Übersicht über die Sicherheitsdomäne in verwalteten HSMs

Ein verwaltetes HSM ist ein Federal Information Processing Standards(FIPS)-140-2-validiertes, hochverfügbares Hardwaresicherheitsmodul (HSM) für Einzelmandantennutzung, das über eine vom Kunden gesteuerte Sicherheitsdomäne verfügt.

Um betrieben werden zu können, muss ein verwaltetes HSM über eine Sicherheitsdomäne verfügen. Die Sicherheitsdomäne ist eine verschlüsselte Blobdatei, die Artefakte wie die HSM-Sicherung, Benutzeranmeldeinformationen, den Signaturschlüssel und den Datenverschlüsselungsschlüssel enthält, die einmalig für Ihr verwaltetes HSM sind.

Eine Sicherheitsdomäne für verwaltete HSMs dient den folgenden Zwecken:

• Legt den „Besitz“ fest, indem jedes verwaltete HSM kryptografisch an einen Stamm von Vertrauensschlüsseln gebunden wird, der sich unter Ihrer alleinigen Kontrolle befindet. Dadurch wird sichergestellt, dass Microsoft keinen Zugriff auf Ihr Kryptografieschlüsselmaterial auf dem verwalteten HSM hat.

• Legt die kryptografische Grenze für Schlüsselmaterial in einer verwalteten HSM-Instanz fest.

• Ermöglicht die vollständige Wiederherstellung einer verwalteten HSM-Instanz bei einem Notfall. Die folgenden Notfallszenarien werden abgedeckt:

  • Ein schwerwiegender Ausfall, bei dem alle HSM-Mitgliedsinstanzen einer verwalteten HSM-Instanz zerstört werden.
  • Die verwaltete HSM-Instanz wurde von einem Kunden vorläufig gelöscht, und die Ressource wurde nach Ablauf des obligatorischen Aufbewahrungszeitraums gelöscht.
  • Der Kunde hat ein Projekt archiviert, indem er eine Sicherung durchgeführt hat, die die verwaltete HSM-Instanz und alle Daten enthält, und dann alle Azure-Ressourcen gelöscht, die zu dem Projekt gehören.

Ohne die Sicherheitsdomäne ist die Notfallwiederherstellung nicht möglich. Microsoft hat keine Möglichkeit, die Sicherheitsdomäne wiederherzustellen, und kann auch nicht ohne die Sicherheitsdomäne auf Ihre Schlüssel zugreifen. Der Schutz der Sicherheitsdomäne ist daher von größter Bedeutung für Ihre Geschäftskontinuität und um sicherzustellen, dass Sie nicht kryptografisch ausgesperrt werden.

Bewährte Methoden für den Schutz von Sicherheitsdomänen

Implementieren Sie die folgenden bewährten Methoden, um den Schutz Ihrer Sicherheitsdomäne sicherzustellen.

Herunterladen der verschlüsselten Sicherheitsdomäne

Die Sicherheitsdomäne wird zum Initialisierungszeitpunkt sowohl in der verwalteten HSM-Hardware als auch den Dienstsoftwareenklaven generiert. Nachdem das verwaltete HSM bereitgestellt wurde, müssen Sie mindestens drei RSA-Schlüsselpaare erstellen und diese öffentlichen Schlüssel an den Dienst senden, wenn Sie das Herunterladen der Sicherheitsdomäne anfordern. Sie müssen auch die Mindestanzahl der erforderlichen Schlüssel (das Quorum) angeben, um die Sicherheitsdomäne in Zukunft zu entschlüsseln.

Das verwaltete HSM initialisiert die Sicherheitsdomäne und verschlüsselt sie mit den von Ihnen bereitgestellten öffentlichen Schlüsseln mithilfe des Shamir's Secret Sharing-Algorithmus. Nachdem die Sicherheitsdomäne heruntergeladen wurde, wechselt das verwaltete HSM in den aktivierten Zustand und ist einsatzbereit.

Speichern der Sicherheitsdomänenschlüssel

Die Schlüssel für eine Sicherheitsdomäne müssen in einem Offlinespeicher (z. B. auf einem verschlüsselten USB-Laufwerk) mit jedem Teil des Quorums auf einem separaten Speichergerät gespeichert werden. Die Speichergeräte müssen an verschiedenen geografischen Standorten und in einem physischen Tresor oder Schließfach aufbewahrt werden. Für extrem sensible und hochsichere Anwendungsfälle können Sie sogar Ihre privaten Sicherheitsdomänenschlüssel in Ihrem lokalen Offline-HSM speichern.

Es ist besonders wichtig, Ihre Sicherheitsrichtlinie für das verwaltete HSM-Quorum regelmäßig zu überprüfen. Ihre Sicherheitsrichtlinie muss akkurat sein, Sie müssen über aktuelle Aufzeichnungen verfügen, in denen die Sicherheitsdomäne und ihre privaten Schlüssel gespeichert sind, und Sie müssen wissen, wer die Kontrolle über die Sicherheitsdomäne hat.

Im Folgenden finden Sie Tabus bei der Handhabung von Sicherheitsdomänenschlüsseln:

• Einer Person sollte niemals physischer Zugriff auf alle Quorumschlüssel gewährt werden. Das heißt, m muss größer als 1 sein (und > sollte idealerweise gleich 3 sein).
• Die Sicherheitsdomänenschlüssel dürfen nie auf einem Computer gespeichert werden, der über eine Internetverbindung verfügt. Ein Computer, der mit dem Internet verbunden ist, ist verschiedenen Bedrohungen ausgesetzt, z. B. Viren und böswilligen Hackern. Sie verringern Ihr Risiko erheblich, indem Sie die Sicherheitsdomänenschlüssel offline speichern.

Einrichten eines Sicherheitsdomänenquorums

Die beste Möglichkeit, eine Sicherheitsdomäne zu schützen und zu verhindern sich kryptografisch auszuschließen, besteht darin, die Mehr-Personen-Kontrolle mithilfe eines Quorums für das verwaltete HSM zu implementieren. Ein Quorum bedeutet, dass ein Geheimnis, hier der kryptografische Schlüssel der Sicherheitsdomäne, auf mehrere Personen aufgeteilt wird. Ein Quorum erzwingt die Mehr-Personen-Kontrolle. Auf diese Weise ist die Sicherheitsdomäne nicht von einer einzelnen Person abhängig, die die Organisation verlassen oder böswillige Absichten haben könnte.

Es wird empfohlen, dass Sie ein Quorum von m Personen implementieren, wobei m größer oder gleich 3 ist. Die maximale Quorumgröße der Sicherheitsdomäne für ein verwaltetes HSM beträgt 10.

Obwohl eine höhere Größe (m) mehr Sicherheit bietet, führt dies zu weiterem Verwaltungsaufwand in Bezug auf die Handhabung der Sicherheitsdomäne. Daher ist es zwingend erforderlich, dass das Quorum der Sicherheitsdomäne sorgfältig ausgewählt wird (mindestens m >= 3).

Die Quorumgröße der Sicherheitsdomäne sollte auch regelmäßig überprüft und aktualisiert werden (z. B. bei Personaländerungen). Es ist besonders wichtig, Aufzeichnungen über die Inhaber der Sicherheitsdomänen zu erstellen. Ihre Aufzeichnungen sollten jede Übergabe oder Besitzänderung dokumentieren. Ihre Richtlinie sollte eine strikte Einhaltung der Quorum- und Dokumentationsanforderungen erzwingen.

Die privaten Sicherheitsdomänenschlüssel müssen von wichtigen und vertrauenswürdigen Mitarbeitern einer Organisation aufbewahrt werden, da sie den Zugriff auf die vertraulichsten und kritischsten Informationen Ihres verwalteten HSMs ermöglichen. Verantwortliche für Sicherheitsdomänen sollten separate Rollen haben und sich an verschiedenen geografischen Standorten Ihrer Organisation befinden.

Beispielsweise kann ein Sicherheitsdomänenquorum vier Schlüsselpaare umfassen, wobei jeder private Schlüssel einer anderen Person übergeben wird. Mindestens zwei Personen müssten sich zusammenfinden, um eine Sicherheitsdomäne zu rekonstruieren. Die Teile können an wichtige Mitarbeiter übergeben werden, z. B.:

• Technischer Leiter der Geschäftseinheit
• Sicherheitsarchitekt
• Sicherheitstechniker
• Anwendungsentwickler

Jede Organisation ist anders und setzt basierend auf ihren Anforderungen eine andere Sicherheitsrichtlinie durch. Es wird empfohlen, Ihre Sicherheitsrichtlinie in regelmäßigen Abständen auf Konformität zu überprüfen und Entscheidungen zum Quorum und seiner Größe zu treffen. Ihre Organisation kann den Zeitpunkt der Überprüfung auswählen, es wird jedoch empfohlen, mindestens einmal pro Quartal eine Sicherheitsdomänenüberprüfung durchzuführen, sowie in folgenden Fällen:

• Wenn ein Mitglied des Quorums die Organisation verlässt.
• Wenn Sie sich bei einer neuen oder wachsenden Bedrohung dazu entscheiden, die Größe des Quorums zu erhöhen.
• Wenn es eine Prozessänderung bei der Implementierung des Quorums gibt.
• Wenn ein USB-Laufwerk oder HSM, das einem Mitglied des Sicherheitsdomänenquorums gehört, verloren geht oder kompromittiert wird.

Kompromittierung oder Verlust der Sicherheitsdomäne

Wenn Ihre Sicherheitsdomäne kompromittiert ist, kann ein böswilliger Akteur sie verwenden, um eine eigene verwaltete HSM-Instanz zu erstellen. Der böswillige Akteur könnte den Zugriff auf die Schlüsselsicherungen verwenden, um die mithilfe der Schlüssel auf dem verwalteten HSM geschützten Daten zu entschlüsseln.

Eine verloren gegangene Sicherheitsdomäne gilt als kompromittiert.

Nachdem eine Sicherheitsdomäne kompromittiert wurde, müssen alle mit dem aktuellen verwalteten HSM verschlüsselten Daten mithilfe von aktuellem Schlüsselmaterial entschlüsselt werden. Eine neue Instanz eines über Azure Key Vault verwalteten HSMs muss bereitgestellt werden, und eine neue Sicherheitsdomäne, die auf die neue URL verweist, muss implementiert werden.

Da es keine Möglichkeit gibt, Schlüsselmaterial von einer Instanz verwalteter HSMs zu einer anderen Instanz mit einer anderen Sicherheitsdomäne zu migrieren, muss die Implementierung der Sicherheitsdomäne sorgfältig durchdacht und durch genaue, regelmäßig überprüfte Datenaufzeichnung geschützt werden.

Zusammenfassung

Die Sicherheitsdomäne und die zugehörigen privaten Schlüssel spielen eine wichtige Rolle bei verwalteten HSM-Vorgängen. Diese Artefakte entsprechen der Kombination eines Tresors, und eine schlechte Verwaltung kann problemlos starke Algorithmen und Systeme kompromittieren. Wenn einem Angreifer eine Kombination bekannt ist, bietet der stärkste Tresor keine Sicherheit. Die ordnungsgemäße Verwaltung der Sicherheitsdomäne und ihrer privaten Schlüssel ist für die effektive Verwendung des verwalteten HSM von entscheidender Bedeutung.

Es wird dringend empfohlen, die NIST Special Publication 800-57 auf bewährte Methoden für die Schlüsselverwaltung zu überprüfen, bevor Sie die Richtlinien, Systeme und Standards entwickeln und implementieren, die erforderlich sind, um die Sicherheitsziele Ihrer Organisation zu erfüllen und zu verbessern.

Nächste Schritte

• Verschaffen Sie sich einen Überblick über verwaltete HSMs.
• Erfahren Sie, wie Sie Ihr verwaltetes HSM mithilfe der Azure CLI verwalten.
• Sehen Sie sich die bewährten Methoden für verwaltete HSMs an.