AWS - CloudHSM Enum

HSM - Hardware Security Module

Cloud HSM is 'n FIPS 140 vlak twee gevalideerde hardeware toestel vir veilige kriptografiese sleutelberging (let daarop dat CloudHSM 'n hardeware toestel is, dit is nie 'n gevirtualiseerde diens nie). Dit is 'n SafeNetLuna 7000 toestel met 5.3.13 vooraf gelaai. Daar is twee firmware weergawes en watter een jy kies, is regtig gebaseer op jou presiese behoeftes. Een is vir FIPS 140-2 nakoming en daar was 'n nuwer weergawe wat gebruik kan word.

Die ongewone kenmerk van CloudHSM is dat dit 'n fisiese toestel is, en dus is dit nie gedeel met ander kliënte nie, of soos dit algemeen genoem word, multi-tenant. Dit is 'n toegewyde enkel-tenant toestel wat eksklusief beskikbaar gestel word vir jou werklading.

Tipies is 'n toestel binne 15 minute beskikbaar, mits daar kapasiteit is, maar in sommige sones mag daar nie wees nie.

Aangesien dit 'n fisiese toestel is wat aan jou toegewy is, word die sleutels op die toestel gestoor. Sleutels moet of na 'n ander toestel gerepliceer word, geback-up word na offline berging, of uitgevoer word na 'n standby toestel. Hierdie toestel is nie geback deur S3 of enige ander diens by AWS soos KMS nie.

In CloudHSM moet jy die diens self skaal. Jy moet genoeg CloudHSM toestelle voorsien om te hanteer wat jou versleuteling behoeftes is gebaseer op die versleuteling algoritmes wat jy gekies het om te implementeer vir jou oplossing. Sleutelbestuurdiens skaal deur AWS en skaal outomaties op aanvraag, so soos jou gebruik groei, kan die aantal CloudHSM toestelle wat benodig word ook groei. Hou dit in gedagte terwyl jy jou oplossing skaal en as jou oplossing outo-skaal, maak seker jou maksimum skaal is rekening gehou met genoeg CloudHSM toestelle om die oplossing te dien.

Net soos skaal, is prestasie aan jou met CloudHSM. Prestasie wissel gebaseer op watter versleuteling algoritme gebruik word en hoe gereeld jy toegang moet verkry of die sleutels moet onttrek om die data te versleutel. Sleutelbestuurdiens prestasie word deur Amazon hanteer en skaal outomaties soos die vraag dit vereis. CloudHSM se prestasie word bereik deur meer toestelle by te voeg en as jy meer prestasie benodig, voeg jy of toestelle by of verander die versleuteling metode na die algoritme wat vinniger is.

As jou oplossing multi-streek is, moet jy verskeie CloudHSM toestelle in die tweede streek byvoeg en die kruis-streek konnektiwiteit uitwerk met 'n private VPN verbinding of 'n metode om te verseker dat die verkeer altyd beskerm is tussen die toestel op elke laag van die verbinding. As jy 'n multi-streek oplossing het, moet jy dink oor hoe om sleutels te repliseer en addisionele CloudHSM toestelle op te stel in die streke waar jy werk. Jy kan baie vinnig in 'n scenario beland waar jy ses of agt toestelle oor verskeie streke versprei het, wat volle redundans van jou versleuteling sleutels moontlik maak.

CloudHSM is 'n ondernemingsklas diens vir beveiligde sleutelberging en kan gebruik word as 'n wortel van vertroue vir 'n onderneming. Dit kan private sleutels in PKI en sertifikaatowerheid sleutels in X509 implementasies stoor. Benewens simmetriese sleutels wat in simmetriese algoritmes soos AES gebruik word, stoor KMS en fisies beskerm slegs simmetriese sleutels (kan nie as 'n sertifikaatowerheid optree nie), so as jy PKI en CA sleutels moet stoor, kan 'n CloudHSM of twee of drie jou oplossing wees.

CloudHSM is aansienlik duurder as Sleutelbestuurdiens. CloudHSM is 'n hardeware toestel, so jy het vaste koste om die CloudHSM toestel te voorsien, dan is daar 'n uurlikse koste om die toestel te laat loop. Die koste word vermenigvuldig met soveel CloudHSM toestelle wat benodig word om jou spesifieke vereistes te bereik. Boonop moet kruis oorweging gemaak word in die aankoop van derdeparty sagteware soos SafeNet ProtectV sagteware suites en integrasietyd en -poging. Sleutelbestuurdiens is 'n gebruiksgebaseerde diens en hang af van die aantal sleutels wat jy het en die invoer- en uitvoerbedrywighede. Aangesien sleutelbestuur naatlose integrasie met baie AWS dienste bied, moet integrasiekoste aansienlik laer wees. Koste moet as 'n sekondêre faktor in versleuteling oplossings beskou word. Versleuteling word tipies gebruik vir sekuriteit en nakoming.

Met CloudHSM het slegs jy toegang tot die sleutels en sonder om in te veel detail te gaan, met CloudHSM bestuur jy jou eie sleutels. Met KMS, bestuur jy en Amazon saam jou sleutels. AWS het baie beleidsbeskermings teen misbruik en kan steeds nie jou sleutels in enige oplossing toegang nie. Die hoofonderskeid is nakoming soos dit betrekking het op sleutelbesit en bestuur, en met CloudHSM, is dit 'n hardeware toestel wat jy bestuur en onderhou met eksklusiewe toegang tot jou en slegs jou.

CloudHSM Voorstelle

1. Ontplooi altyd CloudHSM in 'n HA opstelling met ten minste twee toestelle in verskillende beskikbaarheids sones, en indien moontlik, ontplooi 'n derde of op die perseel of in 'n ander streek by AWS.

2. Wees versigtig wanneer jy 'n CloudHSM initieer. Hierdie aksie sal die sleutels vernietig, so of jy moet 'n ander kopie van die sleutels hê of absoluut seker wees dat jy nie en nooit, ooit hierdie sleutels sal benodig om enige data te ontsleutel nie.

3. CloudHSM ondersteun slegs sekere weergawes van firmware en sagteware. Voordat jy enige opdatering uitvoer, maak seker dat die firmware en of sagteware deur AWS ondersteun word. Jy kan altyd AWS ondersteuning kontak om te verifieer of die opgradering gids onduidelik is.

4. Die netwerk konfigurasie mag nooit verander word nie. Onthou, dit is in 'n AWS datacentrum en AWS monitor basishardeware vir jou. Dit beteken dat as die hardeware faal, hulle dit vir jou sal vervang, maar slegs as hulle weet dit het gefaal.

5. Die SysLog voortgang mag nie verwyder of verander word nie. Jy kan altyd 'n SysLog voortgangsverskaffer byvoeg om die logs na jou eie versamelingsinstrument te rig.

6. Die SNMP konfigurasie het dieselfde basiese beperkings as die netwerk en SysLog vouer. Dit mag nie verander of verwyder word nie. 'n Addisionele SNMP konfigurasie is reg, maak net seker jy verander nie die een wat reeds op die toestel is nie.

7. Nog 'n interessante beste praktyk van AWS is om nie die NTP konfigurasie te verander nie. Dit is nie duidelik wat sou gebeur as jy dit doen nie, so hou in gedagte dat as jy nie dieselfde NTP konfigurasie vir die res van jou oplossing gebruik nie, dan kan jy twee tydbronne hê. Wees net bewus hiervan en weet dat die CloudHSM by die bestaande NTP bron moet bly.

Die aanvanklike lanseringskoste vir CloudHSM is $5,000 om die hardeware toestel wat aan jou gebruik toegewy is, toe te ken, dan is daar 'n uurlikse koste verbonde aan die werking van CloudHSM wat tans $1.88 per uur van werking is, of ongeveer $1,373 per maand.

Die mees algemene rede om CloudHSM te gebruik, is nakomingsstandaarde wat jy moet nakom vir regulerende redes. KMS bied nie datasteun vir asimmetriese sleutels nie. CloudHSM laat jou toe om asimmetriese sleutels veilig te stoor.

Die publieke sleutel word op die HSM toestel tydens voorsiening geïnstalleer sodat jy toegang tot die CloudHSM instansie via SSH kan verkry.

Wat is 'n Hardware Security Module

'n Hardware security module (HSM) is 'n toegewyde kriptografiese toestel wat gebruik word om kriptografiese sleutels te genereer, te stoor en te bestuur en sensitiewe data te beskerm. Dit is ontwerp om 'n hoë vlak van sekuriteit te bied deur die kriptografiese funksies fisies en elektronies van die res van die stelsel te isoleer.

Die manier waarop 'n HSM werk, kan wissel afhangende van die spesifieke model en vervaardiger, maar oor die algemeen vind die volgende stappe plaas:

1. Sleutelgenerasie: Die HSM genereer 'n ewekansige kriptografiese sleutel met behulp van 'n veilige ewekansige nommer generator.

2. Sleutelberging: Die sleutel word veilig binne die HSM gestoor, waar dit slegs deur gemagtigde gebruikers of prosesse toegang kan verkry.

3. Sleutelbestuur: Die HSM bied 'n reeks sleutelbestuur funksies, insluitend sleutelrotasie, rugsteun en herroeping.

4. Kriptografiese bedrywighede: Die HSM voer 'n reeks kriptografiese bedrywighede uit, insluitend versleuteling, ontsleuteling, digitale handtekening en sleuteluitruiling. Hierdie bedrywighede word binne die veilige omgewing van die HSM uitgevoer, wat teen ongeoorloofde toegang en vervalsing beskerm.

5. Auditing log: Die HSM log al kriptografiese bedrywighede en toegangspogings, wat gebruik kan word vir nakoming en sekuriteitsouditdoeleindes.

HSM's kan vir 'n wye reeks toepassings gebruik word, insluitend veilige aanlyn transaksies, digitale sertifikate, veilige kommunikasie en dataversleuteling. Hulle word dikwels in bedrywe gebruik wat 'n hoë vlak van sekuriteit vereis, soos finansies, gesondheidsorg en regering.

Oor die algemeen maak die hoë vlak van sekuriteit wat deur HSM's verskaf word, dit baie moeilik om rou sleutels daaruit te onttrek, en om dit te probeer, word dikwels beskou as 'n oortreding van sekuriteit. Daar mag egter sekere scenario's wees waar 'n rou sleutel deur gemagtigde personeel onttrek kan word vir spesifieke doeleindes, soos in die geval van 'n sleutelherstelprosedure.

Enumerasie

TODO