AWS - CloudHSM Enum
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Cloud HSM ist ein FIPS 140 Level zwei validiertes Hardwaregerät zur sicheren Speicherung kryptografischer Schlüssel (beachten Sie, dass CloudHSM ein Hardwaregerät ist, es ist kein virtualisierter Dienst). Es handelt sich um ein SafeNetLuna 7000-Gerät mit vorinstallierter Version 5.3.13. Es gibt zwei Firmware-Versionen, und welche Sie wählen, hängt wirklich von Ihren genauen Bedürfnissen ab. Eine ist für die FIPS 140-2-Konformität und es gab eine neuere Version, die verwendet werden kann.
Das ungewöhnliche Merkmal von CloudHSM ist, dass es sich um ein physisches Gerät handelt und daher nicht mit anderen Kunden geteilt wird, oder wie es allgemein genannt wird, multi-tenant. Es ist ein dediziertes Single-Tenant-Gerät, das ausschließlich für Ihre Workloads zur Verfügung steht.
Typischerweise ist ein Gerät innerhalb von 15 Minuten verfügbar, vorausgesetzt, es gibt Kapazität, aber in einigen Zonen könnte dies nicht der Fall sein.
Da dies ein physisches Gerät ist, das Ihnen gewidmet ist, werden die Schlüssel auf dem Gerät gespeichert. Schlüssel müssen entweder auf ein anderes Gerät repliziert, in Offline-Speicher gesichert oder auf ein Standby-Gerät exportiert werden. Dieses Gerät wird nicht von S3 oder einem anderen Dienst bei AWS wie KMS unterstützt.
In CloudHSM müssen Sie den Dienst selbst skalieren. Sie müssen genügend CloudHSM-Geräte bereitstellen, um Ihre Verschlüsselungsbedürfnisse basierend auf den Verschlüsselungsalgorithmen, die Sie für Ihre Lösung implementieren möchten, zu erfüllen. Die Skalierung des Key Management Service erfolgt durch AWS und skaliert automatisch nach Bedarf, sodass mit dem Wachstum Ihrer Nutzung auch die Anzahl der benötigten CloudHSM-Geräte steigen kann. Behalten Sie dies im Hinterkopf, während Sie Ihre Lösung skalieren, und wenn Ihre Lösung über Auto-Scaling verfügt, stellen Sie sicher, dass Ihre maximale Skalierung mit genügend CloudHSM-Geräten berücksichtigt wird, um die Lösung zu bedienen.
Genau wie bei der Skalierung liegt die Leistung bei Ihnen mit CloudHSM. Die Leistung variiert je nach verwendetem Verschlüsselungsalgorithmus und wie oft Sie auf die Schlüssel zugreifen oder sie abrufen müssen, um die Daten zu verschlüsseln. Die Leistung des Key Management Service wird von Amazon verwaltet und skaliert automatisch, wenn die Nachfrage es erfordert. Die Leistung von CloudHSM wird durch das Hinzufügen weiterer Geräte erreicht, und wenn Sie mehr Leistung benötigen, fügen Sie entweder Geräte hinzu oder ändern die Verschlüsselungsmethode auf den Algorithmus, der schneller ist.
Wenn Ihre Lösung multi-region ist, sollten Sie mehrere CloudHSM-Geräte in der zweiten Region hinzufügen und die interregionale Konnektivität mit einer privaten VPN-Verbindung oder einer anderen Methode sicherstellen, um den Datenverkehr auf jeder Ebene der Verbindung immer zu schützen. Wenn Sie eine Multi-Region-Lösung haben, müssen Sie darüber nachdenken, wie Sie Schlüssel replizieren und zusätzliche CloudHSM-Geräte in den Regionen einrichten, in denen Sie tätig sind. Sie können sehr schnell in ein Szenario geraten, in dem Sie sechs oder acht Geräte über mehrere Regionen verteilt haben, was eine vollständige Redundanz Ihrer Verschlüsselungsschlüssel ermöglicht.
CloudHSM ist ein Unternehmensdienst für die sichere Speicherung von Schlüsseln und kann als Root of Trust für ein Unternehmen verwendet werden. Es kann private Schlüssel in PKI und Schlüssel von Zertifizierungsstellen in X509-Implementierungen speichern. Neben symmetrischen Schlüsseln, die in symmetrischen Algorithmen wie AES verwendet werden, speichert und schützt KMS nur symmetrische Schlüssel physisch (kann nicht als Zertifizierungsstelle fungieren), sodass, wenn Sie PKI- und CA-Schlüssel speichern müssen, ein oder zwei oder drei CloudHSMs Ihre Lösung sein könnten.
CloudHSM ist erheblich teurer als der Key Management Service. CloudHSM ist ein Hardwaregerät, sodass Sie feste Kosten für die Bereitstellung des CloudHSM-Geräts haben, dann gibt es eine stündliche Gebühr für den Betrieb des Geräts, die derzeit bei 1,88 USD pro Betriebsstunde liegt, oder etwa 1.373 USD pro Monat.
Der häufigste Grund für die Verwendung von CloudHSM sind Compliance-Standards, die Sie aus regulatorischen Gründen erfüllen müssen. KMS bietet keine Unterstützung für asymmetrische Schlüssel. CloudHSM ermöglicht es Ihnen, asymmetrische Schlüssel sicher zu speichern.
Der öffentliche Schlüssel wird während der Bereitstellung auf dem HSM-Gerät installiert, sodass Sie auf die CloudHSM-Instanz über SSH zugreifen können.
Ein Hardware-Sicherheitsmodul (HSM) ist ein dediziertes kryptografisches Gerät, das zur Generierung, Speicherung und Verwaltung kryptografischer Schlüssel und zum Schutz sensibler Daten verwendet wird. Es ist so konzipiert, dass es ein hohes Maß an Sicherheit bietet, indem es die kryptografischen Funktionen physisch und elektronisch vom Rest des Systems isoliert.
Die Funktionsweise eines HSM kann je nach spezifischem Modell und Hersteller variieren, aber im Allgemeinen treten die folgenden Schritte auf:
Schlüsselgenerierung: Das HSM generiert einen zufälligen kryptografischen Schlüssel mit einem sicheren Zufallszahlengenerator.
Schlüsselspeicherung: Der Schlüssel wird sicher innerhalb des HSM gespeichert, wo er nur von autorisierten Benutzern oder Prozessen abgerufen werden kann.
Schlüsselverwaltung: Das HSM bietet eine Reihe von Funktionen zur Schlüsselverwaltung, einschließlich Schlüsselrotation, Backup und Widerruf.
Kryptografische Operationen: Das HSM führt eine Reihe von kryptografischen Operationen durch, einschließlich Verschlüsselung, Entschlüsselung, digitale Signatur und Schlüsselaustausch. Diese Operationen werden innerhalb der sicheren Umgebung des HSM durchgeführt, die unbefugten Zugriff und Manipulation schützt.
Audit-Protokollierung: Das HSM protokolliert alle kryptografischen Operationen und Zugriffsversuche, die für Compliance- und Sicherheitsprüfungszwecke verwendet werden können.
HSMs können für eine Vielzahl von Anwendungen verwendet werden, einschließlich sicherer Online-Transaktionen, digitaler Zertifikate, sicherer Kommunikation und Datenverschlüsselung. Sie werden häufig in Branchen eingesetzt, die ein hohes Maß an Sicherheit erfordern, wie z. B. Finanzen, Gesundheitswesen und Regierung.
Insgesamt macht das hohe Maß an Sicherheit, das HSMs bieten, es sehr schwierig, rohe Schlüssel von ihnen zu extrahieren, und der Versuch, dies zu tun, wird oft als Sicherheitsverletzung angesehen. Es kann jedoch bestimmte Szenarien geben, in denen ein roher Schlüssel von autorisiertem Personal für spezifische Zwecke extrahiert werden könnte, z. B. im Falle eines Schlüsselwiederherstellungsverfahrens.
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)