POTA son equivalentes al acceso raíz. Pueden restablecer las contraseñas de los usuarios del oficial de criptografía (CO) en una partición (AOTA para la partición 0, POTA para las particiones de usuario).

  PO.key no es necesario para el acceso al HSM durante el tiempo de ejecución. Solo es necesario para la firma inicial del certificado de autenticación del propietario de la partición (POAC) y los restablecimientos de contraseña de CO. Se recomienda almacenar PO.key desconectado y efectuar la firma inicial de POAC en una máquina desconectada, si es posible.

  Importante

  Los clientes son responsables de proteger su clave privada POTA. La pérdida de la clave privada POTA da lugar a la incapacidad de recuperar contraseñas de CO. Recomendamos a los clientes que almacenen de forma segura su clave privada POTA y mantengan copias de seguridad adecuadas.

Seguridad de red

Garantizar una seguridad de red sólida es esencial cuando se usa Azure Cloud HSM. La configuración correcta de la red puede ayudar a evitar el acceso no autorizado y reducir la exposición a amenazas externas. Para más información, consulte Seguridad de red para Azure Cloud HSM.

• Uso de puntos de conexión privados: ayude a proteger la implementación de HSM en la nube de Azure mediante subredes privadas y puntos de conexión privados para evitar la exposición a la red pública de Internet. Esta acción garantiza que el tráfico permanece dentro de la red troncal de Microsoft, lo que reduce el riesgo de acceso no autorizado.

Administrar usuarios

La administración eficaz de usuarios es fundamental para mantener la seguridad e integridad de Azure Cloud HSM. La implementación de controles adecuados para identidades de usuario, credenciales y permisos puede ayudar a evitar el acceso no autorizado y garantizar la continuidad operativa. Para más información, consulte Administración de usuarios en Azure Cloud HSM.

• Usar contraseñas seguras: cree contraseñas únicas y seguras para los usuarios de HSM. Use al menos 12 caracteres, incluida una combinación de letras mayúsculas y minúsculas, números y caracteres especiales.

• Proteger las credenciales de usuario de HSM: proteja cuidadosamente las credenciales de usuario de HSM, ya que Microsoft no puede recuperarlas si se pierden.

• Implementar administradores secundarios para la prevención de bloqueo: designe al menos dos administradores para evitar el bloqueo de HSM en caso de que se pierda una contraseña.

• Establecer varios usuarios de criptografía (RU) con permisos restringidos: cree varias RU con responsabilidades distintas para evitar que cualquier usuario único tenga control total.

• Limitar la capacidad de los CUs para exportar claves: Restringir a los CUs la exportación de material de clave configurando los atributos de usuario adecuados.

• Limitar el control de CO sobre las RU: Use el comando disableUserAccess para evitar que los usuarios de CO administren RU específicas. Sin embargo, los usuarios de CO pueden omitir este comando con copias de seguridad anteriores.

Administración de claves

La administración eficaz de claves es fundamental para optimizar el rendimiento, la seguridad y la eficacia de Azure Cloud HSM. El control adecuado de los límites de almacenamiento de claves, la seguridad de ajuste de claves, los atributos clave y las estrategias de almacenamiento en caché pueden mejorar la protección y el rendimiento. Para más información, consulte Administración de claves en Azure Cloud HSM.

• Implementar la rotación de claves: rotar periódicamente las claves para reemplazar las más antiguas y liberar almacenamiento al tiempo que mantiene la seguridad.

• Usar una jerarquía de claves: almacene menos claves en el HSM mediante claves maestras para cifrar otras claves.

• Compartir y reutilizar claves cuando sea factible: reduzca los requisitos de almacenamiento mediante el uso compartido o reutilización de claves en varias sesiones cuando proceda.

• Eliminar claves no utilizadas de forma segura: elimine las claves que ya no necesite para evitar el consumo innecesario de almacenamiento.

• Establezca las claves como no extractables cuando sea posible: use EXTRACTABLE=0 para asegurarse de que las claves no se pueden exportar fuera del HSM.

• Habilitar el ajuste de claves de confianza: Use WRAP_WITH_TRUSTED=1 para restringir el ajuste de claves a claves de confianza. Esta acción impide las exportaciones de claves no autorizadas.

• Use atributos clave para restringir los permisos: asigne solo los atributos necesarios al generar claves para limitar las operaciones no deseadas.

Autenticación

La autenticación es un aspecto fundamental del acceso seguro y el funcionamiento dentro de Azure Cloud HSM. Los métodos de autenticación adecuados ayudan a proteger las credenciales y a garantizar el control de acceso seguro. Para más información, consulte Autenticación en Azure Cloud HSM.

• Almacenar de forma segura las credenciales de HSM: proteja las credenciales almacenadas y evite exponerlas cuando no estén en uso. Configure el entorno para recuperar y establecer las credenciales automáticamente.

• Use el inicio de sesión implícito para la autenticación de extensión de criptografía de Java (JCE): siempre que sea posible, use el inicio de sesión implícito para la autenticación JCE para permitir la administración automática de credenciales y la reautenticación.

• Evite compartir sesiones entre subprocesos: para las aplicaciones multiproceso, asigne a cada subproceso su propia sesión para evitar conflictos y problemas de seguridad.

• Implementar reintentos en el lado del cliente: agregue lógica de reintento para las operaciones de HSM para controlar posibles eventos de mantenimiento o reemplazos de HSM.

• Administrar las sesiones de cliente de HSM cuidadosamente: tenga en cuenta que azurecloudhsm_client comparte sesiones entre aplicaciones en el mismo host. La administración de sesiones adecuada evita conflictos.

Supervisión y registro

• Supervisar los registros de auditoría y operaciones: se recomienda configurar el registro de eventos de la operación. El registro de eventos de la operación es fundamental para la seguridad de HSM. Proporciona un registro inmutable de acceso y operaciones para la responsabilidad, la rastreabilidad y el cumplimiento normativo. Ayuda a detectar el acceso no autorizado, investigar incidentes e identificar anomalías, para ayudar a garantizar la integridad y la confidencialidad de las operaciones criptográficas.

  Para mantener la seguridad y la privacidad, los registros excluyen datos confidenciales (como identificadores de clave, nombres de clave y detalles del usuario). Capturan operaciones de HSM, marcas de tiempo y metadatos, pero no pueden determinar el éxito ni el error. Solo pueden registrar el hecho de que se ejecutó la operación. Esta limitación existe porque la operación HSM se produce dentro del canal TLS interno, que no se expone fuera de ese límite.

Continuidad empresarial y recuperación ante desastres

• Implementación de una sólida copia de seguridad y recuperación ante desastres: Azure Cloud HSM proporciona alta disponibilidad a través de HSM agrupados que sincronizan claves y directivas al migrar automáticamente particiones durante errores. El servicio admite operaciones completas de copia de seguridad y restauración que conservan todas las claves, atributos y asignaciones de roles. Las copias de seguridad están protegidas por claves derivadas de HSM a las que Microsoft no puede acceder.

  Para la continuidad empresarial y la recuperación ante desastres (BCDR):

  • Use identidades administradas para la autenticación.
  • Almacene copias de seguridad en Azure Blob Storage privado.
  • Implemente permisos mínimos de control de acceso basado en rol (RBAC).
  • Deshabilite el acceso a claves compartidas.

  Nota:

  Azure Cloud HSM no admite la restauración a HSM ya activados.

  Para obtener instrucciones de implementación detalladas y opciones de recuperación adicionales, consulte Copia de seguridad y restauración en Azure Cloud HSM. Entre las opciones de recuperación adicionales se incluyen el uso extractMaskedObject de para extraer claves como blobs cifrados, almacenarlas de forma segura e importarlas con insertMaskedObject según sea necesario. Un procedimiento recomendado de BCDR es implementar en dos regiones para la funcionalidad de conmutación por error.

Contenido relacionado

• Procedimientos de seguridad recomendados para cargas de trabajo de IaaS de Azure
• Habilitación del acceso Just-In-Time a máquinas virtuales
• adoptar un enfoque de confianza cero