Sécurisez le déploiement de votre Azure Cloud HSM

Microsoft Azure Cloud HSM fournit une solution de module de sécurité matériel de haute assurance (HSM) pour protéger les clés de chiffrement et sécuriser les charges de travail sensibles dans le cloud. L’implémentation des meilleures pratiques de sécurité est essentielle pour empêcher l’accès non autorisé, maintenir l’intégrité opérationnelle et optimiser les performances.

Cet article fournit des conseils sur la meilleure sécurisation de votre déploiement HSM cloud.

Sécurité et conformité

• Protégez la racine de confiance : nous conseillons aux clients de limiter l’accès à la clé privée de propriétaire de la partition de l’application (POTA) (PO.key). L’administrateur de la partition applicative (AOTA) et les clés privées de POTA sont équivalents à l’accès root. Ils peuvent réinitialiser les mots de passe des utilisateurs de l’agent de chiffrement (CO) dans une partition (AOTA pour partition 0, POTA pour les partitions utilisateur).

  PO.key est inutile pour l’accès HSM pendant l’exécution. Il est nécessaire uniquement pour la signature initiale du certificat d’authentification du propriétaire de partition (POAC) et des réinitialisations de mot de passe CO. Nous vous recommandons de stocker PO.key hors connexion et d’effectuer la signature POAC initiale sur une machine déconnectée, si possible.

  Important

  Les clients sont responsables de la protection de leur clé privée POTA. La perte de la clé privée POTA entraîne l’incapacité de récupérer les mots de passe CO. Nous conseillons aux clients de stocker en toute sécurité leur clé privée POTA et de gérer les sauvegardes appropriées.

Sécurité réseau

Garantir une sécurité réseau forte est essentielle lorsque vous utilisez Azure Cloud HSM. La configuration correcte de votre réseau peut aider à empêcher l’accès non autorisé et à réduire l’exposition aux menaces externes. Pour plus d’informations, consultez Sécurité réseau pour azure Cloud HSM.

• Utilisez des points de terminaison privés : sécurisez votre déploiement HSM cloud Azure à l’aide de sous-réseaux privés et de points de terminaison privés pour empêcher l’exposition à l’Internet public. Cette action garantit que le trafic reste au sein du réseau principal Microsoft, ce qui réduit le risque d’accès non autorisé.

Gestion des utilisateurs

Une gestion efficace des utilisateurs est essentielle pour maintenir la sécurité et l’intégrité du HSM cloud Azure. L’implémentation de contrôles appropriés pour les identités utilisateur, les informations d’identification et les autorisations peut aider à empêcher l’accès non autorisé et à garantir la continuité opérationnelle. Pour plus d’informations, consultez Gestion des utilisateurs dans Azure Cloud HSM.

• Utilisez des mots de passe forts : créez des mots de passe uniques et forts pour les utilisateurs HSM. Utilisez au moins 12 caractères, y compris un mélange de lettres majuscules et minuscules, de chiffres et de caractères spéciaux.

• Sécurisez vos informations d’identification de l’utilisateur HSM : protégez soigneusement vos informations d’identification de l’utilisateur HSM, car Microsoft ne peut pas les récupérer s’ils sont perdus.

• Mettre en place des administrateurs secondaires pour prévenir le verrouillage : Désigner au moins deux administrateurs pour empêcher le verrouillage HSM si un mot de passe est oublié.

• Établir plusieurs utilisateurs de cryptographie (CUs) avec des autorisations restreintes : Créez plusieurs CUs avec des responsabilités distinctes pour empêcher tout utilisateur unique d'avoir un contrôle total.

• Limitez la capacité des unités cryptographiques à exporter des clés : restreignez les unités cryptographiques d'exporter du matériel de clé en définissant les attributs utilisateur appropriés.

• Limitez le contrôle de CO sur les unités de commande : utilisez la commande disableUserAccess pour empêcher les utilisateurs de CO de gérer des unités de gestion spécifiques. Toutefois, les utilisateurs de CO peuvent contourner cette commande avec des sauvegardes plus anciennes.

Gestion des clés

Une gestion efficace des clés est essentielle pour optimiser les performances, la sécurité et l’efficacité du HSM cloud Azure. La gestion appropriée des limites de stockage de clés, de la sécurité de l’habillage des clés, des attributs clés et des stratégies de mise en cache peut améliorer la protection et les performances. Pour plus d’informations, consultez Gestion des clés dans azure Cloud HSM.

• Mettre en œuvre la rotation des clés : effectuez une rotation régulière des clés pour remplacer les plus anciennes et libérer de l’espace de stockage tout en maintenant la sécurité.

• Utilisez une hiérarchie de clés : stockez moins de clés dans le HSM à l’aide de clés maîtresses pour chiffrer les autres clés.

• Partagez et réutilisez les clés quand cela est possible : réduisez les exigences de stockage en partageant ou réutilisant des clés entre plusieurs sessions, le cas échéant.

• Supprimez en toute sécurité les clés inutilisées : supprimez les clés dont vous avez besoin plus longtemps pour éviter toute consommation inutile de stockage.

• Définissez les clés comme non extractibles si possible : utilisez EXTRACTABLE=0 cette option pour vous assurer que les clés ne peuvent pas être exportées en dehors du HSM.

• Activer l'encapsulation de clés de confiance : Utilisez WRAP_WITH_TRUSTED=1 pour restreindre l'encapsulation aux clés de confiance. Cette action empêche les exportations de clés non autorisées.

• Utilisez des attributs clés pour restreindre les autorisations : attribuez uniquement les attributs nécessaires lorsque vous générez des clés, pour limiter les opérations involontaires.

Authentification

L’authentification est un aspect essentiel de l’accès sécurisé et de l’exploitation dans azure Cloud HSM. Les méthodes d’authentification appropriées aident à protéger les informations d’identification et à garantir le contrôle d’accès sécurisé. Pour plus d’informations, consultez Authentification dans Azure Cloud HSM.

• Stockez en toute sécurité les informations d’identification HSM : protégez les informations d’identification stockées et évitez de les exposer lorsqu’elles ne sont pas utilisées. Configurez votre environnement pour récupérer et définir automatiquement les informations d’identification.

• Utilisez la connexion implicite pour l’authentification JCE (Java Cryptography Extension) : dans la mesure du possible, utilisez la connexion implicite pour l’authentification JCE pour autoriser la gestion automatique des informations d’identification et la réauthentification.

• Évitez de partager des sessions entre threads : pour les applications multithreads, affectez à chaque thread sa propre session pour éviter les conflits et les problèmes de sécurité.

• Implémenter des réessayages côté client : ajoutez une logique de réessayage pour les opérations HSM afin de gérer les éventuels événements de maintenance ou remplacements d'HSM.

• Gérez attentivement les sessions clientes HSM : Sachez que azurecloudhsm_client partage les sessions entre les applications sur un même hôte. La gestion de session appropriée évite les conflits.

Surveillance et journalisation

• Surveiller les journaux d’audit et d’opérations : nous vous recommandons de configurer la journalisation des événements d’opération. La journalisation des événements d’opération est essentielle pour la sécurité HSM. Il fournit un enregistrement immuable de l’accès et des opérations pour la responsabilité, la traçabilité et la conformité réglementaire. Il permet de détecter l’accès non autorisé, d’examiner les incidents et d’identifier les anomalies afin de garantir l’intégrité et la confidentialité des opérations de chiffrement.

  Pour maintenir la sécurité et la confidentialité, les journaux excluent les données sensibles (telles que les ID de clé, les noms de clés et les détails de l’utilisateur). Ils capturent les opérations HSM, les horodatages et les métadonnées, mais ils ne peuvent pas déterminer la réussite ou l’échec. Ils ne peuvent consigner que le fait que l’opération a été exécutée. Cette limitation existe, car l’opération HSM se produit dans le canal TLS interne, qui n’est pas exposée en dehors de cette limite.

Continuité d’activité et reprise d’activité

• Implémentez une sauvegarde et une récupération d’urgence robustes : Azure Cloud HSM fournit une haute disponibilité via des HSM en cluster qui synchronisent les clés et les stratégies tout en migrant automatiquement les partitions pendant les défaillances. Le service prend en charge les opérations complètes de sauvegarde et de restauration qui conservent toutes les clés, attributs et attributions de rôles. Les sauvegardes sont sécurisées par des clés dérivées de HSM auxquelles Microsoft ne peut pas accéder.

  Pour la continuité d’activité et la reprise d’activité (BCDR) :

  • Utilisez des identités managées pour l’authentification.
  • Stockez les sauvegardes dans un Blob Azure privé.
  • Implémentez des autorisations de contrôle d’accès en fonction du rôle (RBAC) minimales.
  • Désactivez l’accès à la clé partagée.

  Remarque

  Azure Cloud HSM ne prend pas en charge la restauration sur des HSM déjà activées.

  Pour obtenir des instructions d’implémentation détaillées et des options de récupération supplémentaires, consultez Sauvegarde et restauration dans azure Cloud HSM. Les options de récupération supplémentaires incluent l’utilisation extractMaskedObject pour extraire des clés en tant qu’objets blob chiffrés, les stocker en toute sécurité et les importer en insertMaskedObject fonction des besoins. Une meilleure pratique de continuité d'activité et reprise d'activité consiste à déployer dans deux régions pour la fonctionnalité de basculement.

Contenu connexe

• Bonnes pratiques de sécurité pour les charges de travail IaaS dans Azure
• Activer l’accès juste-à-temps aux machines virtuelles
• Adopter une approche Zéro Confiance