Fysieke beveiliging van Azure Dedicated HSM
Met Azure Dedicated HSM kunt u voldoen aan geavanceerde beveiligingsvereisten voor sleutelopslag. Het wordt beheerd volgens strenge beveiligingsprocedures gedurende de volledige levenscyclus om te voldoen aan de behoeften van klanten.
Beveiliging via inkoop
Microsoft volgt een veilig inkoopproces. We beheren de bewakingsketen en zorgen ervoor dat het specifieke apparaat dat is besteld en verzonden het apparaat is dat bij onze datacenters aankomt. De apparaten bevinden zich in geserialiseerde plastic zakken en containers. Ze worden opgeslagen in een beveiligde opslagruimte totdat ze in de gegevensgalerie van het datacenter worden geplaatst. De rekken met de HSM-apparaten worden beschouwd als hoge bedrijfsimpact (HBI). De apparaten zijn vergrendeld en onder videobewaking te allen tijde voor en achter.
Beveiliging via implementatie
HSM's worden samen met gekoppelde netwerkonderdelen in racks geïnstalleerd. Zodra ze zijn geïnstalleerd, moeten ze worden geconfigureerd voordat ze beschikbaar worden gesteld als onderdeel van de Azure Dedicated HSM-service. Deze configuratieactiviteit wordt uitgevoerd door Microsoft-werknemers die een achtergrondcontrole hebben ondergaan. 'Just-In-Time'-beheer (JIT) wordt gebruikt om de toegang tot alleen de juiste werknemers te beperken en alleen voor de tijd die toegang nodig is. De procedures en systemen die worden gebruikt, zorgen er ook voor dat alle activiteiten met betrekking tot de HSM-apparaten worden geregistreerd.
Beveiliging in bewerkingen
HSM's zijn hardwareapparaten (de werkelijke HSM is een PCI-kaart binnen het apparaat), zodat het mogelijk is dat problemen op onderdeelniveau kunnen optreden. Mogelijke problemen zijn onder meer maar zijn niet beperkt tot ventilator- en voedingsstoringen. Voor dit type gebeurtenis zijn onderhouds- of onderbrekings- of fixactiviteiten vereist om eventuele wisselbare onderdelen te vervangen.
Vervanging van onderdelen
Nadat een apparaat is ingericht en onder klantbeheer, is de hot-swappable voeding de enige onderdelen die worden vervangen. Dit onderdeel valt buiten de beveiligingsgrens en veroorzaakt geen manipulatiegebeurtenis. Een ticketsysteem wordt gebruikt om een Microsoft-engineer toegang te geven tot de achterkant van het HBI-rek. Wanneer het ticket wordt verwerkt, wordt er een tijdelijke fysieke sleutel uitgegeven. Deze sleutel geeft de engineer toegang tot het apparaat en stelt deze in staat om het betreffende onderdeel te wisselen. Alle andere toegang (d.i.v. manipulatie gebeurtenis die veroorzaakt) zou worden uitgevoerd wanneer een apparaat niet wordt toegewezen aan een klant, waardoor het beveiligings- en beschikbaarheidsrisico wordt geminimaliseerd.
Apparaatvervanging
In het geval van een totale apparaatfout wordt een proces gevolgd dat vergelijkbaar is met het proces dat tijdens het mislukken van het onderdeel wordt gebruikt. Als een klant het apparaat niet kan zeroizeen of als het apparaat een onbekende status heeft, worden de gegevens met apparaten verwijderd en in een in-rack vernietigingsbak geplaatst. Apparaten die in de container worden geplaatst, worden op een gecontroleerde en veilige manier vernietigd. Geen gegevens die apparaten uit een HBI-rek bevatten, verlaten een Microsoft-datacenter.
Andere rektoegangsactiviteiten
Als een Microsoft-engineer toegang moet hebben tot het rek dat wordt gebruikt door HSM-apparaten (bijvoorbeeld onderhoud van netwerkapparaten), worden standaardbeveiligingsprocedures gebruikt om toegang te krijgen tot het beveiligde HBI-rek. Alle toegang wordt onder videobewaking uitgevoerd. De HSM-apparaten worden gevalideerd op FIPS 140-2 Niveau 3 , zodat onbevoegde toegang tot de HSM-apparaten wordt gesignaleerd aan de klant en gegevens worden genualiseerd.
Beveiligingsoverwegingen op logisch niveau
HSM's worden ingericht voor een virtueel netwerk dat is gemaakt door de klant binnen de privé-IP-adresruimte van de klant. Deze configuratie biedt een waardevolle isolatie op logisch netwerkniveau en zorgt alleen voor toegang door de klant. Dit impliceert dat alle beveiligingscontroles op logisch niveau de verantwoordelijkheid van de klant zijn.
Volgende stappen
Het wordt aanbevolen dat alle belangrijke concepten van de service, zoals hoge beschikbaarheid en beveiliging en ondersteuning, bijvoorbeeld goed worden begrepen voordat apparaten worden ingericht, toepassingsontwerp of implementatie.