AWS - CloudHSM Enum

支持 HackTricks

HSM - 硬件安全模块

Cloud HSM 是一个 FIPS 140 级别二验证的 硬件设备,用于安全的加密密钥存储(请注意,CloudHSM 是一个硬件设备,而不是虚拟化服务)。它是一个预装了 5.3.13 的 SafeNetLuna 7000 设备。它有两个固件版本,您选择哪个版本实际上取决于您的具体需求。一个是用于 FIPS 140-2 合规性,还有一个更新版本可以使用。

CloudHSM 的不寻常之处在于它是一个物理设备,因此它 不与其他客户共享,或者通常称为多租户。它是专用的单租户设备,仅供您的工作负载使用。

通常,如果有容量,设备在 15 分钟内可用,但在某些区域可能没有。

由于这是一个专门为您提供的物理设备,密钥存储在设备上。密钥需要 复制到另一个设备、备份到离线存储,或导出到备用设备。该设备不受 S3 或 AWS 的任何其他服务(如 KMS)的支持。

CloudHSM 中,您必须 自己扩展服务。您必须配置足够的 CloudHSM 设备,以处理您根据所选择的加密算法实施的加密需求。 密钥管理服务的扩展由 AWS 执行,并根据需求自动扩展,因此随着您的使用增长,所需的 CloudHSM 设备数量也可能增加。请记住这一点,在扩展您的解决方案时,如果您的解决方案具有自动扩展功能,请确保您的最大扩展考虑到足够的 CloudHSM 设备来服务该解决方案。

就像扩展一样,CloudHSM 的性能取决于您。性能因使用的加密算法和您需要访问或检索密钥以加密数据的频率而异。密钥管理服务的性能由亚马逊处理,并根据需求自动扩展。CloudHSM 的性能通过添加更多设备来实现,如果您需要更高的性能,您可以添加设备或更改加密方法为更快的算法。

如果您的解决方案是 多区域的,您应该在第二个区域添加几个 CloudHSM 设备,并通过私有 VPN 连接或某种方法确保在每一层连接中流量始终受到保护。如果您有多区域解决方案,您需要考虑如何 复制密钥并在您运营的区域设置额外的 CloudHSM 设备。您可能很快就会进入一个场景,您在多个区域分布有六个或八个设备,从而实现加密密钥的完全冗余。

CloudHSM 是一个企业级服务,用于安全密钥存储,可以作为 企业的信任根。它可以在 PKI 中存储私钥和在 X509 实现中的证书授权密钥。除了在对称算法(如 AES)中使用的对称密钥外,KMS 仅存储和物理保护对称密钥(不能充当证书授权),因此如果您需要存储 PKI 和 CA 密钥,两个或三个 CloudHSM 可能是您的解决方案。

CloudHSM 的成本明显高于密钥管理服务。CloudHSM 是一个硬件设备,因此您需要固定成本来配置 CloudHSM 设备,然后是运行设备的每小时费用。目前每小时的费用为 1.88 美元,或每月约 1,373 美元。

使用 CloudHSM 的最常见原因是您必须满足的合规标准。KMS 不支持非对称密钥的数据支持。CloudHSM 允许您安全地存储非对称密钥

公钥在配置期间安装在 HSM 设备上,因此您可以通过 SSH 访问 CloudHSM 实例。

什么是硬件安全模块

硬件安全模块(HSM)是一个专用的加密设备,用于生成、存储和管理加密密钥并保护敏感数据。它旨在通过物理和电子隔离加密功能与系统的其余部分提供高水平的安全性。

HSM 的工作方式可能因具体型号和制造商而异,但通常会发生以下步骤:

  1. 密钥生成:HSM 使用安全随机数生成器生成随机加密密钥。

  2. 密钥存储:密钥 安全地存储在 HSM 内部,只有授权用户或进程才能访问

  3. 密钥管理:HSM 提供一系列密钥管理功能,包括密钥轮换、备份和撤销。

  4. 加密操作:HSM 执行一系列加密操作,包括加密、解密、数字签名和密钥交换。这些操作在 HSM 的安全环境中 执行,保护免受未经授权的访问和篡改

  5. 审计日志:HSM 记录所有加密操作和访问尝试,可用于合规性和安全审计目的。

HSM 可用于广泛的应用,包括安全在线交易、数字证书、安全通信和数据加密。它们通常用于需要高安全性水平的行业,如金融、医疗保健和政府。

总体而言,HSM 提供的高安全性使得 从中提取原始密钥非常困难,尝试这样做通常被视为安全漏洞。然而,在 某些情况下授权人员可能会提取原始密钥,以用于特定目的,例如密钥恢复程序。

枚举

TODO
支持 HackTricks

Last updated