Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O HSM Gerenciado do Azure é um serviço HSM (Módulo de Segurança de Hardware) totalmente gerenciado, altamente disponível e de locatário único que fornece proteção de chave criptográfica validada fips 140-3 nível 3 para seus aplicativos de nuvem. Como o HSM gerenciado protege suas chaves e segredos criptográficos mais confidenciais, implementar controles de segurança abrangentes é essencial para proteger contra ameaças e manter a continuidade dos negócios.
As recomendações de segurança neste artigo implementam princípios de Confiança Zero: "Verificar explicitamente", "Usar acesso de privilégio mínimo" e "Assumir violação". Para obter diretrizes abrangentes sobre Confiança Zero, consulte o Centro de Diretrizes de Confiança Zero.
Este artigo fornece recomendações de segurança para ajudar a proteger sua implantação do HSM Gerenciado do Azure.
Segurança de rede
A segurança de rede protege seu HSM Gerenciado por meio de controles seguros de conectividade e acesso à rede. Esses recursos de segurança de rede são listados dos recursos mais restritos aos menos restritos. Escolha a configuração que melhor se adapte ao caso de uso da sua organização. Para obter informações detalhadas sobre todas as configurações de segurança de rede, consulte Segurança de rede para o HSM Gerenciado do Azure Key Vault.
Desabilite o acesso à rede pública e use somente pontos de extremidade privados: implante o Link Privado do Azure para estabelecer conectividade privada e protegida à instância do HSM Gerenciado criando um ponto de extremidade privado em sua rede virtual. Desabilitar o acesso à rede pública impede o acesso de endereços IP públicos configurando seu HSM gerenciado para negar o acesso à rede pública. Isso impede a exposição à Internet pública e roteia todo o tráfego pela rede de backbone da Microsoft. Consulte Integrar o HSM Gerenciado com o Link Privado do Azure.
Configurar o firewall do HSM gerenciado com serviços confiáveis: configure regras de firewall do HSM gerenciado para negar acesso à Internet público, permitindo serviços confiáveis específicos do Azure por meio da
--bypass AzureServicesconfiguração quando exigido pelo seu cenário. Isso restringe a superfície de ataque, mantendo as integrações de serviço necessárias. Para obter detalhes completos, consulte Segurança de rede: Firewall de HSM Gerenciado do Azure habilitado (somente serviços confiáveis).Habilitar o Firewall de Rede IP (versão prévia): limite o acesso a endereços IP estáticos públicos quando os cenários de rede exigirem acesso público controlado. Para obter detalhes completos, consulte a segurança de rede HSM gerenciada do Azure Key Vault: configurações de firewall.
Para obter instruções de configuração passo a passo, consulte Como definir as configurações de rede do HSM Gerenciado do Azure.
Gerenciamento de identidade e acesso
O gerenciamento de identidade e acesso protege a autenticação e a autorização para seus recursos de HSM gerenciados. O HSM Gerenciado utiliza um modelo de acesso com plano duplo, empregando diferentes sistemas de autorização para operações no plano de controle e no plano de dados.
Implementar o RBAC local do HSM Gerenciado para acesso ao plano de dados: Utilize o RBAC local do HSM Gerenciado para controlar o acesso a chaves e operações criptográficas dentro do HSM. Esse sistema de autorização opera independentemente do RBAC do Azure e fornece permissões granulares para operações de chave, atribuições de função e gerenciamento de domínio de segurança. Consulte o controle de acesso para HSM gerenciado.
Habilitar identidades gerenciadas para acesso ao aplicativo: configure identidades gerenciadas atribuídas pelo sistema ou atribuídas pelo usuário para que os aplicativos se autentiquem no HSM Gerenciado sem armazenar credenciais em arquivos de código ou configuração. As identidades gerenciadas se integram à ID do Microsoft Entra e lidam automaticamente com a rotação de credenciais. Consulte o controle de acesso para HSM gerenciado.
Aplique acesso de privilégios mínimos com escopos apropriados: conceda permissões no escopo mais restritivo necessário—no nível de HSM (
/ou/keys) para acesso amplo ou nível de chave (/keys/<key-name>) para acesso a chave específica. Use funções internas como o Managed HSM Crypto Officer, Managed HSM Crypto User ou Managed HSM Crypto Auditor com base nas operações necessárias. Consulte o controle de acesso para HSM gerenciado.Atribuir a função de Administrador de HSM a grupos de segurança: conceda a função de Administrador de HSM aos grupos de segurança do Microsoft Entra em vez de usuários individuais para impedir o bloqueio acidental se as contas de usuário forem excluídas. Essa abordagem simplifica o gerenciamento de permissões e garante a continuidade do acesso administrativo durante o processo de provisionamento do HSM. Consulte o controle de acesso para HSM gerenciado.
Habilitar o Privileged Identity Management para funções administrativas: use o PIM (Microsoft Entra Privileged Identity Management) para impor o acesso just-in-time para funções altamente privilegiadas, como Administrador de HSM Gerenciado. O PIM reduz o risco de privilégios administrativos permanentes e fornece fluxos de trabalho de aprovação para acesso elevado. Consulte o controle de acesso para HSM gerenciado.
Acesso separado do plano de controle e do plano de dados: Entenda que o acesso ao plano de controle (RBAC do Azure) para gerenciar recursos de HSM não concede acesso ao plano de dados para as chaves. Atribua explicitamente funções de plano de dados por meio do RBAC local do HSM gerenciado aos usuários que precisam executar operações-chave. Consulte o controle de acesso para HSM gerenciado.
Proteção de dados
A proteção de dados protege chaves criptográficas e dados confidenciais armazenados no HSM Gerenciado por meio de criptografia, políticas de gerenciamento de chaves e práticas de armazenamento seguro. A proteção de dados adequada garante que o material da chave permaneça confidencial e resistente a adulterações.
Implementar controle de múltiplas pessoas para o domínio de segurança: configure um quórum de domínio de segurança com múltiplos pares de chaves RSA (mínimo de 3 recomendados) para prevenir o controle por uma única pessoa sobre a recuperação de HSM. Especifique um limite de quorum que exige que vários titulares de chave colaborem para a descriptografia do domínio de segurança, garantindo que nenhum indivíduo possa comprometer o HSM. Confira a visão geral do domínio de segurança.
Armazenar chaves de domínio de segurança offline em locais seguros: mantenha as chaves privadas do domínio de segurança em dispositivos de armazenamento criptografados e offline, como unidades USB criptografadas armazenadas em locais geográficos separados dentro de cofres físicos ou caixas de bloqueio. Nunca armazene chaves de domínio de segurança em computadores conectados à internet para reduzir a exposição a ameaças cibernéticas e garantir a segurança isolada. Confira a visão geral do domínio de segurança.
Estabelecer procedimentos de gerenciamento de chave de domínio de segurança: implemente políticas para revisão periódica da custódia de chave de domínio de segurança quando ocorrem alterações de pessoal ou quando as chaves podem ser comprometidas. Documente as responsabilidades do responsável pelo domínio de segurança, mantenha registros precisos das localizações chave e da guarda, e assegure-se de que o quorum possa ser reunido para cenários de recuperação de desastres. Confira a visão geral do domínio de segurança.
Habilitar a proteção contra expurgo para HSM e chaves: a proteção contra expurgo deve ser configurada para impedir a exclusão definitiva do HSM ou das chaves individuais antes que o período de retenção expire. Esse controle protege contra exclusão acidental ou mal-intencionada e fornece uma janela de recuperação para operações críticas. Confira a visão geral da exclusão suave.
Configure períodos de retenção de exclusão reversível apropriados: Defina períodos de retenção de exclusão reversível entre 7 e 90 dias com base nos requisitos de recuperação e nas necessidades de conformidade. Períodos de retenção mais longos fornecem mais tempo de recuperação, mas podem entrar em conflito com os requisitos de residência de dados. Confira a visão geral da exclusão suave.
Registro e monitoramento
O registro em log e o monitoramento fornecem visibilidade dos padrões e operações de acesso ao HSM, permitindo a detecção de ameaças e relatórios de conformidade. O registro em log abrangente ajuda a identificar atividades suspeitas e dá suporte a investigações forenses.
Habilitar o log de auditoria com configurações de diagnóstico: defina as configurações de diagnóstico para capturar todas as solicitações de API REST autenticadas, operações de chave e ações de domínio de segurança na tabela AzureDiagnostics. Roteie logs para contas de Armazenamento do Azure, workspaces do Log Analytics ou Hubs de Eventos, com base nos seus requisitos de retenção e análise. Consulte registro em log do HSM gerenciado.
Analisar logs com o Azure Monitor e o Log Analytics: use o Azure Monitor para coletar e analisar logs de HSM através de consultas KQL que filtram o ResourceProvider "MICROSOFT.KEYVAULT" e o ResourceType "MANAGEDHSMS". Crie dashboards e pastas de trabalho personalizadas para as equipes de operações de segurança para monitorar padrões de acesso e uso de chave. Consulte Monitorar o HSM Gerenciado do Azure.
Configurar alertas para eventos de segurança críticos: crie regras de alerta do Azure Monitor para eventos como a disponibilidade de HSM cai abaixo de 100%, latência de API de serviço excedendo limites, padrões de código de erro incomuns ou tentativas de autenticação com falha. Configure o limite estático e os alertas de limite dinâmico para reduzir falsos positivos, mantendo a visibilidade de segurança. Consulte Configurar alertas de HSM gerenciados.
Integre-se ao Microsoft Sentinel para detecção avançada de ameaças: implante o Microsoft Sentinel para detectar automaticamente atividades suspeitas usando análise de aprendizado de máquina e regras de detecção personalizadas específicas para operações de HSM gerenciadas. Crie regras analíticas para operações confidenciais, como downloads de domínio de segurança, operações de chave em massa ou padrões de acesso anômalos. Consulte a configuração do Microsoft Sentinel para HSM Gerenciado do Azure.
Implementar políticas de retenção de log adequadas: estabeleça períodos de retenção de log que atendam aos requisitos de conformidade e dão suporte a investigações forenses. Use as políticas de retenção do Log Analytics do Azure Monitor para gerenciar os custos de armazenamento, mantendo os recursos de investigação adequados para incidentes de segurança. Consulte Monitorar o HSM Gerenciado do Azure.
Conformidade e governança
Os controles de conformidade e governança garantem que sua implantação de HSM Gerenciado atenda aos requisitos regulatórios e às políticas organizacionais por meio do monitoramento automatizado de conformidade e imposição de políticas.
Implementar Política do Azure para governança de chave: conceda a função "Auditor de Cripto do HSM Gerenciado" ao "Serviço de Governança de Chave do HSM Gerenciado do Azure" (ID do Aplicativo: a1b76039-a76c-499f-a2dd-846b4cc32627) para permitir a verificação de conformidade com a Política do Azure. Em seguida, defina regras de política para auditar ou impor configurações seguras de chave, incluindo requisitos de expiração de chave, tamanhos mínimos de chave RSA e restrições de algoritmos de curva elíptica. Sem essa atribuição de função, o Azure Policy não pode avaliar seu inventário de chaves completo. Consulte Integrar o HSM Gerenciado do Azure ao Azure Policy.
Configurar padrões de ciclo de vida de chave e criptografia: use definições internas do Azure Policy para impor datas de expiração de chave, exigir tamanhos mínimos de chave RSA para conformidade de segurança, restringir a criptografia de curva elíptica a nomes de curva aprovados (P-256, P-256K, P-384, P-521) e garantir que as chaves tenham tempo suficiente antes da expiração para procedimentos de rotação. Consulte Integrar o HSM Gerenciado do Azure ao Azure Policy.
Monitorar a conformidade por meio dos painéis do Azure Policy: use os painéis de conformidade do Azure Policy para acompanhar a adesão aos padrões de segurança criptográfica e identificar chaves não compatíveis que exigem correção. Configurar os efeitos de políticas de auditoria e de negação para fornecer visibilidade e imposição de linhas de base de segurança. Consulte Integrar o HSM Gerenciado do Azure ao Azure Policy.
Backup e recuperação
O backup e a recuperação protegem contra perda de dados e permitem a continuidade dos negócios por meio de estratégias de backup adequadas, procedimentos de recuperação de desastre e testes de recuperação para garantir que as chaves criptográficas permaneçam acessíveis.
Crie backups de HSM completos regulares: agende backups de HSM completos automatizados que incluem todas as chaves, versões, atributos, marcas e atribuições de função para evitar a perda de dados de falhas de hardware ou incidentes operacionais. Use identidades gerenciadas atribuídas pelo usuário para operações de backup para habilitar o acesso seguro a contas de armazenamento sem gerenciamento de credenciais. Veja Backup e Restauração Completos.
Implementar backups individuais de nível de chave para chaves críticas: crie backups seletivos de chaves de alto valor usando o
az keyvault key backupcomando para habilitar a recuperação granular sem operações completas de restauração de HSM. Os backups de chave são criptografados e criptograficamente vinculados ao domínio de segurança, o que significa que eles só podem ser restaurados para HSMs que compartilham o mesmo domínio de segurança. Veja Backup e Restauração Completos.Preparar procedimentos abrangentes de recuperação de desastre: desenvolver e testar planos de recuperação de desastre que incluem recuperação de domínio de segurança usando pares de chaves RSA, procedimentos de restauração de backup e etapas de reconfiguração de aplicativo. Certifique-se de manter o acesso offline seguro a arquivos de domínio de segurança, chaves privadas (quorum mínimo) e backups recentes armazenados em locais geograficamente separados. Consulte o guia de recuperação de desastre.
Testar procedimentos de backup e restauração regularmente: realize simulações periódicas de procedimentos de recuperação de desastres usando instâncias de HSM de não produção para validar a recuperação do domínio de segurança, a restauração de backups e o fluxo de trabalho completo de recuperação de desastres. O teste garante que os detentores de quorum de domínio de segurança possam executar operações de recuperação com êxito e verificar a integridade do backup. Consulte o guia de recuperação de desastre.
Proteger o armazenamento de backup com controles de acesso adequados: armazene backups de HSM em contas de Armazenamento do Azure configuradas com permissões RBAC apropriadas, pontos de extremidade privados e chaves de criptografia gerenciadas pelo cliente. Configure a identidade gerenciada atribuída pelo usuário com a função Colaborador de Dados do Blob de Armazenamento e implemente políticas de retenção de backup que equilibram os requisitos de recuperação com os custos de armazenamento. Veja Backup e Restauração Completos.
Segurança específica do serviço
A segurança específica do serviço aborda características exclusivas do HSM Gerenciado, incluindo proteção em nível de hardware, conformidade fips e operações criptográficas especializadas que o distinguem de outros serviços do Azure.
Aproveite a validação de hardware FIPS 140-3 nível 3: aproveite os módulos de segurança de hardware validados FIPS 140-3 nível 3 do Managed HSM, que fornecem processamento criptográfico de alta entropia e resistência a adulterações, com isolamento de chave baseado em hardware. Isso fornece o nível mais alto de proteção de chave disponível no Azure. Veja o que é o HSM Gerenciado do Azure?.
Implemente BYOK (bring-your-own-key) para conformidade regulatória: use BYOK para importar chaves protegidas por HSM de HSMs locais quando os requisitos regulatórios exigirem procedimentos específicos de geração de chave. O BYOK garante que as chaves nunca existam fora dos limites do HSM em forma de texto sem formatação durante o processo de transferência. Veja o que é o HSM Gerenciado do Azure?.
Utilize o isolamento de locatário único para cargas de trabalho confidenciais: aproveite a arquitetura de locatário único do HSM gerenciado em que cada instância de HSM é dedicada a um único cliente e isolada criptograficamente por meio de domínios de segurança específicos do cliente. Isso fornece um isolamento mais forte do que soluções de cofre de chaves multilocatário. Veja o que é o HSM Gerenciado do Azure?.
Implementar procedimentos de atestado de chave adequados: use as capacidades de atestado de chave para provar que as chaves foram geradas e processadas dentro das fronteiras de hardware FIPS 140-3 Nível 3. O atestado de chave fornece uma prova criptográfica da procedência de chave para cenários de alta garantia. Consulte atestado de chave.
Configurar a replicação entre regiões para continuidade dos negócios: Habilite a replicação multi-região para estender seu HSM Gerenciado de uma região primária para uma região estendida, oferecendo uma implantação ativa-ativa com replicação automatizada. Ambas as regiões podem atender às solicitações e o Gerenciador de Tráfego encaminha solicitações para a região mais próxima disponível, aumentando o SLA para 99,99% combinados. Consulte Replicação multirregional.
Próximas etapas
- Segurança de rede para o HSM Gerenciado do Azure Key Vault
- Como definir as configurações de rede do HSM Gerenciado do Azure
- Integrar com o Link Privado do Azure
- Controle de acesso
- Funções internas de RBAC local do HSM Gerenciado
- Integrar com o Azure Policy
- Visão geral do domínio de segurança
- Conceitos básicos de Segurança do Azure