Proteger sua implantação do Azure Cloud HSM

O HSM do Microsoft Azure Cloud fornece uma solução de HSM (módulo de segurança de hardware) de alta garantia para proteger chaves criptográficas e proteger cargas de trabalho confidenciais na nuvem. Implementar as práticas recomendadas de segurança é essencial para impedir o acesso não autorizado, manter a integridade operacional e otimizar o desempenho.

Este artigo fornece diretrizes sobre como proteger melhor sua implantação de HSM na nuvem.

Segurança e conformidade

• Proteger a raiz de confiança: recomendamos que os clientes limitem o acesso à chave privada (PO.key) do Proprietário da Partição do Aplicativo (POTA). O Administrador da Partição de Aplicativo (AOTA) e as chaves privadas POTA são equivalentes ao acesso raiz. Eles podem redefinir as senhas dos usuários oficial de criptografia (CO) em uma partição (AOTA para a partição 0 e POTA para as partições de usuário).

  PO.key é desnecessário para acesso ao HSM durante o runtime. Ele é necessário apenas para a assinatura inicial do Certificado de Autenticação do Proprietário da Partição (POAC) e para redefinições de senha de CO. Recomendamos armazenar PO.key offline e executar a assinatura inicial do POAC em um computador offline, se possível.

  Importante

  Os clientes são responsáveis por proteger sua chave privada POTA. Perder a chave privada POTA resulta na incapacidade de recuperar senhas de CO. Aconselhamos os clientes a armazenar com segurança sua chave privada POTA e manter backups adequados.

Segurança de rede

Garantir uma segurança de rede forte é essencial quando você está usando o HSM de Nuvem do Azure. Configurar corretamente sua rede pode ajudar a impedir o acesso não autorizado e reduzir a exposição a ameaças externas. Para obter mais informações, consulte Segurança de rede para o HSM de Nuvem do Azure.

• Use pontos de extremidade privados: Ajude a proteger sua implantação do Azure Cloud HSM usando sub-redes privadas e pontos de extremidade privados para evitar a exposição à Internet pública. Essa ação garante que o tráfego permaneça dentro da rede de backbone da Microsoft, o que reduz o risco de acesso não autorizado.

Gerenciamento de usuários

O gerenciamento efetivo de usuários é crucial para manter a segurança e a integridade do HSM na Nuvem do Azure. Implementar controles adequados para identidades de usuário, credenciais e permissões pode ajudar a impedir o acesso não autorizado e garantir a continuidade operacional. Para obter mais informações, consulte Gerenciamento de usuário no HSM de Nuvem do Azure.

• Use senhas fortes: crie senhas exclusivas e fortes para usuários do HSM. Use pelo menos 12 caracteres, incluindo uma mistura de letras maiúsculas e minúsculas, números e caracteres especiais.

• Proteja suas credenciais de usuário do HSM: proteja cuidadosamente suas credenciais de usuário do HSM, pois a Microsoft não poderá recuperá-las se elas forem perdidas.

• Implementar administradores secundários para prevenção de bloqueio: designe pelo menos dois administradores para impedir o bloqueio de HSM caso uma senha seja perdida.

• Estabeleça várias CUs (usuários de criptografia) com permissões restritas: crie várias CUs com responsabilidades distintas para impedir que qualquer usuário tenha controle total.

• Limite a capacidade das CUs de exportar chaves: restrinja as CUs de exportar material de chave definindo os atributos de usuário apropriados.

• Limitar o controle de CO sobre CUs: Use o comando disableUserAccess para evitar que usuários de CO administrem CUs específicas. No entanto, os usuários de CO podem ignorar esse comando com backups mais antigos.

Gerenciamento de chaves

O gerenciamento efetivo de chaves é fundamental para otimizar o desempenho, a segurança e a eficiência do HSM de Nuvem do Azure. O tratamento adequado de limites de armazenamento de chaves, segurança de encapsulamento de chaves, atributos de chave e estratégias de cache podem melhorar a proteção e o desempenho. Para obter mais informações, consulte o gerenciamento de chaves no HSM de Nuvem do Azure.

• Implementar rotação de chaves: gire regularmente as chaves para substituir as mais antigas e libere o armazenamento, mantendo a segurança.

• Use uma hierarquia de chaves: armazene menos chaves no HSM usando chaves mestras para criptografar outras chaves.

• Compartilhar e reutilizar chaves quando possível: reduza os requisitos de armazenamento compartilhando ou reutilizando chaves em várias sessões quando apropriado.

• Excluir chaves não utilizadas com segurança: remova as chaves das quais você não precisa mais para evitar o consumo desnecessário de armazenamento.

• Defina as chaves como não extraíveis quando possível: use EXTRACTABLE=0 para garantir que as chaves não possam ser exportadas fora do HSM.

• Habilitar encapsulamento de chave confiável: use WRAP_WITH_TRUSTED=1 para restringir o encapsulamento de chaves a chaves confiáveis. Essa ação impede exportações de chaves não autorizadas.

• Use atributos de chave para restringir permissões: atribua somente os atributos necessários ao gerar chaves para limitar operações não intencionais.

Autenticação

A autenticação é um aspecto crucial do acesso e da operação com segurança no HSM de Nuvem do Azure. Os métodos de autenticação adequados ajudam a proteger as credenciais e a garantir o controle de acesso seguro. Para obter mais informações, consulte Autenticação no HSM de Nuvem do Azure.

• Armazene com segurança as credenciais de HSM: proteja as credenciais armazenadas e evite expô-las quando elas não estiverem em uso. Configure seu ambiente para recuperar e definir credenciais automaticamente.

• Use o login implícito para autenticação JCE (Java Cryptography Extension): sempre que possível, use o login implícito para autenticação JCE para permitir o gerenciamento automático de credenciais e a reautenticação.

• Evite compartilhar sessões entre threads: para aplicativos multithreaded, atribua a cada thread sua própria sessão para evitar conflitos e problemas de segurança.

• Implementar novas tentativas do lado do cliente: adicione lógica de repetição para operações de HSM para lidar com possíveis eventos de manutenção ou substituições de HSM.

• Gerencie as sessões de cliente do HSM com cuidado: lembre-se de que azurecloudhsm_client compartilha sessões entre aplicativos no mesmo host. O gerenciamento de sessão adequado evita conflitos.

Monitoramento e registro em log

• Monitorar logs de auditoria e operações: recomendamos que você configure o log de eventos de operação. O log de eventos de operação é vital para a segurança do HSM. Ele fornece um registro imutável de acesso e operações para responsabilidade, rastreabilidade e conformidade regulatória. Ele ajuda a detectar o acesso não autorizado, investigar incidentes e identificar anomalias, para ajudar a garantir a integridade e a confidencialidade das operações criptográficas.

  Para manter a segurança e a privacidade, os logs excluem dados confidenciais (como IDs de chave, nomes de chave e detalhes do usuário). Eles capturam operações de HSM, carimbos de data/hora e metadados, mas não podem determinar êxito ou falha. Eles só podem registrar o fato de que a operação foi executada. Essa limitação existe porque a operação HSM ocorre dentro do canal TLS interno, que não é exposto fora desse limite.

Continuidade dos negócios e recuperação de desastre

• Implementar backup robusto e recuperação de desastre: o Azure Cloud HSM fornece alta disponibilidade por meio de HSMs clusterizados que sincronizam chaves e políticas ao migrar automaticamente partições durante falhas. O serviço dá suporte a operações abrangentes de backup e restauração que preservam todas as chaves, atributos e atribuições de função. Os backups são protegidos por chaves derivadas de HSM que a Microsoft não pode acessar.

  Para BCDR (continuidade dos negócios e recuperação de desastre):

  • Use identidades gerenciadas para autenticação.
  • Armazene backups no Armazenamento de Blobs privado do Azure.
  • Implemente permissões mínimas de RBAC (controle de acesso baseado em função).
  • Desabilite o acesso de chave compartilhada.

  Observação

  O HSM de Nuvem do Azure não dá suporte à restauração para HSMs já ativados.

  Para obter instruções de implementação detalhadas e opções de recuperação adicionais, consulte Backup e restauração no HSM de Nuvem do Azure. Opções de recuperação adicionais incluem o uso de extractMaskedObject para extrair chaves como blobs criptografados, armazená-las com segurança e importá-las com insertMaskedObject conforme necessário. Uma melhor prática de BCDR é implantar em duas regiões para garantir funcionalidade de failover.

Conteúdo relacionado

• Práticas recomendadas de segurança para as cargas de trabalho IaaS no Azure
• Habilitar o acesso just-in-time a máquinas virtuais
• Adotar uma abordagem de Confiança Zero