Gambaran umum domain keamanan di HSM Terkelola
HSM terkelola adalah penyewa tunggal, Federal Information Processing Standards (FIPS) 140-2 yang divalidasi, sangat tersedia, modul keamanan perangkat keras (HSM) yang memiliki domain keamanan yang dikendalikan pelanggan.
Untuk beroperasi, HSM terkelola harus memiliki domain keamanan. Domain keamanan adalah file blob terenkripsi yang berisi artefak seperti cadangan HSM, kredensial pengguna, kunci penandatanganan, dan kunci enkripsi data yang unik untuk HSM terkelola.
Domain keamanan HSM terkelola melayani tujuan berikut:
Menetapkan "kepemilikan" dengan mengikat setiap HSM terkelola secara kriptografis ke akar kunci kepercayaan di bawah kendali Anda sendiri. Ini memastikan bahwa Microsoft tidak memiliki akses ke materi kunci kriptografi Anda pada HSM terkelola.
Mengatur batas kriptografi untuk materi kunci dalam instans HSM terkelola.
Memungkinkan Anda memulihkan instans HSM terkelola sepenuhnya jika ada bencana. Skenario bencana berikut tercakup:
- Kegagalan bencana di mana semua instans HSM anggota instans HSM terkelola dihancurkan.
- Instans HSM terkelola dihapus sementara oleh pelanggan dan sumber daya dihapus menyeluruh setelah periode retensi wajib kedaluwarsa.
- Pelanggan mengarsipkan proyek dengan melakukan pencadangan yang menyertakan instans HSM terkelola dan semua data, lalu menghapus semua sumber daya Azure yang terkait dengan proyek.
Tanpa domain keamanan, pemulihan bencana tidak dimungkinkan. Microsoft tidak memiliki cara untuk memulihkan domain keamanan, dan Microsoft tidak dapat mengakses kunci Anda tanpa domain keamanan. Oleh karena itu, melindungi domain keamanan sangat penting untuk kelangsungan bisnis Anda, dan untuk memastikan bahwa Anda tidak terkunci secara kriptografis.
Praktik terbaik perlindungan domain keamanan
Terapkan praktik terbaik berikut untuk membantu memastikan perlindungan domain keamanan Anda.
Mengunduh domain keamanan terenkripsi
Domain keamanan dihasilkan dalam perangkat keras HSM terkelola dan enklave perangkat lunak layanan selama inisialisasi. Setelah HSM terkelola disediakan, Anda harus membuat setidaknya tiga pasangan kunci RSA dan mengirim kunci publik ke layanan saat Anda meminta unduhan domain keamanan. Anda juga perlu menentukan jumlah minimum kunci yang diperlukan (kuorum) untuk mendekripsi domain keamanan di masa mendatang.
HSM terkelola menginisialisasi domain keamanan dan mengenkripsinya dengan kunci publik yang Anda berikan dengan menggunakan Algoritma Berbagi Rahasia Shamir. Setelah domain keamanan diunduh, HSM terkelola berpindah ke status diaktifkan dan siap untuk dikonsumsi.
Menyimpan kunci domain keamanan
Kunci ke domain keamanan harus disimpan di penyimpanan offline (seperti pada drive USB terenkripsi), dengan setiap pemisahan kuorum pada perangkat penyimpanan terpisah. Perangkat penyimpanan harus ditahan di lokasi geografis terpisah, dan dalam brankas fisik atau kotak kunci. Untuk kasus penggunaan ultrasensitif dan jaminan tinggi, Anda bahkan dapat memilih untuk menyimpan kunci privat domain keamanan Anda di HSM offline lokal Anda.
Sangat penting untuk secara berkala meninjau kebijakan keamanan Anda untuk kuorum HSM terkelola. Kebijakan keamanan Anda harus akurat, Anda harus memiliki catatan terbaru tentang lokasi domain keamanan dan kunci privat domain keamanan disimpan, dan Anda harus tahu siapa yang mengendalikan domain keamanan.
Berikut adalah larangan penanganan kunci domain keamanan:
- Satu orang seharusnya tidak pernah diizinkan untuk memiliki akses fisik ke semua kunci kuorum. Dengan kata lain,
mharus lebih besar dari 1 (dan idealnya harus >= 3). - Kunci domain keamanan tidak boleh disimpan pada komputer yang memiliki koneksi internet. Komputer yang terhubung ke internet terpapar berbagai ancaman, seperti virus dan peretas berbahaya. Anda secara signifikan mengurangi risiko dengan menyimpan kunci domain keamanan secara offline.
Menetapkan kuorum domain keamanan
Cara terbaik untuk melindungi domain keamanan dan mencegah penguncian kriptografi adalah dengan menerapkan kontrol multi-orang dengan menggunakan kuorum konsep HSM terkelola. Kuorum adalah ambang batas rahasia terpisah untuk membagi kunci yang mengenkripsi domain keamanan di antara beberapa orang. Kuorum memberlakukan kontrol multi-orang. Dengan cara ini, domain keamanan tidak bergantung pada satu orang, yang mungkin meninggalkan organisasi atau memiliki niat jahat.
Kami menyarankan agar Anda menerapkan kuorum m orang, di mana m lebih besar dari atau sama dengan 3. Ukuran kuorum maksimum domain keamanan untuk HSM terkelola adalah 10.
Meskipun ukuran yang lebih tinggi m memberikan lebih banyak keamanan, itu memberlakukan overhead administratif lebih lanjut dalam hal menangani domain keamanan. Oleh karena itu penting bahwa kuorum domain keamanan dipilih dengan hati-hati, dengan setidaknya m>= 3.
Ukuran kuorum domain keamanan juga harus ditinjau dan diperbarui secara berkala (dalam hal perubahan personel, misalnya). Sangat penting untuk menyimpan catatan pemegang domain keamanan. Catatan Anda harus mendokumentasikan setiap hand-off atau perubahan kepemilikan. Kebijakan Anda harus memberlakukan kepatuhan yang ketat terhadap persyaratan kuorum dan dokumentasi.
Karena kunci memungkinkan akses ke informasi paling sensitif dan penting dari HSM terkelola Anda, kunci privat domain keamanan harus dipegang oleh karyawan utama dan tepercaya di organisasi. Pemegang domain keamanan harus memiliki peran terpisah dan terpisah secara geografis dalam organisasi Anda.
Misalnya, kuorum domain keamanan mungkin terdiri dari empat pasangan kunci, dengan setiap kunci privat yang diberikan kepada orang yang berbeda. Minimum dua orang harus berkumpul untuk merekonstruksi domain keamanan. Bagian-bagiannya dapat diberikan kepada personel utama, seperti:
- Pimpinan Teknis Unit Bisnis
- Arsitek Keamanan
- Teknisi Keamanan
- Pengembang Aplikasi
Setiap organisasi berbeda dan memberlakukan kebijakan keamanan yang berbeda berdasarkan kebutuhannya. Kami menyarankan agar Anda secara berkala meninjau kebijakan keamanan Anda untuk kepatuhan dan membuat keputusan tentang kuorum dan ukurannya. Organisasi Anda dapat memilih waktu peninjauan, tetapi kami sarankan Anda melakukan peninjauan domain keamanan setidaknya sekali setiap kuartal, dan juga pada saat-saat ini:
- Ketika anggota kuorum meninggalkan organisasi.
- Ketika ancaman baru atau yang muncul membuat Anda memutuskan untuk meningkatkan ukuran kuorum.
- Ketika ada perubahan proses dalam mengimplementasikan kuorum.
- Ketika drive USB atau HSM milik anggota kuorum domain keamanan hilang atau disusupi.
Domain keamanan yang disusupi atau hilang
Jika domain keamanan Anda disusupi, aktor jahat mungkin menggunakannya untuk membuat instans HSM terkelola mereka sendiri. Aktor jahat dapat menggunakan akses ke cadangan kunci untuk mulai mendekripsi data yang dilindungi dengan kunci pada HSM terkelola.
Domain keamanan yang hilang dianggap disusupi.
Setelah domain keamanan disusupi, semua data yang dienkripsi melalui HSM terkelola saat ini harus didekripsi dengan menggunakan materi kunci saat ini. Instans baru Azure Key Vault Managed HSM harus disediakan, dan domain keamanan baru yang menunjuk ke URL baru harus diterapkan.
Karena tidak ada cara untuk memigrasikan materi kunci dari satu instans HSM Terkelola ke instans lain yang memiliki domain keamanan yang berbeda, menerapkan domain keamanan harus dipikirkan dengan baik, dan harus dilindungi melalui pencatatan yang akurat dan ditinjau secara berkala.
Ringkasan
Domain keamanan dan kunci privat yang sesuai memainkan peran penting dalam operasi HSM terkelola. Artefak ini dianalogikan dengan kombinasi manajemen yang aman, dan buruk dapat dengan mudah membahayakan algoritma dan sistem yang kuat. Jika kombinasi aman diketahui musuh, brankas terkuat tidak memberikan keamanan. Manajemen yang tepat dari domain keamanan dan kunci privatnya sangat penting untuk penggunaan HSM terkelola secara efektif.
Kami sangat menyarankan Agar Anda meninjau Publikasi Khusus NIST 800-57 untuk praktik terbaik manajemen utama sebelum Anda mengembangkan dan menerapkan kebijakan, sistem, dan standar yang diperlukan untuk memenuhi dan meningkatkan tujuan keamanan organisasi Anda.
Langkah berikutnya
- Baca gambaran umum HSM Terkelola.
- Pelajari tentang mengelola HSM terkelola Anda dengan menggunakan Azure CLI.
- Tinjau Praktik terbaik HSM Terkelola.