効果的なユーザー管理は、Azure Cloud HSM のセキュリティと整合性を維持するために重要です。 この記事では、ユーザー ID の管理、資格情報のセキュリティ保護、冗長性の実装、セキュリティを強化し、承認されていないアクセスを防ぐためのユーザーアクセス許可の制限に関するベスト プラクティスについて説明します。
ユーザーマネージド ID を確立する
Azure Cloud HSM のユーザー割り当てマネージド ID を確立できます。 Azure Cloud HSM のマネージド ID は、ユーザーのバックアップと復元の操作専用に調整されています。
マネージド ID を使用すると、Cloud HSM バックアップをストレージ アカウントに簡単に転送できます。 また、既存のバックアップから新しい Cloud HSM インスタンスをプロビジョニングするなど、ビジネス継続性とディザスター リカバリー (BCDR) シナリオも可能になります。 このセットアップは、バックアップにアクセスする必要があるお客様と、BCDR 要件を満たすために復元操作を個別に実行する機能に不可欠です。
次のいずれかの項目を使用して、Azure 仮想マシン (VM) にユーザー割り当てマネージド ID を採用することをお勧めします。
- Azure Cloud HSM SDK (Cloud HSM クライアントなど)
- 管理アクションが実行される VM
- ハードウェア セキュリティ モジュール (HSM) リソースにアクセスするアプリケーション
このアプローチにより、セキュリティが強化され、管理が簡素化され、スケーラビリティが確保され、コンプライアンス要件を満たすのに役立ちます。 Azure VM への管理アクセスを管理するための安全で追跡可能な方法が提供されます。
強力なパスワードを使用する
一意の強力なパスワードを作成することをお勧めします。 Azure Cloud HSM のパスワードの最小長は 8 文字で、最大長は 32 文字です。 12 文字以上のパスワードを使用することをお勧めします。
大文字と小文字、数字、特殊文字の組み合わせを組み込みます。 一般的な単語や個人情報は避けてください。 覚えやすいが、他のユーザーが推測するのは難しいランダムな語句または文を使用することを検討してください。
HSM ユーザー資格情報をセキュリティで保護する
HSM ユーザー資格情報の保護は最も重要です。これらの資格情報を使用すると、HSM に対して暗号化および管理操作を実行するためのアクセス権が付与されるためです。
Azure Cloud HSM では、HSM ユーザー資格情報へのアクセスは保持されません。 資格情報へのアクセスが失われると、Microsoft はサポートを受けられません。
ロックアウト防止のためのセカンダリ管理者の実装
HSM ロックアウトのリスクを防ぐために、少なくとも 2 人の管理者を指定して継続性を提供することをお勧めします。 1 つの管理者パスワードが失われた場合、他の管理者はそれをリセットできます。
アクセス許可が制限された複数の暗号化ユーザーを確立する
暗号化ユーザー (CU) 間で責任が分散されている場合、システム全体を完全に制御するユーザーは 1 人もいません。 複数の CU を作成し、それに応じてそれぞれのアクセス許可を制限する必要があります。 多くの場合、このタスクには、個別の責任とアクションを CU に割り当てることが含まれます。
たとえば、1 つの CU でキーの生成と配布が行われるのに対し、他の CU はアプリケーション内でこれらのキーを使用します。
複数の暗号化ユーザーとのキー共有を設定する
キーは他の CU と共有できます。 ただし、キーの元の所有者だけがそれをラップできます。 その他のユーザーはキーを使用できますが、暗号化責任者 (CO) ユーザーが TRUSTEDとしてマークしたキーにアクセスできる場合でも、プレーンテキスト エクスポートを実行することはできません。
暗号化ユーザーがキーをエクスポートする機能を制限する
CO ユーザーは、CU が実行できる操作を調整する属性のセットを定義できます。 これらの属性には、キーのラップ/ラップ解除、キー属性の変更、またはキーの派生を行う CU の機能の制限が含まれます。 この制限は、CU が HSM から秘密キー マテリアルを抽出するのを防ぐのに役立ちます。
setUserAttributes コマンドを使用して、これらの属性を構成できます。
暗号化担当者による暗号化ユーザーの制御を制限する
CO ユーザーが CU の重要な資料にアクセスできないように制限する必要がある場合は、CO ユーザーの管理アクセスを取り消すことができます。 たとえば、CO ユーザーがキーを信頼済みとしてマークし、そのキーを使用してプレーンテキスト エクスポートを実行できないようにすることができます。
disableUserAccess コマンドは、指定した CU への CO ユーザーのアクセスを取り消すことによって、この制限を実現します。 ただし、CO ユーザーは、この制限が適用されていない以前のバックアップを使用することで、この対策を回避する可能性があります。