По мере развития цифровых систем вопрос доверия к инфраструктуре играет всё более важную роль. Microsoft объявила об открытии аппаратных модулей безопасности Azure Integrated Hardware Security Module (Azure HSM), которые позволяют сделать аппаратную криптографическую защиту базовым элементом облака.
Аппаратный модуль Microsoft Azure Integrated HSM встроен в каждый новый сервер Azure (и ВМ V7). Модуль соответствует стандарту FIPS 140-3 Level 3 и защищает криптографические ключи непосредственно в месте выполнения задач, а не только на централизованном уровне. В результате системы устойчивы к физическому вмешательству и защищены от извлечения ключей логическими средствами.
Компания объявила об открытии ключевых компонентов Azure Integrated HSM (прошивки, драйверов и программного стека) — они будут опубликованы в рамках OCP. Прошивка уже доступна в репозитории GitHub вместе с материалами независимой проверки, включая аудит OCP SAFE. Azure Integrated HSM также поддерживает отраслевые стандарты, включая TDISP, что позволяет связать HSM и среды, участвующие в конфиденциальных вычислениях.
Источник изображения: Microsoft
Новейшее решение дополняет сервисы вроде Azure Key Vault и Azure Managed HSM, обеспечивая новый уровень защиты индивидуальных серверов. Ключи защищаются не только во время хранения, но и во время использования. С Azure Integrated HSM ключи шифрования генерируются, хранятся и используются полностью внутри защищённого аппаратного контура. Они не появятся в памяти виртуальных машин, в программных процессах и во время активных криптографических операций. В результате блокируются целые классы атак, нацеленных на получение данных из памяти или программного слоя.
В отличие от вариантов с «централизованными» HSM-технологиями, хотя и эффективными, но имеющими проблемы с масштабированием, новый подход позволяет привязать криптографическую защиту непосредственно к серверу. За счёт аппаратных RoT, проверяемой загрузки и аттестации Azure Integrated HSM обеспечивает доказательство корректности аппаратно-программных конфигураций оборудования. В совокупности с другими инструментами защиты, включая Azure Boost, технология Azure Integrated HSM обеспечивает создание вертикально интегрированной цепочки доверия, от чипов до программного обеспечения.
Источник:
