Azure Dedicated HSM の物理的なセキュリティ
Azure Dedicated HSM は、キーの保存に関する高度なセキュリティ要件を満たすのに役立ちます。 ライフ サイクル全体にわたり、お客様のニーズに合わせて次の厳格なセキュリティ手順に従って管理されます。
調達時のセキュリティ
マイクロソフトは、安全な調達プロセスに従います。 物流過程を管理し、注文および出荷した特定のデバイスがデータ センターに届くようにします。 デバイスは、シリアル化された改ざん防止用のプラスチック袋と容器に入っています。 これらは、データ センターのデータ ギャラリーに委託されるまで、安全な保管エリアに保管されます。 HSM デバイスを格納しているラックは、ビジネスへの影響が大きい (HBI) と見なされます。 デバイスはロックされ、前面と背面が監視カメラで常時監視されます。
展開時のセキュリティ
HSM は、関連付けられているネットワーク コンポーネントと共にラックに設置されます。 設置後、Azure Dedicated HSM Service の一部として使用可能にするには、その前に構成する必要があります。 この構成アクティビティは、バックグラウンド調査を行ったマイクロソフトの従業員によって実行されます。 "ジャスト イン タイム" (JIT) 管理を使用して、適切な従業員だけが必要なときにだけアクセスできるようにアクセスを制限します。 また、使用されるプロシージャとシステムにより、HSM デバイスに関連するすべてのアクティビティがログに記録されるようにします。
運用時のセキュリティ
HSM は、ハードウェア アプライアンス (実際の HSM はアプライアンス内の PCI カード) なので、コンポーネント レベルの問題が生じる可能性があります。 潜在的な問題としてファンや電源の障害がありますが、これらに限定されません。 この種類のイベントでは、スワップ可能なコンポーネントを交換するためのメンテナンスまたは障害対応アクティビティが必要になります。
コンポーネントの交換
デバイスがプロビジョニングされ、お客様の管理下に入った後は、ホットスワップ可能な電源装置が、交換される唯一のコンポーネントになります。 このコンポーネントはセキュリティ境界の外側にあり、改ざんイベントは発生しません。 チケット システムを使用して、マイクロソフトのエンジニアに対して HBI ラックの背面へのアクセスを承認します。 チケットが処理されるときに一時的な物理キーが発行されます。 このキーは、デバイスへのエンジニアリング アクセス権を付与し、影響を受けるコンポーネントの交換を許可します。 その他のすべてのアクセス (つまり、改ざんイベントの原因となる) は、デバイスがお客様に割り当てられていないためセキュリティと可用性のリスクが最小限に抑えられる場合に行われます。
デバイスの交換
全体的なデバイス障害が発生した場合は、コンポーネントの障害発生時に使用される手順と同様の手順に従います。 お客様がデバイスをゼロで埋められないか、デバイスが不明な状態の場合、データ関連のデバイスが除去され、ラック内の破棄用ビンに配置されます。 そのビンに入れられたデバイスは、管理された安全な方法で破棄されます。 HBI ラックにあるデータ関連デバイスは Microsoft データセンターの外に持ち出されません。
その他のラック アクセス アクティビティ
マイクロソフトのエンジニアが、HSM デバイスによって使用されるラックにアクセスする必要がある場合 (たとえば、ネットワーク デバイスのメンテナンスなど)、標準的なセキュリティ手順を使用して、HBI の安全なラックへのアクセス権を得ます。 すべてのアクセスは、監視ビデオで監視されます。 HSM デバイスは FIPS 140-2 レベル 3 に対して検証されるので、HSM デバイスへの未承認のアクセスが行われるとお客様に通知され、データがゼロで埋められます。
論理レベルのセキュリティに関する考慮事項
HSM は、お客様のプライベート IP アドレス空間内にお客様が作成した仮想ネットワークにプロビジョニングされます。 この構成では、貴重な論理ネットワーク レベルの分離が提供され、確実にお客様だけがアクセスするようにします。 これは、すべての論理レベルのセキュリティ コントロールがお客様の責任で行われることを意味します。
次のステップ
デバイスのプロビジョニング、アプリケーションの設計、またはアプリケーションのデプロイ前に、高可用性、セキュリティ、サポート可能性など、サービスのすべての主要概念を十分に理解しておくことをお勧めします。