Controle seus dados na nuvem usando o HSM Gerenciado
A Microsoft valoriza, protege e defende a privacidade. Acreditamos na transparência, para que as pessoas e organizações possam controlar seus dados e decidir como usá-los de maneiras significativas. Capacitamos e defendemos as escolhas de privacidade de cada pessoa que usa nossos produtos e serviços.
Neste artigo, vamos nos aprofundar nos controles de segurança do HSM Gerenciado do Azure Key Vault para criptografia e como ele fornece proteções e medidas técnicas adicionais para ajudar nossos clientes a atender aos requisitos de conformidade.
A criptografia é uma das principais medidas técnicas que você pode tomar para obter o controle exclusivo de seus dados. O Azure protege seus dados inativos e em trânsito com tecnologias de criptografia de última geração. Nossos produtos de criptografia são barreiras contra o acesso não autorizado aos dados, incluindo duas ou mais camadas de criptografia independentes para proteção contra comprometimento em qualquer camada única. Além disso, o Azure definiu claramente respostas, políticas e processos bem estabelecidos, compromissos contratuais fortes e controles estritos de segurança física, operacional e de infraestrutura para fornecer aos nossos clientes o controle absoluto de seus dados na nuvem. A premissa fundamental da estratégia de gerenciamento de chaves do Azure é dar aos clientes mais controle sobre seus dados. Usamos uma postura de confiança zero com tecnologias avançadas de enclave, módulos de segurança de hardware (HSMs) e isolamento de identidade que reduzem o acesso da Microsoft a chaves e dados do cliente.
A criptografia em repouso fornece a proteção a dados inativos armazenados que é exigida pelas organizações para os esforços de conformidade e governança de dados. O portfólio de conformidade da Microsoft é o mais amplo em todas as nuvens públicas em todo o mundo, com padrões do setor e normas governamentais, como HIPAA, Regulamento Geral sobre a Proteção de Dados e FIPS 140-2 e 3. Esses padrões e regulamentos estabelecem proteções específicas para os requisitos de proteção de dados e criptografia. Na maioria dos casos, uma medida obrigatória é necessária para conformidade.
Como a criptografia em repouso funciona?
Os serviços do Azure Key Vault fornecem soluções de criptografia e gerenciamento de chaves que protegem chaves criptográficas, certificados e outros segredos usados por aplicativos e serviços de nuvem para proteger e controlar dados criptografados em repouso.
O gerenciamento seguro de chaves é fundamental para proteger os dados na nuvem. O Azure oferece várias soluções que você pode usar para gerenciar e controlar o acesso a chaves de criptografia para que você tenha opções e flexibilidade para atender a necessidades rigorosas de conformidade e proteção de dados.
- A criptografia de plataforma do Azure é uma solução de criptografia gerenciada pela plataforma que utiliza a criptografia de nível de host. As chaves gerenciadas pela plataforma são chaves de criptografia geradas, armazenadas e gerenciadas inteiramente pelo Azure.
- As chaves gerenciadas pelo cliente são chaves criadas, lidas, excluídas, atualizadas e administradas inteiramente pelo cliente. As chaves gerenciadas pelo cliente podem ser armazenadas em um serviço de gerenciamento de chaves na nuvem, como o Azure Key Vault.
- O Azure Key Vault Standard criptografa usando uma chave de software e é compatível com o FIPS 140-2 Nível 1.
- O Azure Key Vault Premium criptografa usando chaves protegidas por HSMs validados por FIPS 140.
- O HSM Gerenciado do Azure Key Vault criptografa usando chaves protegidas por HSM para o FIPS 140-2 Nível 3 de locatário único e é totalmente gerenciado pela Microsoft.
Para obter mais garantias, Azure Key Vault Premium e no HSM Gerenciado do Azure Key Vault, você pode usar BYOK (Bring Your Own Key) e importar chaves protegidas por HSM de um HSM local.
Portfólio de produtos do gerenciamento de chaves do Azure
| Azure Key Vault Standard | Azure Key Vault Premium | Sobre o HSM Gerenciado do Azure Key Vault | |
|---|---|---|---|
| Locação | Multilocatário | Multilocatário | Locatário único |
| Conformidade | FIPS 140-2 Nível 1 | FIPS 140-2 Nível 3 | FIPS 140-2 Nível 3 |
| Alta disponibilidade | Automática | Automática | Automática |
| Casos de uso | Criptografia em repouso | Criptografia em repouso | Criptografia em repouso |
| Controles de chave | Cliente | Cliente | Cliente |
| Raiz do controle de confiança | Microsoft | Microsoft | Cliente |
O Azure Key Vault é um serviço de nuvem que você pode usar para armazenar e acessar segredos com segurança. Um segredo é qualquer coisa a qual você queira controlar o acesso com segurança e pode incluir chaves de API, senhas, certificados e chaves criptográficas.
O Key Vault dá suporte a dois tipos de contêineres:
Cofres
- Camada standard: os cofres dão suporte ao armazenamento de segredos, certificados e chaves com suporte de software.
- Camada premium: os cofres dão suporte ao armazenamento de segredos, certificados, chaves com suporte de software e chaves com suporte de HSM.
HSM (módulo de segurança de hardware) gerenciado
- O HSM Gerenciado dá suporte apenas a chaves com suporte de HSM.
Para obter mais informações, consulte Conceitos do Azure Key Vault e Visão geral da API REST do Azure Key Vault.
O que é o HSM Gerenciado do Azure Key Vault?
O HSM Gerenciado do Azure Key Vault é um serviço de nuvem em conformidade com os padrões, de um único locatário, altamente disponível e totalmente gerenciado que possui um domínio de segurança controlado pelo cliente que permite armazenar chaves criptográficas para seus aplicativos de nuvem usando HSMs validados para o FIPS 140-2 Nível 3.
Como o HSM Gerenciado do Azure Key Vault protege suas chaves?
O HSM Gerenciado do Azure Key Vault usa uma defesa em profundidade e uma postura de segurança de confiança zero que usa várias camadas, incluindo controles de segurança físicos, técnicos e administrativos para proteger e defender seus dados.
O Azure Key Vault e o HSM Gerenciado do Azure Key Vault são projetados, implantados e operados de modo que a Microsoft e seus agentes sejam impedidos de acessar, usar ou extrair dados armazenados no serviço, incluindo chaves criptográficas.
As chaves gerenciadas pelo cliente que são criadas com segurança ou importadas com segurança para os dispositivos HSM, a menos que definidas de outra forma pelo cliente, não são extraíveis e nunca são visíveis em textos não criptografados para sistemas, funcionários ou agentes da Microsoft.
A equipe do Key Vault explicitamente não tem procedimentos operacionais para conceder esse tipo de acesso à Microsoft e aos seus agentes, mesmo que seja autorizada por um cliente.
Não tentaremos derrotar recursos de criptografia controlados pelo cliente, como o Azure Key Vault ou o HSM Gerenciado do Azure Key Vault. Se houver uma demanda judicial para fazê-lo, desafiaríamos tal demanda em qualquer base legal, consistente com nossos compromissos com o cliente.
Em seguida, vamos observar detalhadamente como esses controles de segurança são implementados.
Controles de segurança no HSM Gerenciado do Azure Key Vault
O HSM Gerenciado do Azure Key Vault usa os seguintes tipos de controles de segurança:
- Físico
- Técnico
- Administrativo
Controles de segurança física
O núcleo do HSM Gerenciado é o HSM (módulo de segurança de hardware). Um HSM é um processador criptográfico especializado, protegido, resistente a adulterações e de alta entropia dedicado e que é validado para o padrão FIPS 140-2 Nível 3. Todos os componentes do HSM são cobertos também por epóxi protegido e uma caixa de metal para manter suas chaves a salvo de um invasor. Os HSMs são hospedados em racks de servidores em vários datacenters, regiões e geografias. Esses datacenters geograficamente dispersos estão em conformidade com os principais padrões do setor, como ISO/IEC 27001:2013 e NIST SP 800-53, em relação a segurança e confiabilidade.
A Microsoft projeta, cria e opera datacenters de uma maneira que controla rigorosamente o acesso físico às áreas onde seus dados são armazenados. São obrigatórias camadas adicionais de segurança física, como cercas altas feitas de concreto e aço, portas de aço aparafusadas, sistemas de alarme térmico, monitoramento de câmera ao vivo de circuito fechado, presença de equipe de segurança 24 horas por dia, 7 dias por semana, base de necessidade de acesso com aprovação por andar, rigoroso treinamento da equipe, biometria, verificações de antecedentes, solicitação de acesso e aprovação. Os dispositivos HSM e servidores relacionados estão trancados em uma gaiola, e as câmeras filmam a parte da frente e de trás dos servidores.
Controles de segurança técnica
Várias camadas de controles técnicos no HSM Gerenciado protegem ainda mais seu material de chave. Mas, o mais importante, elas impedem que a Microsoft acesse o material de chave.
Confidencialidade: o serviço de HSM Gerenciado é executado dentro de um ambiente de execução confiável criado em Intel SGX (Software Guard Extensions da Intel). O Intel SGX oferece proteção aprimorada contra invasores internos e externos usando o isolamento de hardware em enclaves que protegem os dados em uso.
Enclaves são partes protegidas do processador e da memória de um hardware. Não é possível exibir dados nem código dentro do enclave, mesmo com um depurador. Se um código não confiável tentar alterar o conteúdo na memória do enclave, o Intel SGX desabilitará o ambiente e negará a operação.
Esses recursos exclusivos ajudam você a proteger seu material de chave criptográfica contra acessos ou visibilidade como texto criptografado. Além disso, a computação confidencial do Azure oferece soluções que permitem o isolamento de seus dados confidenciais enquanto eles estão sendo processados na nuvem.
Domínio de segurança: um domínio de segurança é um blob criptografado que contém informações criptográficas extremamente confidenciais. O domínio de segurança contém artefatos como o backup do HSM, as credenciais do usuário, a chave de entrada e a chave de criptografia de dados que é exclusiva do HSM gerenciado.
O domínio de segurança é gerado no hardware do HSM gerenciado e nos enclaves do software de serviço durante a inicialização. Depois que o HSM gerenciado for provisionado, você deverá criar pelo menos três pares de chaves RSA. Você envia as chaves públicas para o serviço quando solicita o download do domínio de segurança. Depois que o domínio de segurança for baixado, o HSM gerenciado será transferido para um estado ativado e estará pronto para consumo. A equipe da Microsoft não tem como recuperar o domínio de segurança nem pode acessar suas chaves sem o domínio de segurança.
Controles de acesso e autorização: o acesso a um HSM gerenciado é controlado por meio de duas interfaces, o plano de gerenciamento e o plano de dados.
É no plano de gerenciamento que você administra o HSM em si. As operações nesse plano incluem a criação e a exclusão de HSMs gerenciados e a recuperação de propriedades de HSM gerenciado.
O plano de dados é onde você trabalha com os dados armazenados em um HSM gerenciado, que são chaves de criptografia com suporte do HSM. A partir da interface do plano de dados, você pode adicionar, excluir, modificar e usar chaves para executar operações criptográficas, gerenciar atribuições de função para controlar o acesso às chaves, criar um backup completo do HSM, restaurar um backup completo e gerenciar o domínio de segurança.
Para acessar um HSM gerenciado em qualquer plano, todos os chamadores devem ter a autenticação e a autorização adequadas. A autenticação estabelece a identidade do chamador. A autorização determina quais operações o chamador pode executar. Um chamador pode ser qualquer uma das entidades de segurança que são definidas no Microsoft Entra ID: usuário, grupo, entidade de serviço ou identidade gerenciada.
Ambos os planos usam o Microsoft Entra ID para autenticação. Para autorização, eles usam sistemas diferentes:
- O plano de gerenciamento usa o controle de acesso baseado em função do Azure (Azure RBAC), um sistema de autorização criado no Azure Resource Manager.
- O plano de dados usa um RBAC no nível do HSM gerenciado (RBAC local do HSM gerenciado), que é um sistema de autorização implementado e imposto no nível do HSM gerenciado. O modelo de controle do RBAC local permite que os administradores do HSM designados tenham controle completo sobre o pool do HSM que mesmo os administradores do grupo de gerenciamento, da assinatura ou do grupo de recursos não podem substituir.
- Criptografia em trânsito: todo o tráfego que entra e sai do HSM Gerenciado é sempre criptografado com TLS (há suporte para as versões 1.3 e 1.2 do protocolo TLS) a fim de proteger você contra a violação de dados e escutas em que a terminação TLS ocorre dentro do enclave SGX e não no host não confiável
- Firewalls: o HSM gerenciado pode ser configurado para restringir quem pode acessar o serviço, o que reduz ainda mais a superfície de ataque. Permitimos que você configure o HSM gerenciado para negar o acesso da Internet pública e permitir apenas o tráfego de serviços confiáveis do Azure (como o Armazenamento do Azure)
- Pontos de extremidade privados: ao habilitar um ponto de extremidade privado, você está trazendo o serviço do HSM Gerenciado para sua rede virtual, o que permite isolar esse serviço apenas para pontos de extremidade confiáveis, como sua rede virtual e os serviços do Azure. Todo o tráfego que entra e sai de seu HSM gerenciado viajará pela rede de backbone segura da Microsoft sem precisar percorrer a Internet pública.
- Monitoramento e registro em log: a camada mais externa de proteção são os recursos de monitoramento e registro em log do HSM Gerenciado. Ao usar o serviço do Azure Monitor, é possível verificar seus logs em busca de análises e alertas a fim de garantir que os padrões de acesso estejam em conformidade com suas expectativas. Isso permite que os membros da sua equipe de segurança tenham visibilidade do que está acontecendo no serviço de HSM gerenciado. Se algo não parecer certo, reverta suas chaves ou revogue as permissões.
- BYOK (Bring Your Own Key): o BYOK permite que os clientes do Azure usem os HSMs locais com suporte para gerar chaves e importá-las para o HSM gerenciado. Alguns clientes preferem usar HSMs locais para gerar chaves a fim de atender aos requisitos regulatórios e de conformidade. Em seguida, eles usam o BYOK para transferir com segurança uma chave protegida por HSM para o HSM gerenciado. A chave a ser transferida nunca existiu fora de um HSM em formato de texto não criptografado. Durante o processo de importação, o material de chave é protegido com uma chave mantida no HSM gerenciado.
- HSM externo: alguns de nossos clientes disseram que gostariam de explorar a opção do HSM fora da nuvem do Azure para manter os dados e a chaves separados com um HSM externo na nuvem de terceiros ou no local. Embora o uso de um HSM de terceiros fora do Azure pareça dar mais controle aos clientes sobre as chaves, ele apresenta várias preocupações, como a latência que causa problemas de desempenho, atraso de SLA causado por problemas com o HSM de terceiros e custos de manutenção e treinamento. Além disso, um HSM de terceiros não pode usar os principais recursos do Azure, como exclusão temporária e proteção contra limpeza. Continuamos avaliando essa opção técnica com nossos clientes para ajudá-los a navegar pelo complexo cenário de segurança e conformidade.
Controles de segurança administrativa
Esses controles de segurança administrativa estão em vigor no HSM Gerenciado do Azure Key Vault:
- Defesa de dados. Você conta com o forte compromisso da Microsoft para desafiar solicitações governamentais e defender seus dados.
- Obrigações contratuais. Oferece obrigações para segurança e proteção de dados do cliente, conforme discutido na Central de Confiabilidade da Microsoft.
- Replicação entre regiões. Você pode usar a replicação de várias regiões no HSM Gerenciado para implantar HSMs em uma região secundária.
- Recuperação de desastre. O Azure oferece uma solução de backup e recuperação de desastre de ponta a ponta, simples, segura, escalonável e econômica:
- Microsoft Security Response Center (MSRC). A administração do serviço de HSM gerenciado é totalmente integrada ao MSRC.
- Monitoramento de segurança para operações administrativas inesperadas com resposta de segurança completa e 24 horas
- Cadeia de fornecedores resiliente e segura na nuvem. O HSM gerenciado avança a confiabilidade por meio de uma cadeia de fornecedores de nuvem resiliente.
- Iniciativa interna de conformidade regulatória. A conformidade no Azure Policy fornece definições de iniciativa internas para exibir uma lista dos controles e domínios de conformidade com base na responsabilidade (Cliente, Microsoft, Compartilhado). Para controles responsáveis pela Microsoft, fornecemos detalhes adicionais de nossos resultados de auditoria com base em atestado de terceiros e nossos detalhes de implementação para atingir essa conformidade.
- Relatórios de auditoria. Recursos para ajudar os profissionais de conformidade e segurança da informação a entender os recursos de nuvem e verificar os requisitos técnicos de conformidade e controle
- Assumir a filosofia de violação. Assumimos que qualquer componente pode ser comprometido a qualquer momento e projetamos e testamos adequadamente. Realizamos exercícios regulares de Equipe Vermelha/Equipe Azul (simulação de ataque).
O HSM gerenciado oferece controles de segurança física, técnica e administrativa. O HSM gerenciado fornece controle exclusivo do seu material de chave para uma solução de gerenciamento de chaves de nuvem escalonável e centralizada que ajuda atender às necessidades crescentes de conformidade, segurança e privacidade. Mais importante, ele fornece proteções de criptografia necessárias para conformidade. Nossos clientes podem ter certeza de que estamos comprometidos em garantir que seus dados sejam protegidos com transparência sobre nossas práticas à medida que avançamos na implementação do Limite de Dados da UE da Microsoft.
Para saber mais, entre em contato com sua equipe de contas do Azure para facilitar uma discussão com a equipe de produtos do Gerenciamento de Chaves do Azure.