Azure Key Vault və HSM arxitekturaları

Azure Key Vault – buludda şifrələmə açarlarını, sirləri (parollar, API açarları) və sertifikatları mühafizə etmək üçün idarə olunan bir xidmətdir. Onun iki əsas təklif forması var: multi-tenant Key Vault və Azure Managed HSM (Hardware Security Module). Bu arxitekturaların düzgün seçimi və qurulması məlumatların təhlükəsizliyində kritik rol oynayır.

Standart Azure Key Vault multi-tenant rejimdə işləyir – yəni Microsoft-un idarə etdiyi HSM-lər üzərində sizin açarlarınız izolə olunmuş lojik konteynerlərdə saxlanılır. Azure Key Vault-un Premium versiyasında hər açar FIPS 140-2 Level 2 yoxlanmış HSM modulu ilə mühafizə olunur, lakin yenə də infrastruktur paylaşıldır (bir HSM çox müştəriyə bölünür). Bu scenario əksər istifadə hallarına uyğundur: məsələn, bir web tətbiqinizin JWT imzalama açarını, bir SQL TDE (Transparent Data Encryption) açarını və ya API sirlərini Key Vault-da saxlayırsınız. Bu açarlara çıxış Azure AD identitetləri ilə (Mənimsənmiş rola əsaslı nəzarətlə) idarə olunur. Multi-tenant Key Vault arxitekturası sadədir: siz tresti Microsoft-a həvalə edirsiniz ki, onlar açarlarınızı öz HSM-lərində qorusun, siz də endpoint-ləri çağırıb lazımi əməliyyatları (məsələn, Sign, Decrypt) həyata keçirirsiniz. Microsoft bu ssenaridə fiziki HSM-lərə sahib olsa da, sizin açarlarınızı sadəcə sizin sorğularınızla işlədir, özləri görmür – (HSM-lər modul daxilində işləyir). Lakin, ekstremal tələbləri olan müştərilər üçün bu bəs etməyə bilər.

Azure Managed HSM arxitekturası daha fərqlidir: burada sizə tam sizə məxsus, tək-tenant HSM klasteri ayrılır. Bu, FIPS 140-3 Level 3 uyğunluqlu fiziki HSM-lərdən ibarət bir servisi tamamilə sizin tenantınız üçün rezerve edir. İki-üç node-lu HSM klasteri kimi təqdim olunur, yüksək əlçatanlıq üçün. Microsoft bu HSM-ləri infrastruktur olaraq idarə etsə də (sərt təminat, patch-lər, availability), açarlarınıza çıxış baxımından sıfır imkana malikdir: Managed HSM “security domain” adlanan texnologiya sayəsində HSM-ləriniz müstəqil enkript olunmuş domain-dədir və yalnız sizin təyin etdiyiniz admin-lərin “security domain” parolu ilə yeni açarları import/eksport edə bilməsi mümkündür. Microsoft-un özü bu domain-in açarını bilmir, yəni siz onlara tam güvənməyə də ehtiyac duymursunuz – sistem dizaynı etibarilə Assume Breach modelini izləyir. Managed HSM arxitekturasında, siz Azure portalında belə açarların kontentini heç cür görmürsünüz, ancaq “HSM-lə əməliyyat” keçirdirsiniz (məsələn, şifrələmə). Bu da compliance (məsələn, banklarda PCI DSS, milli kripto tələbləri) üçün vacibdir: açarlar HSM hardware-dən kənara çıxmır.

Maraqlı cəhət: Azure Key Vault (multi-tenant) və Managed HSM interfeysləri çox bənzərdir. Hər ikisi üçün eyni REST API-nin variantları var. Müştərilər asan köçə bilsin deyə, Microsoft interfeysi eyniləşdirib. Bəs bunların arxitekturaları fərqinə nəzər salsaq: Multi-tenant Key Vault bir logic service-dır – arxada LiquidSecurity HSM kartları, front-end-də isə rol əsaslı identifikasiya olan bir servis layı var. Managed HSM isə Confidential Computing prinsipi ilə qurulub: HSM-lər plus Intel SGX enclavaları bir yerdə işləyir, Microsoft operatorlarının HSM-lərə göndərdiyi komutlar da enclava daxilində müştərinin icazə verdiyi çərçivədən çıxmır. Yəni Microsoft texniki servis göstərsə də, dataya girə bilmir. Bu, arxitekturanın vacib nöqtəsidir (yuxarıdakı Confidential Computing mövzusuna da bağlıdır).

Bir də Azure Dedicated HSM var – bu, buludda ixtiyarınıza tam fiziki HSM qutusu verir. Onun arxitekturası ondan ibarətdir ki, siz HSM cihazını datacenter-də sanki co-location kimi icarəyə götürürsünüz, siz istədiyiniz kimi onu konfiqurasiya edirsiniz (Safenet/Luna HSM-ləri kimi), Microsoft sadəcə qurğunu sizə ayırır və şəbəkə qoşulmasını təmin edir. Dedicated HSM, məsələn, öz xüsusi PKI-larını buluda köçürmək istəyən, lakin tam fiziki kontrollu olmasını tələb edən qurumlar üçündür. Dezavantajı: tam idarəetmə sizdə olduğu üçün tam avtomatlaşdırılmış Azure xidmətləri ilə inteqrasiya etmir (Managed HSM-dən fərqli olaraq). Məsələn, Dedicated HSM Azure-in PaaS-ları ilə birbaşa inteqrasiya olunmur, halbuki Managed HSM açarları bir çox Azure servislərinə CMK (Customer Managed Key) kimi istifadə oluna bilir.

Bir enterprise üçün arxitektur qərar belə ola bilər: – Ümumi məqsədli sirlər və açarlar üçün Azure Key Vault Standard/Premium (cost effektiv, asan). – Həssas, compliance kritik açarlar üçün Azure Managed HSM (tam tenant izoləsi, audit üçün lazımi loglar, FIPS Level 3). – Çox xüsusi tələblər (məsələn, bir ödəniş sisteminin HSM-i, PCI P2PE tələbləri) üçün Azure Dedicated HSM və ya Azure Payment HSM (bunlar birbaşa fiziki cihaz arxitekturalarıdır, Payment HSM xüsusi ödəniş use-case üçündür ki, PCI PIN security və s. qarşılasın).

Arxitekturaları təsəvvür etmək üçün: Multi-tenant Key Vault – çoxmərtəbəli bina kimidir, bir HSM box-da bir neçə tenantın bölmələri var, binanı Microsoft idarə edir, siz öz bölmənizin qapısına Azure AD ilə kilid vurmusunuz. Managed HSM – ayrı bir binadır tam sizdədir (fiziki giriş yenə MS infrastrukturu, amma içərisindəki otaqların açarı yalnız sizdə). Dedicated HSM – az qala sizə öz serveriniz verilib Data Center-də, qapısı yalnız sizdə açılır.

Dizayn cəhətdən, Managed HSM-lər üç node-lu klaster şəklində region daxilində multi-AZ (availability zone) yayılır ki, tək HSM failure olarsa, partition-lar avtomatik migre olsun. Bir security domain siz yaradanda backup asan olsun deyə istəyə uyğun “security domain” backup-u da var (o da müştərinin açarı ilə şifrələnir, MS görmür).

Nəticə: Azure Key Vault və HSM arxitekturaları müştərinin təhlükəsizlik və suverenlik ehtiyaclarına uyğun müxtəlif səviyyələrdə seçim verir. Hər birinin memarlıq fərqləri (multi-tenant vs single-tenant hardware) var, lakin hamısının məqsədi həssas açarların buludda təhlükəsiz saxlanmasıdır. Şirkət öz risk və compliance tələblərinə əsasən bunlardan birini seçir və ya kombinə edir.

Şəkil: Azure Managed HSM arxitekturası – burada üç HSM instansı (yaşıl) və onlara bağlı SGX TEE enclavaları (göy) “cryptographic boundary” daxilində müşahidə edilir. Bu mühit müştəriyə ayrılmışdır və Microsoft-un administrator hüquqları olsa belə, enclavaların içindəki açar materialını görə bilmir. HSM Fabric Controller (yuxarıda mavi) yalnız idarəetmə əməliyyatlarına nəzarət edir, lakin “A” nöqtəsindən kənarda (cryptographic boundary xaricində) sensitive data görünmür