Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Azure Managed HSM é um serviço HSM (Hardware Security Module) totalmente gerenciado, altamente disponível e de locatário único que fornece proteção de chave criptográfica validada FIPS 140-3 Nível 3 para seus aplicativos em nuvem. Como o HSM gerenciado protege suas chaves e segredos criptográficos mais confidenciais, a implementação de controles de segurança abrangentes é essencial para proteger contra ameaças e manter a continuidade dos negócios.
As recomendações de segurança neste artigo implementam os princípios do Zero Trust: "Verificar explicitamente", "Usar acesso com privilégios mínimos" e "Assumir violação". Para obter orientações abrangentes sobre Zero Trust, consulte o Centro de Orientação Zero Trust.
Este artigo fornece recomendações de segurança para ajudar a proteger sua implantação do Azure Managed HSM.
Segurança da rede
A segurança de rede protege seu HSM gerenciado por meio de conectividade segura e controles de acesso à rede. Esses recursos de segurança de rede são listados de recursos mais restritos para menos restritos. Escolha a configuração que melhor se adapta ao caso de uso da sua organização. Para obter informações detalhadas sobre todas as configurações de segurança de rede, consulte Segurança de rede para HSM gerenciado do Azure Key Vault.
Desabilitar o acesso à rede pública e usar somente Pontos de Extremidade Privados: implante o Azure Private Link para estabelecer conectividade privada e segura com sua instância de HSM gerenciado criando um ponto de extremidade privado em sua rede virtual. A desativação do acesso à rede pública impede o acesso de endereços IP públicos configurando o HSM gerenciado para negar acesso à rede pública. Isso evita a exposição à Internet pública e roteia todo o tráfego pela rede de backbone da Microsoft. Consulte Integrar HSM gerenciado com o Azure Private Link.
Configurar firewall HSM gerenciado com serviços confiáveis: configure regras de firewall HSM gerenciado para negar acesso público à Internet e, ao mesmo tempo, permitir serviços confiáveis específicos do Azure por meio da
--bypass AzureServicesconfiguração, quando exigido pelo seu cenário. Isso restringe a superfície de ataque, mantendo as integrações de serviço necessárias. Para obter detalhes completos, consulte Segurança de rede: Firewall HSM gerenciado do Azure habilitado (somente serviços confiáveis).Ativar Firewall de Rede IP (visualização): Limite o acesso a endereços IP estáticos públicos quando os cenários de rede exigirem acesso público controlado. Para obter detalhes completos, consulte Segurança de rede HSM gerenciada do Azure Key Vault: configurações de firewall.
Para obter instruções de configuração passo a passo, consulte Como definir as configurações de rede do HSM gerenciado do Azure.
Gestão de identidades e acessos
O gerenciamento de identidade e acesso protege a autenticação e a autorização para seus recursos de HSM gerenciados. O HSM gerido usa um modelo de acesso de duas camadas com diferentes sistemas de autorização para operações de camada de controlo e camada de dados.
Implementar RBAC local do HSM gerido para acesso ao plano de dados: utilize o RBAC local do HSM gerido para controlar o acesso a chaves e operações criptográficas dentro do HSM. Esse sistema de autorização opera independentemente do RBAC do Azure e fornece permissões granulares para operações importantes, atribuições de função e gerenciamento de domínio de segurança. Consulte Controle de acesso para HSM gerenciado.
Habilitar identidades gerenciadas para acesso a aplicativos: configure identidades gerenciadas atribuídas pelo sistema ou pelo usuário para que os aplicativos se autentiquem no HSM gerenciado sem armazenar credenciais em arquivos de código ou configuração. As identidades gerenciadas integram-se ao Microsoft Entra ID e lidam automaticamente com a rotação de credenciais. Consulte Controle de acesso para HSM gerenciado.
Aplique o acesso de privilégios mínimos com escopos apropriados: conceda permissões no escopo mais restritivo necessário — no nível HSM (
/ou/keys) para acesso amplo ou no nível da chave (/keys/<key-name>) para acesso a chaves específicas. Use funções internas como Managed HSM Crypto Officer, Managed HSM Crypto User ou Managed HSM Crypto Auditor com base nas operações necessárias. Consulte Controle de acesso para HSM gerenciado.Atribuir a função de Administrador do HSM a grupos de segurança: conceda a função de Administrador do HSM a grupos de segurança do Microsoft Entra em vez de usuários individuais para evitar o bloqueio acidental se as contas de usuário forem excluídas. Essa abordagem simplifica o gerenciamento de permissões e garante a continuidade do acesso administrativo durante o processo de provisionamento do HSM. Consulte Controle de acesso para HSM gerenciado.
Habilite o Gerenciamento Privilegiado de Identidades para funções administrativas: use o Microsoft Entra Privileged Identity Management (PIM) para impor o acesso just-in-time para funções altamente privilegiadas, como o Managed HSM Administrator. O PIM reduz o risco de privilégios administrativos permanentes e fornece fluxos de trabalho de aprovação para acesso elevado. Consulte Controle de acesso para HSM gerenciado.
Separe o acesso ao plano de controle e ao plano de dados: entenda que o acesso ao plano de controle (Azure RBAC) para gerenciar recursos do HSM não concede acesso ao plano de dados às chaves. Atribua explicitamente funções de plano de dados por meio do RBAC local do HSM gerenciado aos usuários que precisam executar operações importantes. Consulte Controle de acesso para HSM gerenciado.
Proteção de dados
A proteção de dados protege chaves criptográficas e dados confidenciais armazenados no HSM gerenciado por meio de criptografia, políticas de gerenciamento de chaves e práticas de armazenamento seguro. A proteção adequada dos dados garante que o material essencial permanece confidencial e inviolável.
Implementar controle de várias pessoas para domínio de segurança: configure um quórum de domínio de segurança com vários pares de chaves RSA (mínimo 3 recomendado) para evitar o controle de uma única pessoa sobre a recuperação do HSM. Especifique um limite de quórum que exija que vários detentores de chaves colaborem para a descriptografia do domínio de segurança, garantindo que nenhum indivíduo possa comprometer o HSM. Consulte Visão geral do domínio de segurança.
Armazene chaves de domínio de segurança off-line em locais seguros: mantenha as chaves privadas do domínio de segurança em dispositivos de armazenamento criptografados e off-line, como unidades USB criptografadas, armazenadas em locais geográficos separados dentro de cofres físicos ou caixas de bloqueio. Nunca armazene chaves de domínio de segurança em computadores conectados à Internet para reduzir a exposição a ameaças cibernéticas e garantir a segurança aérea. Consulte Visão geral do domínio de segurança.
Estabeleça procedimentos de gerenciamento de chaves de domínio de segurança: implemente políticas para revisão periódica da custódia de chaves de domínio de segurança quando ocorrerem alterações de pessoal ou quando as chaves puderem ser comprometidas. Documente as responsabilidades do detentor do domínio de segurança, mantenha registros precisos dos principais locais e custódia e garanta que o quórum possa ser montado para cenários de recuperação de desastres. Consulte Visão geral do domínio de segurança.
Habilitar a proteção contra limpeza para HSM e chaves: configure a proteção contra limpeza para impedir a exclusão permanente do HSM ou de chaves individuais antes que o período de retenção expire. Esse controle protege contra exclusão acidental ou maliciosa e fornece uma janela de recuperação para operações críticas. Consulte Visão geral de exclusão suave.
Configure períodos de retenção de exclusão suave apropriados: defina períodos de retenção de exclusão suave entre 7 e 90 dias com base em seus requisitos de recuperação e necessidades de conformidade. Períodos de retenção mais longos fornecem mais tempo de recuperação, mas podem entrar em conflito com os requisitos de residência de dados. Consulte Visão geral de exclusão suave.
Registo e monitorização
O registro em log e o monitoramento fornecem visibilidade sobre os padrões de acesso e as operações do HSM, permitindo a deteção de ameaças e a emissão de relatórios de conformidade. O registo abrangente ajuda a identificar atividades suspeitas e apoia investigações forenses.
Habilitar o log de auditoria com configurações de diagnóstico: defina as configurações de diagnóstico para capturar todas as solicitações de API REST autenticadas, operações de chave e ações de domínio de segurança na tabela AzureDiagnostics. Encaminhe logs para contas de Armazenamento do Azure, espaços de trabalho do Log Analytics ou Hubs de Eventos com base em seus requisitos de retenção e análise. Consulte Log de HSM gerenciado.
Analisar logs com o Azure Monitor e o Log Analytics: use o Azure Monitor para recolher e analisar logs do HSM por meio de consultas KQL que filtram por ResourceProvider "MICROSOFT.KEYVAULT" e ResourceType "MANAGEDHSMS". Crie painéis e pastas de trabalho personalizados para que as equipes de operações de segurança monitorem padrões de acesso e uso de chaves. Consulte Monitorar o HSM gerenciado do Azure.
Configurar alertas para eventos críticos de segurança: crie regras de alerta do Azure Monitor para eventos como quedas de disponibilidade do HSM abaixo de 100%, latência da API de serviço excedendo limites, padrões de código de erro incomuns ou tentativas de autenticação com falha. Configure alertas de limite estático e de limite dinâmico para reduzir falsos positivos, mantendo a visibilidade de segurança. Consulte Configurar alertas HSM gerenciados.
Integre com o Microsoft Sentinel para deteção avançada de ameaças: implante o Microsoft Sentinel para detetar automaticamente atividades suspeitas usando análises de aprendizado de máquina e regras de deteção personalizadas específicas para operações HSM gerenciadas. Crie regras analíticas para operações confidenciais, como downloads de domínios de segurança, operações de chave em massa ou padrões de acesso anômalos. Consulte Configurando o Microsoft Sentinel para HSM gerenciado do Azure.
Implementar políticas adequadas de retenção de logs: estabeleça períodos de retenção de logs que atendam aos requisitos de conformidade e ofereçam suporte a investigações forenses. Use as políticas de retenção do Azure Monitor Log Analytics para gerenciar os custos de armazenamento e, ao mesmo tempo, manter os recursos de investigação adequados para incidentes de segurança. Consulte Monitorar o HSM gerenciado do Azure.
Conformidade e governança
Os controles de conformidade e governança garantem que sua implantação do HSM gerenciado atenda aos requisitos normativos e às políticas organizacionais por meio da aplicação automatizada de políticas e do monitoramento de conformidade.
Implementar a Política do Azure para governança de chave: conceda a função "Managed HSM Crypto Auditor" ao "Azure Managed HSM Key Governance Service" (ID do aplicativo: a1b76039-a76c-499f-a2dd-846b4cc32627) para habilitar a verificação de conformidade da Política do Azure e, em seguida, defina regras de política para auditar ou impor configurações de chave seguras, incluindo requisitos de expiração de chave, tamanhos mínimos de chave RSA e restrições de algoritmo de curva elíptica. Sem essa atribuição de função, a Política do Azure não pode avaliar seu inventário completo de chaves. Consulte Integrar o Azure Managed HSM com a Política do Azure.
Configurar o ciclo de vida da chave e os padrões criptográficos: use as definições internas da Política do Azure para impor datas de expiração de chaves, exigir tamanhos mínimos de chaves RSA para conformidade de segurança, restringir a criptografia de curva elíptica a nomes de curva aprovados (P-256, P-256K, P-384, P-521) e garantir que as chaves tenham tempo suficiente antes da expiração para procedimentos de rotação. Consulte Integrar o Azure Managed HSM com a Política do Azure.
Monitorar a conformidade por meio dos painéis da Política do Azure: use os painéis de conformidade da Política do Azure para acompanhar a adesão aos padrões de segurança criptográficos e identificar chaves não compatíveis que exigem correção. Configure os efeitos da política de auditoria e negação para fornecer visibilidade e aplicação das linhas de base de segurança. Consulte Integrar o Azure Managed HSM com a Política do Azure.
Backup e recuperação
O backup e a recuperação protegem contra a perda de dados e permitem a continuidade dos negócios por meio de estratégias de backup adequadas, procedimentos de recuperação de desastres e testes de recuperação para garantir que as chaves criptográficas permaneçam acessíveis.
Crie backups completos regulares do HSM: agende backups completos automatizados do HSM que incluam todas as chaves, versões, atributos, tags e atribuições de função para evitar a perda de dados por falhas de hardware ou incidentes operacionais. Use identidades gerenciadas atribuídas pelo usuário para operações de backup para permitir o acesso seguro a contas de armazenamento sem gerenciamento de credenciais. Consulte Cópia de segurança e recuperação completas.
Implemente backups individuais no nível de chave para chaves críticas: crie backups seletivos de chaves de alto valor usando o comando para habilitar a
az keyvault key backuprecuperação granular sem operações completas de restauração do HSM. Os backups de chaves são criptografados e vinculados criptograficamente ao domínio de segurança, o que significa que só podem ser restaurados para HSMs que compartilham o mesmo domínio de segurança. Consulte Cópia de segurança e recuperação completas.Preparar procedimentos abrangentes de recuperação de desastres: desenvolva e teste planos de recuperação de desastres que incluam a recuperação do domínio de segurança usando pares de chaves RSA, procedimentos de restauração de backup e etapas de reconfiguração de aplicativos. Certifique-se de manter o acesso offline seguro a arquivos de domínio de segurança, chaves privadas (quórum mínimo) e backups recentes armazenados em locais geograficamente separados. Consulte Guia de recuperação de desastres.
Teste os procedimentos de backup e restauração regularmente: realize exercícios periódicos de recuperação de desastres usando instâncias HSM que não sejam de produção para validar a recuperação de domínio de segurança, a restauração de backup e o fluxo de trabalho completo de recuperação de desastres. Os testes garantem que os detentores de quórum de domínio de segurança possam executar com êxito operações de recuperação e verificam a integridade do backup. Consulte Guia de recuperação de desastres.
Armazenamento de backup seguro com controles de acesso adequados: armazene backups HSM em contas de Armazenamento do Azure configuradas com permissões RBAC apropriadas, pontos de extremidade privados e chaves de criptografia gerenciadas pelo cliente. Configure a identidade gerenciada atribuída pelo usuário com a função de Colaborador de Dados de Blob de Armazenamento e implemente políticas de retenção de backup que equilibrem os requisitos de recuperação com os custos de armazenamento. Consulte Cópia de segurança e recuperação completas.
Segurança específica do serviço
A segurança específica do serviço aborda características exclusivas do HSM gerenciado, incluindo proteção no nível de hardware, conformidade com FIPS e operações criptográficas especializadas que o distinguem de outros serviços do Azure.
Aproveite a validação de hardware FIPS 140-3 Nível 3: aproveite os módulos de segurança de hardware validados FIPS 140-3 Nível 3 do HSM gerenciado que fornecem processamento criptográfico resistente a adulterações e alta entropia com isolamento de chave baseado em hardware. Isso fornece o mais alto nível de proteção de chave disponível no Azure. Consulte O que é o Azure Managed HSM?.
Implemente traga sua própria chave (BYOK) para conformidade normativa: use o BYOK para importar chaves protegidas por HSM de HSMs locais quando os requisitos normativos exigirem procedimentos específicos de geração de chaves. O BYOK garante que as chaves nunca existam fora dos limites do HSM em formato de texto simples durante o processo de transferência. Consulte O que é o Azure Managed HSM?.
Utilize o isolamento de locatário único para cargas de trabalho confidenciais: aproveite a arquitetura de locatário único do HSM gerenciado, em que cada instância do HSM é dedicada a um único cliente e isolada criptograficamente por meio de domínios de segurança específicos do cliente. Isso fornece um isolamento mais forte do que as soluções de cofre de chaves multilocatário. Consulte O que é o Azure Managed HSM?.
Implementar procedimentos adequados de atestado de chave: use capacidades de atestado de chave para provar que as chaves foram geradas e processadas dentro das fronteiras de hardware FIPS 140-3 Nível 3. O atestado de chave fornece prova criptográfica da procedência da chave para cenários de alta garantia. Consulte Atestação de chave.
Configure a replicação entre regiões para continuidade de negócios: habilite a replicação em várias regiões para estender seu HSM gerenciado de uma região primária para uma região estendida, fornecendo implantação ativa-ativa com replicação automatizada. Ambas as regiões podem atender solicitações, e o Gerenciador de Tráfego encaminha solicitações para a região disponível mais próxima, aumentando o SLA para 99,99% combinados. Consulte Replicação multirregião.
Próximos passos
- Segurança de rede para o Azure Key Vault Managed HSM
- Como definir as configurações de rede do Azure Managed HSM
- Integrar com o Azure Private Link
- Controlo de acesso
- Funções internas de RBAC local gerido do HSM
- Integração com a Política do Azure
- Visão geral do domínio de segurança
- Fundamentos de segurança do Azure