Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A Microsoft valoriza, protege e defende a privacidade. Acreditamos na transparência para que pessoas e organizações possam controlar seus dados e ter opções significativas sobre como eles são usados. Capacitamos e defendemos as escolhas de privacidade de todas as pessoas que usam nossos produtos e serviços.
Neste artigo, examinamos detalhadamente os controles de segurança para criptografia do HSM Gerenciado do Azure Key Vault e como ele oferece proteções e medidas técnicas adicionais para ajudar nossos clientes a atender às suas exigências de conformidade.
A criptografia é uma das principais medidas técnicas que você pode adotar para ter controle exclusivo sobre seus dados. O Azure fortalece seus dados por meio de tecnologias de criptografia de última geração, tanto para dados inativos quanto para dados em trânsito. Nossos produtos de criptografia criam barreiras contra o acesso não autorizado aos dados, incluindo duas ou mais camadas de criptografia independentes para proteger contra a violação de qualquer camada individual. Além disso, o Azure definiu claramente respostas, políticas e processos bem estabelecidos, compromissos contratuais fortes e controles estritos de segurança física, operacional e de infraestrutura para fornecer aos nossos clientes o controle absoluto de seus dados na nuvem. A premissa fundamental da estratégia de gerenciamento de chaves do Azure é dar aos nossos clientes mais controle sobre seus dados. Usamos uma postura de segurança Confiança Zero com tecnologias avançadas de enclave, módulos de segurança de hardware (HSMs) e isolamento de identidade que reduzem o acesso da Microsoft a chaves e dados do cliente.
A criptografia inativa oferece proteção de dados para dados armazenados inativos e conforme exigido pela necessidade de governança de dados e esforços de conformidade de uma organização. O portfólio de conformidade da Microsoft é o mais amplo de todas as nuvens públicas do mundo, com padrões do setor e regulamentações governamentais, como HIPAA, Regulamento Geral sobre a Proteção de Dados e Padrões Federais de Processamento de Informações (FIPS) 140-2 e 3. Esses padrões e regulamentações estabelecem proteções específicas para requisitos de proteção de dados e criptografia. Na maioria dos casos, uma medida obrigatória é exigida para conformidade.
Como funciona a criptografia inativa?
Os serviços do Azure Key Vault oferecem soluções de criptografia e gerenciamento de chaves que protegem chaves criptográficas, certificados e outros segredos que aplicativos e serviços de nuvem usam para proteger e controlar dados criptografados inativos.
O gerenciamento seguro de chaves é fundamental para proteger os dados na nuvem. O Azure oferece várias soluções que você pode usar para gerenciar e controlar o acesso a chaves de criptografia, para que você tenha escolha e flexibilidade para atender a rigorosas necessidades de proteção de dados e conformidade.
- A criptografia de plataforma do Azure é uma solução de criptografia gerenciada pela plataforma que criptografa usando criptografia em nível de host. As chaves gerenciadas pela plataforma são chaves de criptografia geradas, armazenadas e gerenciadas inteiramente pelo Azure.
- As chaves gerenciadas pelo cliente são chaves criadas, lidas, excluídas, atualizadas e administradas inteiramente pelo cliente. As chaves gerenciadas pelo cliente podem ser armazenadas em um serviço de gerenciamento de chaves na nuvem, como o Azure Key Vault.
- O Azure Key Vault Standard criptografa usando uma chave de software e está em conformidade com o FIPS 140-2 Nível 1.
- O Azure Key Vault Premium criptografa usando chaves protegidas por HSMs validados por FIPS 140.
- O HSM Gerenciado do Azure Key Vault criptografa usando chaves protegidas por HSM para o FIPS 140-3 Nível 3 de locatário único e é totalmente gerenciado pela Microsoft.
Para maior segurança, no Azure Key Vault Premium e no HSM Gerenciado do Azure Key Vault, você pode trazer sua própria chave (BYOK) e importar chaves protegidas por HSM de um HSM local.
Portfólio de produtos de gerenciamento de chaves do Azure
| Azure Key Vault Standard (Cofre de Chaves Azure Padrão) | Azure Key Vault Premium | Sobre o HSM Gerenciado do Azure Key Vault | |
|---|---|---|---|
| Locação | Multilocatário | Multilocatário | Locatário único |
| Conformidade | FIPS 140-2 Nível 1 | FIPS 140-3 Nível 3 | FIPS 140-3 Nível 3 |
| Alta disponibilidade | Automático | Automático | Automático |
| Casos de uso | Criptografia em repouso | Criptografia em repouso | Criptografia em repouso |
| Principais controles | Cliente | Cliente | Cliente |
| Raiz do controle de confiança | Microsoft | Microsoft | Cliente |
O Azure Key Vault é um serviço de nuvem que você pode usar para armazenar e acessar segredos com segurança. Um segredo é qualquer coisa à qual você deseja controlar o acesso com segurança e pode incluir chaves de API, senhas, certificados e chaves criptográficas.
O Key Vault dá suporte a dois tipos de contêineres:
Cofres
- Camada Standard: os Cofres dão suporte ao armazenamento de segredos, certificados e chaves com suporte a software.
- Camada Premium: os Cofres dão suporte ao armazenamento de segredos, certificados, chaves com suporte a software e chaves com suporte a HSM.
Módulo de segurança de hardware (HSM) gerenciado
- O HSM Gerenciado dá suporte apenas a chaves com suporte a HSM.
Para obter mais informações, confira Conceitos do Azure Key Vault e Visão geral da API REST do Azure Key Vault.
O que é o HSM Gerenciado do Azure Key Vault?
O Azure Key Vault Managed HSM é um serviço de nuvem totalmente gerenciado, altamente disponível, de locatário único e compatível com os padrões, que possui um domínio de segurança sob controle do cliente. Isso permite armazenar chaves criptográficas para seus aplicativos de nuvem usando HSMs validados no Nível 3 de FIPS 140-3.
Como o HSM Gerenciado do Azure Key Vault protege suas chaves?
O HSM Gerenciado do Azure Key Vault usa uma postura de segurança de defesa em profundidade e Confiança Zero que usa várias camadas, incluindo controles de segurança físicos, técnicos e administrativos para proteger e defender seus dados.
O Azure Key Vault e o HSM Gerenciado do Azure Key Vault são projetados, implantados e operados para que a Microsoft e seus agentes sejam impedidos de acessar, usar ou extrair quaisquer dados armazenados no serviço, incluindo chaves criptográficas.
As chaves gerenciadas pelo cliente criadas ou importadas com segurança para os dispositivos HSM, a menos que definido de outra forma pelo cliente, não são extraíveis e nunca são visíveis em texto não criptografado para sistemas, funcionários ou agentes da Microsoft.
A equipe do Key Vault explicitamente não tem procedimentos operacionais para conceder esse tipo de acesso à Microsoft e seus agentes, mesmo que autorizado por um cliente.
Não tentaremos burlar os recursos de criptografia controlados pelo cliente, como o Azure Key Vault ou o HSM Gerenciado do Azure Key Vault. Se enfrentarmos uma exigência legal para fazê-lo, contestaremos tal exigência em qualquer base legal, de acordo com nossos compromissos com os clientes.
Em seguida, examinamos detalhadamente como esses controles de segurança são implementados.
Controles de segurança no HSM Gerenciado do Azure Key Vault
O HSM Gerenciado do Azure Key Vault usa os seguintes tipos de controles de segurança:
- Físico
- Técnicos
- Administrativo
Controles de segurança física
O núcleo do HSM Gerenciado é o módulo de segurança de hardware (HSM). Um HSM é um processador criptográfico especializado, protegido, à prova de adulteração, de alta entropia e dedicado, que é validado pelo padrão FIPS 140-2 Nível 3. Todos os componentes do HSM são cobertos também por epóxi protegido e uma caixa de metal para manter suas chaves a salvo de um invasor. Os HSMs estão alojados em racks de servidores em vários datacenters, regiões e geografias. Esses datacenters geograficamente dispersos estão em conformidade com os principais padrões do setor, como ISO/IEC 27001:2013 e NIST SP 800-53 para segurança e confiabilidade.
A Microsoft projeta, cria e opera datacenters de uma maneira que controla rigorosamente o acesso físico às áreas onde seus dados são armazenados. Camadas adicionais de segurança física, como cercas altas de concreto e aço, portas de aço com trancas, sistemas de alarme térmico, monitoramento de câmeras ao vivo em circuito fechado, segurança 24x7, acesso com base em aprovação por andar, rigoroso treinamento da equipe, biometria, verificações de antecedentes e solicitação e aprovação de acesso são obrigatórios. Os dispositivos HSM e os servidores relacionados estão bloqueados em uma gaiola, e câmeras filmam a frente e a parte de trás dos servidores.
Controles de segurança técnica
Várias camadas de controles técnicos no HSM Gerenciado protegem ainda mais o material da sua chave. Mas, o mais importante é que eles impedem que a Microsoft acesse o material da chave.
Confidencialidade: o serviço HSM Gerenciado é executado em um ambiente de execução confiável, criado com as Intel Software Guard Extensions (Intel SGX). O Intel SGX oferece proteção avançada contra invasores internos e externos, usando isolamento de hardware em enclaves que protegem dados em uso.
Enclaves são partes protegidas do processador e da memória de um hardware. Não é possível exibir dados nem código dentro do enclave, mesmo com um depurador. Se um código não confiável tentar alterar o conteúdo na memória do enclave, o Intel SGX desabilitará o ambiente e negará a operação.
Essas funcionalidades exclusivas ajudam a proteger o material da sua chave criptográfica contra acesso ou visualização como texto legível. Além disso, a computação confidencial do Azure oferece soluções para permitir o isolamento dos seus dados confidenciais enquanto são processados na nuvem.
Domínio de segurança: um domínio de segurança é um blob criptografado que contém informações criptográficas extremamente confidenciais. O domínio de segurança contém artefatos como o backup do HSM, as credenciais do usuário, a chave de assinatura e a chave de criptografia de dados exclusiva do seu HSM gerenciado.
O domínio de segurança é gerado tanto no hardware do HSM gerenciado quanto nos enclaves de software do serviço durante a inicialização. Após o provisionamento do HSM gerenciado, você deverá criar pelo menos três pares de chaves RSA. Envie as chaves públicas para o serviço ao solicitar o download do domínio de segurança. Após o download do domínio de segurança, o HSM gerenciado passa para o estado ativado e está pronto para ser consumido. Os funcionários da Microsoft não têm como recuperar o domínio de segurança e não podem acessar suas chaves sem ele.
Controles de acesso e autorização: o acesso a um HSM gerenciado é controlado por meio de duas interfaces, o plano de controle e o plano de dados.
O plano de controle é onde você gerencia o HSM em si. As operações nesse plano incluem a criação e a exclusão de HSMs gerenciados e a recuperação de propriedades de HSM gerenciado.
O plano de dados é onde você trabalha com os dados armazenados em um HSM gerenciado, que são chaves de criptografia com suporte a HSM. Na interface do plano de dados, é possível adicionar, excluir, modificar e usar chaves para realizar operações criptográficas, gerenciar atribuições de função para controlar o acesso às chaves, criar um backup completo do HSM, restaurar um backup completo e gerenciar o domínio de segurança.
Para acessar um HSM gerenciado em qualquer plano, todos os chamadores devem ter a autenticação e a autorização adequadas. Autenticação estabelece a identidade do chamador. Autorização determina quais operações o chamador pode executar. Um chamador pode ser qualquer uma das entidades de segurança que são definidas no Microsoft Entra ID: usuário, grupo, entidade de serviço ou identidade gerenciada.
Os dois planos usam o Microsoft Entra ID para autenticação. Para autorização, eles usam sistemas diferentes:
- O plano de controle usa o RBAC (controle de acesso baseado em função) do Azure, um sistema de autorização criado no Azure Resource Manager.
- O plano de dados usa RBAC no nível do HSM gerenciado (RBAC local do HSM Gerenciado), um sistema de autorização implementado e aplicado no nível do HSM gerenciado. O modelo de controle RBAC local do HSM Gerenciado permite que os administradores de HSM designados tenham controle total sobre o pool de HSM, que nem mesmo o grupo de gerenciamento, a assinatura ou os administradores do grupo de recursos podem substituir.
- Criptografia em trânsito: todo o tráfego de e para o HSM Gerenciado é sempre criptografado com TLS (as versões 1.3 e 1.2 do Transport Layer Security têm suporte) para proteger contra violação de dados e espionagem, onde a terminação TLS ocorre dentro do enclave SGX e não no host não confiável
- Firewalls: o HSM Gerenciado pode ser configurado para restringir quem pode acessar o serviço, o que reduz ainda mais a superfície de ataque. Permitimos que você configure o HSM gerenciado para negar o acesso da Internet pública e permitir apenas o tráfego de serviços confiáveis do Azure (como o Armazenamento do Azure)
- Pontos de extremidade privados: ao habilitar um ponto de extremidade privado, você está trazendo o serviço HSM Gerenciado para sua rede virtual, permitindo que você isole esse serviço apenas para pontos de extremidade confiáveis, como sua rede virtual e os serviços do Azure. Todo o tráfego de e para seu HSM gerenciado viajará pela rede backbone segura da Microsoft sem precisar percorrer a Internet pública.
- Monitoramento e registro em log: a camada mais externa de proteção são os recursos de monitoramento e registro em log do HSM Gerenciado. Usando o serviço Azure Monitor, você pode verificar seus logs em busca de análises e alertas para garantir que os padrões de acesso estejam de acordo com suas expectativas. Isso permite que os membros da sua equipe de segurança tenham visibilidade do que está acontecendo no serviço de HSM gerenciado. Se algo não parecer certo, você sempre poderá substituir suas chaves ou revogar permissões.
- Bring Your Own Key (BYOK): o BYOK permite que os clientes do Azure usem qualquer HSM local com suporte para gerar chaves e, em seguida, importá-las para o HSM gerenciado. Alguns clientes preferem usar HSMs locais para gerar chaves a fim de atender aos requisitos regulatórios e de conformidade. Depois, eles usam o BYOK para transferir com segurança uma chave protegida por HSM para o HSM gerenciado. A chave a ser transferida nunca existe fora de um HSM em forma de texto não criptografado. Durante o processo de importação, o material da chave é protegido com uma chave mantida no HSM gerenciado.
- HSM externo: alguns clientes nos perguntaram se podem explorar a opção de ter o HSM fora da nuvem do Azure para manter os dados e as chaves segregados com um HSM externo, seja em uma nuvem de terceiros ou localmente. Embora o uso de um HSM de terceiros fora do Azure pareça dar aos clientes mais controle sobre as chaves, ele apresenta várias preocupações, como latência que causa problemas de desempenho, violação do SLA causada por problemas com o HSM de terceiros e custos de manutenção e treinamento. Além disso, um HSM de terceiros não pode usar recursos principais do Azure, como exclusão temporária e proteção contra limpeza. Continuamos avaliando essa opção técnica com nossos clientes para ajudá-los a navegar no complexo cenário de segurança e conformidade.
Controles de segurança administrativa
Estes controles de segurança administrativa estão configurados corretamente no HSM Gerenciado do Azure Key Vault:
- Defesa de dados. Você tem o forte compromisso da Microsoft de contestar solicitações governamentais e defender seus dados.
- Obrigações contratuais. Ele oferece obrigações de controle para segurança e proteção de dados do cliente, conforme discutido no Centro de Confiabilidade da Microsoft.
- Replicação entre regiões. Você pode usar a replicação de várias regiões no HSM Gerenciado para implantar HSMs em uma região secundária.
- Recuperação de desastre. O Azure oferece uma solução de backup e recuperação de desastre de ponta a ponta, simples, segura, escalonável e econômica:
-
MsRC (Centro de Resposta de Segurança da Microsoft). A administração do serviço HSM Gerenciado está totalmente integrada ao MSRC.
- Monitoramento de segurança para operações administrativas inesperadas com resposta de segurança completa e 24 horas
- Cadeia de fornecedores segura e resiliente na nuvem. O HSM Gerenciado melhora a confiabilidade por meio de uma cadeia de fornecedores resiliente na nuvem.
- Iniciativa interna de conformidade regulamentar. A conformidade no Azure Policy fornece definições de iniciativas internas para exibir uma lista dos controles e domínios de conformidade com base na responsabilidade (Cliente, Microsoft, Compartilhado). Para controles responsáveis pela Microsoft, fornecemos detalhes adicionais de nossos resultados de auditoria com base em atestado de terceiros e nossos detalhes de implementação para atingir essa conformidade.
- Relatórios de auditoria. Recursos para ajudar profissionais de segurança da informação e conformidade a entender os recursos da nuvem e verificar os requisitos técnicos de conformidade e controle
- Filosofia de violação presumida. Presumimos que qualquer componente pode ser comprometido a qualquer momento e projetamos e testamos adequadamente. Realizamos regularmente exercícios de Equipe Vermelha/Equipe Azul (simulação de ataque).
O HSM gerenciado oferece controles de segurança físicos, técnicos e administrativos robustos. O HSM gerenciado oferece controle exclusivo do seu material de chave para uma solução de gerenciamento de chaves em nuvem centralizada e escalonável que ajuda a atender às crescentes necessidades de conformidade, segurança e privacidade. Mais importante ainda, ele fornece as proteções de criptografia necessárias para conformidade. Nossos clientes podem ter a certeza de que estamos comprometidos em garantir que seus dados sejam protegidos com transparência sobre nossas práticas à medida que avançamos na implementação da Fronteira de Dados da Europa da Microsoft.
Para obter mais informações, entre em contato com a equipe da sua conta do Azure para facilitar uma discussão com a equipe de produtos de Gerenciamento de Chaves do Azure.