Proteja sua implantação do Azure Cloud HSM

O Microsoft Azure Cloud HSM fornece uma solução de módulo de segurança de hardware (HSM) de alta garantia para proteger chaves criptográficas e proteger cargas de trabalho confidenciais na nuvem. A implementação de práticas recomendadas de segurança é essencial para evitar acesso não autorizado, manter a integridade operacional e otimizar o desempenho.

Este artigo fornece orientação sobre como proteger melhor sua implantação do Cloud HSM.

Segurança e conformidade

• Proteja a raiz da confiança: Aconselhamos os clientes a limitar o acesso à chave privada (POTA) (Partition Owner of the Application Partition) (PO.key). As chaves privadas Admin of the Application Partition (AOTA) e POTA são equivalentes ao acesso root. Eles podem redefinir senhas para usuários do oficial de criptografia (CO) em uma partição (AOTA para partição 0, POTA para partições de usuário).

  PO.key é desnecessário para o acesso ao HSM durante o tempo de execução. É necessário apenas para a assinatura inicial do Certificado de Autenticação do Proprietário da Partição (POAC) e para as redefinições de senha do CO. Recomendamos armazenar PO.key offline e realizar a assinatura inicial do POAC em uma máquina offline, se possível.

  Importante

  Os clientes são responsáveis por proteger a sua chave privada POTA. Perder a chave privada POTA resulta na incapacidade de recuperar senhas CO. Aconselhamos os clientes a armazenar com segurança a sua chave privada POTA e a manter cópias de segurança adequadas.

Segurança da rede

Garantir uma forte segurança de rede é essencial quando você estiver usando o Azure Cloud HSM. Configurar corretamente sua rede pode ajudar a impedir o acesso não autorizado e reduzir a exposição a ameaças externas. Para obter mais informações, consulte Segurança de rede para o Azure Cloud HSM.

• Usar pontos de extremidade privados: ajude a proteger sua implantação do Azure Cloud HSM usando sub-redes privadas e pontos de extremidade privados para evitar a exposição à Internet pública. Essa ação garante que o tráfego permaneça na rede de backbone da Microsoft, o que reduz o risco de acesso não autorizado.

Gestão de utilizadores

O gerenciamento eficaz de usuários é crucial para manter a segurança e a integridade do Azure Cloud HSM. A implementação de controles adequados para identidades, credenciais e permissões de usuários pode ajudar a impedir o acesso não autorizado e garantir a continuidade operacional. Para obter mais informações, consulte Gerenciamento de usuários no Azure Cloud HSM.

• Use senhas fortes: crie senhas exclusivas e fortes para usuários do HSM. Use pelo menos 12 caracteres, incluindo uma mistura de letras maiúsculas e minúsculas, números e caracteres especiais.

• Proteja suas credenciais de usuário do HSM: proteja suas credenciais de usuário do HSM com cuidado, porque a Microsoft não pode recuperá-las se elas forem perdidas.

• Implementar administradores secundários para prevenção de bloqueio: designe pelo menos dois administradores para evitar o bloqueio do HSM em caso de perda de uma senha.

• Estabeleça vários usuários de criptografia (CUs) com permissões restritas: crie várias CUs com responsabilidades distintas para evitar que um único usuário tenha controle total.

• Limitar a capacidade das UCs de exportar chaves: Restrinja as UCs de exportar material de chave definindo atributos de usuário apropriados.

• Limitar o controle de CO sobre CUs: Use o disableUserAccess comando para impedir que os usuários de CO gerenciem CUs específicas. No entanto, os usuários CO podem ignorar esse comando com backups mais antigos.

Gestão de chaves

O gerenciamento eficaz de chaves é fundamental para otimizar o desempenho, a segurança e a eficiência do Azure Cloud HSM. O tratamento adequado de limites de armazenamento de chaves, segurança de encapsulamento de chaves, atributos de chave e estratégias de cache pode melhorar a proteção e o desempenho. Para obter mais informações, consulte Gerenciamento de chaves no Azure Cloud HSM.

• Implemente a rotação de chaves: gire regularmente as chaves para substituir as mais antigas e liberar armazenamento, mantendo a segurança.

• Usar uma hierarquia de chaves: armazene menos chaves no HSM usando chaves mestras para criptografar outras chaves.

• Compartilhe e reutilize chaves quando possível: reduza os requisitos de armazenamento compartilhando ou reutilizando chaves em várias sessões, quando apropriado.

• Exclua com segurança as chaves não utilizadas: remova as chaves de que não precisa mais, para evitar o consumo desnecessário de armazenamento.

• Defina as chaves como não extraíveis quando possível: use EXTRACTABLE=0 para garantir que as chaves não possam ser exportadas para fora do HSM.

• Habilitar encapsulamento de chaves confiáveis: use WRAP_WITH_TRUSTED=1 para restringir o encapsulamento de chaves a chaves confiáveis. Essa ação impede exportações não autorizadas de chaves.

• Use atributos de chave para restringir permissões: atribua apenas os atributos necessários quando estiver gerando chaves, para limitar operações não intencionais.

Autenticação

A autenticação é um aspeto crucial para acessar e operar com segurança no Azure Cloud HSM. Métodos de autenticação adequados ajudam a proteger as credenciais e garantem o controle de acesso seguro. Para obter mais informações, consulte Autenticação no Azure Cloud HSM.

• Armazene credenciais HSM com segurança: proteja as credenciais armazenadas e evite expô-las quando não estiverem em uso. Configure seu ambiente para recuperar e definir credenciais automaticamente.

• Use login implícito para autenticação Java Cryptography Extension (JCE): Sempre que possível, use login implícito para autenticação JCE para permitir a gestão automática de credenciais e reautenticação.

• Evite compartilhar sessões entre threads: para aplicativos multithreaded, atribua a cada thread sua própria sessão para evitar conflitos e problemas de segurança.

• Implementar tentativas do lado do cliente: adicionar lógica de repetição para operações de HSM, para lidar com possíveis situações de manutenção, ou substituições de HSM.

• Gerencie sessões de cliente HSM com cuidado: lembre-se de que azurecloudhsm_client compartilha sessões entre aplicativos no mesmo host. O gerenciamento adequado da sessão evita conflitos.

Monitorização e registo

• Monitorizar registos de auditoria e operações: recomendamos a configuração do registo de eventos de operação. O log de eventos de operação é vital para a segurança do HSM. Ele fornece um registro imutável de acesso e operações para prestação de contas, rastreabilidade e conformidade regulamentar. Ele ajuda a detetar acesso não autorizado, investigar incidentes e identificar anomalias, para ajudar a garantir a integridade e a confidencialidade das operações criptográficas.

  Para manter a segurança e a privacidade, os logs excluem dados confidenciais (como IDs de chave, nomes de chaves e detalhes do usuário). Eles capturam operações de HSM, carimbos de data/hora e metadados, mas não podem determinar o sucesso ou a falha. Eles só podem registrar o fato de que a operação foi executada. Essa limitação existe porque a operação HSM ocorre dentro do canal TLS interno, que não é exposto fora desse limite.

Continuidade de negócios e recuperação de desastres

• Implemente backup robusto e recuperação de desastres: o Azure Cloud HSM fornece alta disponibilidade por meio de HSMs clusterizados que sincronizam chaves e políticas enquanto migram automaticamente partições durante falhas. O serviço oferece suporte a operações abrangentes de backup e restauração que preservam todas as chaves, atributos e atribuições de função. Os backups são protegidos por chaves derivadas do HSM que a Microsoft não pode acessar.

  Para continuidade de negócios e recuperação de desastres (BCDR):

  • Use identidades gerenciadas para autenticação.
  • Armazene backups no Armazenamento de Blobs privado do Azure.
  • Implemente permissões mínimas de controle de acesso baseado em função (RBAC).
  • Desative o acesso à chave compartilhada.

  Observação

  O Azure Cloud HSM não suporta a restauração para HSMs já ativados.

  Para obter instruções de implementação detalhadas e opções de recuperação adicionais, consulte Backup e restauração no Azure Cloud HSM. Opções de recuperação adicionais incluem usar extractMaskedObject para extrair chaves em forma de blobs criptografados, armazená-las com segurança, e importá-las quando insertMaskedObject necessário. Uma prática recomendada de BCDR é a implementação em duas regiões para garantir capacidade de recuperação em caso de falha.

Conteúdo relacionado

• Melhores práticas de segurança para cargas de trabalho IaaS no Azure
• Habilitar o acesso just-in-time a máquinas virtuais
• Adote uma abordagem Zero Trust