Microsoft重视、保护和捍卫隐私。 我们相信操作透明,这样人员和组织可以控制其数据并在如何使用数据方面做出有意义的选择。 我们赋能并捍卫使用我们的产品和服务的每个人的隐私选择。
在本文中,我们深入探讨 Azure Key Vault 托管 HSM加密的安全控制,以及如何提供额外的安全措施和技术措施来帮助客户满足其合规性要求。
加密是你可采取来单独控制你的数据的关键技术措施之一。 Azure通过最先进的加密技术来验证数据,无论是静态数据还是传输中的数据。 我们的加密产品设置了防止未经授权访问数据的障碍,包括两个或两个以上的独立加密层,以防止任何单个层遭到入侵。 此外,Azure还明确定义了完善的响应、策略和流程、强有力的合同承诺,以及严格的物理、运营和基础结构安全控制,为客户提供对云中数据的最终控制。 Azure的关键管理策略的基本前提是让客户更好地控制其数据。 我们采用零信任策略,并利用高级 enclaves 技术、硬件安全模块(HSM)和身份隔离,从而减少 Microsoft 对客户密钥和数据的访问。
静态加密为存储的静态数据提供保护,同时根据组织对数据治理和合规性要求的需要,保障数据安全。 Microsoft的合规性组合在全球所有公有云中最为广泛, 具有行业标准和政府法规,如 HIPAA、General Data Protection Regulation 和 Federal Information Processing Standard (FIPS) 140-2 和 3。 这些标准和法规为数据保护和加密要求规定了具体的安全措施。 在大多数情况下,需要强制措施才能满足合规性。
静态加密的工作原理是什么?
Azure Key Vault服务提供加密和密钥管理解决方案,用于保护云应用程序和服务用来保护静态加密数据的加密密钥、证书和其他机密。
安全密钥管理对于保护和控制云中的数据必不可少。 Azure提供了各种解决方案,可用于管理和控制对加密密钥的访问,以便你能够选择并灵活地满足严格的数据保护和合规性需求。
- Azure平台加密是一种使用主机级加密进行加密的 platform-managed 加密解决方案。 平台管理的密钥是由Azure生成、存储和管理的加密密钥。
- 客户管理的密钥是完全由客户创建、读取、删除、更新和管理的密钥。 客户管理的密钥可以存储在云密钥管理服务中,例如Azure Key Vault。
- Azure Key Vault Standard使用软件密钥加密,符合 FIPS 140-2 级别 1。
- Azure Key Vault Premium使用受 FIPS 140 验证的 HSM 保护的密钥进行加密。
- Azure Key Vault 托管 HSM 是一项完全托管的服务,它使用单租户、客户控制的 FIPS 140-3 级别 3 HSM 保护的密钥进行加密。
为了增强保证,在 Azure Key Vault Premium 和 Azure Key Vault 托管 HSM 中,可以创建自己的密钥(BYOK)并从本地 HSM 导入受 HSM 保护的密钥。
Azure关键管理产品组合
| Azure Key Vault标准 | Azure 密钥保管库高级版 | Azure Key Vault 托管 HSM | |
|---|---|---|---|
| 租赁关系 | 多租户 | 多租户 | 单租户 |
| 遵从性 | FIPS 140-2 级别 1 | FIPS 140-3 级别 3 | FIPS 140-3 级别 3 |
| 高可用性 | 自动 | 自动 | 自动 |
| 用例 | 静止数据加密 | 静止数据加密 | 静止数据加密 |
| 密钥控制 | 客户 | 客户 | 客户 |
| 信任基础控制 | Microsoft | Microsoft | 客户 |
Azure Key Vault是一种云服务,可用于安全地存储和访问机密。 机密是你想要安全控制对其的访问的任何内容,可以包含 API 密钥、密码、证书和加密密钥。
Key Vault支持两种类型的容器:
保管库
- 标准层 - 保管库支持存储由机密、证书和软件提供保障的密钥。
- 高级层 - 保管库支持存储由机密、证书、软件和 HSM 提供保障的密钥。
托管硬件安全模块 (HSM)
- 托管 HSM 仅支持由 HSM 提供保障的密钥。
有关详细信息,请参阅 Azure Key Vault 概念和 Azure Key Vault REST API 概述。
什么是 Azure Key Vault 托管 HSM?
Azure Key Vault 托管 HSM 是单租户、完全托管、高度可用且符合标准的云服务,具有客户控制的安全域,使你能够使用 FIPS 140-3 级别 3 验证的 HSM 存储用于云应用程序的加密密钥。
Azure Key Vault托管 HSM 如何保护密钥?
Azure Key Vault托管 HSM 采用深度防御和零信任的安全策略,该策略使用多层安全控制,包括物理、技术和管理控制,来保护和防御数据。
Azure Key Vault和Azure Key Vault托管 HSM 的设计、部署和操作旨在阻止Microsoft及其代理访问、使用或提取存储在该服务中的任何数据,包括加密密钥。
在 HSM 设备中安全创建或安全地导入到 HSM 设备的客户管理的密钥(除非由客户设置)不可提取,并且永远不会以纯文本形式向Microsoft系统、员工或代理显示。
Key Vault团队明确没有用于授权Microsoft及其代理访问权限的操作程序,即使经过客户授权。
我们不会尝试击败客户控制的加密功能,例如Azure Key Vault或Azure Key Vault托管 HSM。 如果面临要这样做的法律要求,我们将在符合我们的客户承诺的前提下,在任何合法的基础上对此类要求提出质疑。
接下来,我们将详细介绍如何实现这些安全控制。
Azure Key Vault 托管 HSM 中的安全控制
Azure Key Vault托管 HSM 使用以下类型的安全控制:
- 物理
- 技术
- 行政
物理安全控制
托管 HSM 的核心是硬件安全模块 (HSM)。 HSM 是一种专用、强化、防篡改、高熵的专用加密处理器,经验证符合 FIPS 140-2 级别 3 标准。 HSM 的所有组件进一步覆盖在硬化环氧树脂和金属外壳中,可以保护密钥免受攻击者的侵害。 HSM 装在多个数据中心、区域和地理位置的服务器机架中。 这些地理位置分散的数据中心符合有关安全性和可靠性的关键行业标准,例如 ISO/IEC 27001:2013 和 NIST SP 800-53。
Azure设计、生成和操作数据中心的方式,严格控制对密钥和数据存储区域的物理访问。 其他物理安全层包括高大的钢筋混凝土栅栏、锁死的钢质门、热警报系统、闭路实时摄像头监视、24x7 保安人员、每次进入楼层都需要获批、严格的工作人员培训、生物识别、背景调查、进入请求和审批,这些都是强制措施。 HSM 设备和相关服务器被锁在笼子里,相机拍摄了服务器的正面和背面。
技术安全控制
托管 HSM 中的多层技术控制进一步保护着你的密钥材料。 但最重要的是,它们阻止Microsoft访问密钥材料。
机密性:托管 HSM 服务在基于 Intel Software Guard Extensions (Intel SGX) 构建的可信执行环境中运行。 Intel SGX 通过在 enclave 中使用硬件隔离来保护正在使用的数据,从而增强对内部和外部攻击者的防范。
Enclave 是指硬件的处理器和内存的受保护部分。 你无法查看 enclave 内的数据或代码,即使使用调试程序也不行。 如果不受信任的代码尝试更改 enclave 内存中的内容,Intel SGX 会禁用该环境并拒绝操作。
这些独特的功能有助于保护你的加密密钥材料不被访问或者不以明文形式可见。 此外,Azure机密计算提供了一种解决方案,用于在云中处理敏感数据时实现敏感数据的隔离。
安全域:是一个加密的二进制大对象,其中包含极其敏感的加密信息。 安全域包含 HSM 备份、用户凭据、签名密钥以及托管 HSM 独有的数据加密密钥等项目。
初始化期间,安全域是在托管 HSM 硬件和服务软件安全区中生成的。 预配托管 HSM 后,至少必须创建 3 个 RSA 密钥对。 请求下载安全域时,会将公钥发送到服务。 下载安全域后,托管 HSM 将进入已激活状态,并准备好供你使用。 Microsoft人员无法恢复安全域,并且无法在没有安全域的情况下访问密钥。
访问控制和授权:通过两个接口(控制平面和数据平面)控制对托管 HSM 的访问。
控制平面是管理 HSM 本身的地方。 此平面中的操作包括创建和删除托管 HSM 以及检索托管 HSM 属性。
数据平面用于处理托管 HSM 中存储的数据(即由 HSM 提供保障的加密密钥)。 在数据平面接口中,可以添加、删除、修改和使用密钥来执行加密操作,管理角色分配以控制对密钥的访问权限,创建完整的 HSM 备份,还原完整备份,以及管理安全域。
若要在任一平面中访问托管 HSM,所有调用方都必须具有适当的身份验证和授权。 身份验证可确定调用方的身份。 授权可确定调用方能够执行的操作。 调用方可以是Microsoft Entra ID中定义的任一安全主体:用户、组、服务主体或托管标识。
这两个系统都使用Microsoft Entra ID进行身份验证。 对于授权,它们使用不同的系统:
- 控制平面使用Azure基于角色的访问控制(Azure RBAC),这是一个基于Azure Resource Manager构建的授权系统。
- 数据平面使用托管 HSM 级别的 RBAC(托管 HSM 本地 RBAC),这是在托管 HSM 层面实施并强制执行的访问控制授权系统。 托管 HSM 本地 RBAC 控制模型允许指定的 HSM 管理员完全控制其 HSM 池,即使管理组、订阅或资源组管理员也无法替代。
- 传输中加密:传入和传出托管 HSM 的所有流量始终通过 TLS 加密(支持传输层安全性版本 1.3 和 1.2),以防止在 SGX enclave 中(不是在不受信任的主机中)发生 TLS 终止时数据遭到篡改和窃听
- 防火墙:可以一开始就将托管 HSM 配置为限制谁能够访问该服务,从而进一步缩小受攻击面。 我们允许你配置托管 HSM 以拒绝来自公共 Internet 的访问,并且仅允许来自受信任Azure服务的流量(例如Azure Storage)
- 专用终结点:通过启用专用终结点,您可以将托管 HSM 服务引入虚拟网络,从而仅将该服务隔离到像虚拟网络和 Azure 服务这样的受信任终结点。 传入和传出托管 HSM 的所有流量都将沿着安全的 Microsoft 主干网络传输,而无需遍历公共 Internet。
- 监视和日志记录:最外面的保护层是托管 HSM 的监视和日志记录功能。 通过使用Azure Monitor服务,可以检查日志中的分析和警报,以确保访问模式符合预期。 这样,安全团队成员便可以洞察托管 HSM 服务中发生了什么情况。 如果有不正常的情况,可以随时重新生成密钥或撤销权限。
- 创建自己的密钥(BYOK):BYOK 使Azure客户能够使用任何受支持的本地 HSM 生成密钥,然后将其导入托管 HSM。 某些客户偏好使用本地 HSM 生成密钥以满足管制与合规要求。 然后,他们使用 BYOK 将受 HSM 保护的密钥安全地传输到托管 HSM。 要传输的密钥永远不会以纯文本形式存在于 HSM 的外部。 在导入过程中,密钥材料受托管 HSM 中保存的密钥的保护。
- External HSM:一些客户已询问我们是否可以探索在Azure云外部使用 HSM 来保持与外部 HSM 隔离的数据和密钥的选项(无论是第三方云还是本地)。 尽管在Azure之外使用第三方 HSM 似乎可让客户更好地控制密钥,但它引入了一些问题,例如导致性能问题的延迟、由第三方 HSM 问题导致的 SLA 滑落以及维护和培训成本。 此外,第三方 HSM 无法使用软删除和清除保护等关键Azure功能。 我们会继续与客户一起评估这种技术选项,帮助他们驾驭复杂的安全与合规环境。
管理安全控制
这些管理安全控制措施在Azure Key Vault托管 HSM 中实施:
- 数据防御。 Azure 强烈承诺挑战政府要求,并捍卫您的数据。
- 合同义务。 如 Azure 信任中心中所述,它提供安全和客户数据保护的控制义务。
- 跨区域复制。 你可以在托管 HSM 中使用多个区域复制技术,将 HSM 部署到次要区域。
- 灾难恢复。 Azure提供了一种端到端的备份和灾难恢复解决方案,该解决方案简单、安全、可缩放且经济高效:
-
Microsoft Security Response Center (MSRC)。 托管 HSM 服务的管理与 MSRC(Microsoft Security Response Center)紧密集成。
- 针对意外的管理操作进行安全监视并提供 24x7 全天候安全响应
- 云弹性且安全的供应链。 托管 HSM 通过稳健的云供应链增强可靠性。
- 法规合规性内置计划。 Azure Policy中的合规性提供了内置方案定义,以便根据责任(客户、Microsoft、共享)查看控制项和合规域的列表。 对于由 Microsoft 负责的控制措施,我们提供了基于第三方认证和我们的实施细节的我们审计结果的更多详细信息,以实现合规性。
- 审核报告。 这些资源可帮助信息安全与合规专业人员了解云功能并验证技术合规性和控制要求
- 假想入侵理念。 我们假设任何组件都可能在任何时候遭到入侵,并且我们进行了相应的设计和测试。 我们会定期进行蓝队/红队练习(攻击模拟)。
托管 HSM 在物理、技术和管理方面提供可靠的安全控制。 托管 HSM 让你能够单独控制你的密钥材料,从而获得可缩放的集中式云密钥管理解决方案,帮助满足不断增长的合规性、安全性和隐私需求。 最重要的是,它提供合规性所需的加密安全措施。 我们的客户可以放心,我们承诺在实现 Azure 欧盟数据边界的过程中,通过保持做法的透明度,确保他们的数据受到保护。
有关详细信息,请联系Azure帐户团队,以便与Azure密钥管理产品团队进行讨论。