Azure-Dienst für dedizierte HSMs – physische Sicherheit
Mit dem Azure-Dienst für dedizierte HSMs erfüllen Sie die erweiterten Sicherheitsanforderungen zum Speichern von Schlüsseln. Sie werden während des gesamten Lebenszyklus mit den folgenden strengen Sicherheitsmaßnahmen verwaltet, um Kundenanforderungen zu erfüllen.
Sicherheit durch Beschaffung
Microsoft hält einen sicheren Beschaffungsprozess ein. Wir verwalten die Verwahrungskette und stellen sicher, dass das jeweilige bestellte und ausgelieferte Gerät auch das Gerät ist, das bei unseren Rechenzentren eintrifft. Die Geräte befinden sich in serialisierten, manipulationssicheren Kunststoffbeuteln und -behältern. Sie werden in einem sicheren Bereich gelagert, bis sie im Datenkatalog des Rechenzentrums bearbeitet werden. Die Racks, in denen sich die HSM-Geräte befinden, gelten als Geräte mit erheblichen Geschäftsauswirkungen (HBI, High Business Impact). Die Geräte sind gesperrt und stehen jederzeit an Vorder- und Rückseite unter Videoüberwachung.
Sicherheit durch Bereitstellung
HSMs werden zusammen mit zugehörigen Netzwerkkomponenten in Racks installiert. Nach der Installation müssen sie konfiguriert werden, bevor sie als Teil des Azure-Diensts für dedizierte HSMs zur Verfügung gestellt werden. Diese Konfigurationsaktivität wird von Microsoft-Mitarbeitern ausgeführt, die einer Sicherheitsprüfung unterzogen wurden. „Just In Time“-Verwaltung (JIT) wird verwendet, um den Zugriff auf die richtigen Mitarbeiter und die benötigte Zugriffszeit zu beschränken. Die verwendeten Verfahren und Systeme stellen auch sicher, dass alle Aktivitäten im Zusammenhang mit den HSM-Geräten protokolliert werden.
Sicherheit im Betrieb
Da HSMs Hardwareappliances sind (das eigentliche HSM ist eine PCI-Karte innerhalb der Appliance), können Probleme auf Komponentenebene auftreten. Potenzielle Probleme können bei Lüfter und Stromversorgung auftreten, sind jedoch nicht darauf beschränkt. Dieser Ereignistyp erfordert Wartungs- oder Reparaturaktivitäten zum Ersatz austauschbarer Komponenten.
Komponentenaustausch
Nachdem ein Gerät bereitgestellt wurde und unter Kundenverwaltung steht, ist die im laufenden Betrieb austauschbare Stromversorgung die einzige Komponente, die ersetzt würde. Diese Komponente befindet sich außerhalb der Sicherheitsbegrenzung und bietet keinen Angriffspunkt für eine Manipulation. Mit einem Ticketsystem werden Microsoft-Techniker autorisiert, auf die Rückseite des HBI-Racks zuzugreifen. Wenn das Ticket verarbeitet wird, wird ein temporärer physischer Schlüssel ausgegeben. Dieser Schlüssel ermöglicht den Technikerzugriff auf das Gerät und den Austausch der betroffenen Komponente. Jeder andere Zugriff (d.h. potenzielle Manipulation) wird ausgeführt, wenn ein Gerät nicht einem Kunden zugewiesen ist, um Sicherheit und Verfügbarkeitsrisiko zu minimieren.
Geräteaustausch
Bei einem Gerätetotalausfall wird ein Prozess eingehalten, der dem Prozess bei einem Komponentenausfall ähnelt. Wenn ein Kunde das Gerät nicht löschen kann, oder das Gerät sich in einem unbekannten Zustand befindet, werden die Geräte, die die Daten enthalten, entfernt und in einem Zerstörungsbehälter im Rack abgelegt. Geräte, die im Zerstörungsbehälter platziert werden, werden auf kontrollierte und sichere Weise zerstört. Keine Daten enthaltenden Geräte aus einem HBI-Rack verlassen ein Microsoft-Rechenzentrum.
Andere Rackzugriffsaktivitäten
Wenn ein Microsoft-Techniker auf das von HSM-Geräten verwendete Rack zugreifen muss (z.B. zur Netzwerkgeräte-Wartung), erfolgt der Zugriff auf das sichere HBI-Rack mit den Standardsicherheitsprozeduren. Alle Zugriffe erfolgen unter Videoüberwachung. Die HSM-Geräte werden auf FIPS 140-2 Level 3 überprüft, sodass unberechtigte Zugriffe auf die HSM-Geräte dem Kunden signalisiert und Daten gelöscht werden.
Überlegungen zur Sicherheit auf logischer Ebene
HSMs werden in einem virtuellen Netzwerk bereitgestellt, das vom Kunden innerhalb des privaten IP-Adressraums des Kunden erstellt wurde. Diese Konfiguration bietet eine wertvolle Isolierung auf logischer Netzwerkebene und gewährleistet den ausschließlichen Zugriff durch den Kunden. Dies bedeutet, dass alle Sicherheitskontrollen auf logischer Ebene in der Verantwortung des Kunden liegen.
Nächste Schritte
Der Benutzer sollte vor der Bereitstellung von Geräten, dem Anwendungsentwurf und der Bereitstellung mit allen Schlüsselkonzepten des Diensts wie hohe Verfügbarkeit, Sicherheit und Unterstützbarkeit gut vertraut sein.