AWS - CloudHSM Enum

HSM - Hardware Security Module

Το Cloud HSM είναι μια συσκευή hardware επικυρωμένη επιπέδου FIPS 140 δύο για ασφαλή αποθήκευση κρυπτογραφικών κλειδιών (σημειώστε ότι το CloudHSM είναι μια υλική συσκευή, δεν είναι μια εικονικοποιημένη υπηρεσία). Είναι μια συσκευή SafeNetLuna 7000 με προφορτωμένο το 5.3.13. Υπάρχουν δύο εκδόσεις firmware και ποια θα επιλέξετε εξαρτάται πραγματικά από τις ακριβείς ανάγκες σας. Μία είναι για συμμόρφωση με το FIPS 140-2 και υπήρχε μια νεότερη έκδοση που μπορεί να χρησιμοποιηθεί.

Το ασυνήθιστο χαρακτηριστικό του CloudHSM είναι ότι είναι μια φυσική συσκευή, και έτσι δεν μοιράζεται με άλλους πελάτες, ή όπως συχνά αποκαλείται, multi-tenant. Είναι μια αποκλειστική συσκευή single tenant που διατίθεται αποκλειστικά για τα φορτία εργασίας σας.

Συνήθως, μια συσκευή είναι διαθέσιμη εντός 15 λεπτών, εφόσον υπάρχει χωρητικότητα, αλλά σε ορισμένες ζώνες μπορεί να μην υπάρχει.

Δεδομένου ότι αυτή είναι μια φυσική συσκευή αφιερωμένη σε εσάς, τα κλειδιά αποθηκεύονται στη συσκευή. Τα κλειδιά πρέπει είτε να αντιγραφούν σε άλλη συσκευή, να υποστηρίζονται σε offline αποθήκευση, ή να εξάγονται σε μια εφεδρική συσκευή. Αυτή η συσκευή δεν υποστηρίζεται από S3 ή οποιαδήποτε άλλη υπηρεσία της AWS όπως το KMS.

Στο CloudHSM, πρέπει να κλιμακώσετε την υπηρεσία μόνοι σας. Πρέπει να προμηθευτείτε αρκετές συσκευές CloudHSM για να καλύψετε τις ανάγκες κρυπτογράφησης σας με βάση τους αλγόριθμους κρυπτογράφησης που έχετε επιλέξει να εφαρμόσετε για τη λύση σας. Η κλιμάκωση της υπηρεσίας Key Management Service πραγματοποιείται από την AWS και κλιμακώνεται αυτόματα κατόπιν ζήτησης, οπότε καθώς η χρήση σας αυξάνεται, μπορεί να αυξηθεί και ο αριθμός των συσκευών CloudHSM που απαιτούνται. Λάβετε υπόψη αυτό καθώς κλιμακώνετε τη λύση σας και αν η λύση σας έχει αυτόματη κλιμάκωση, βεβαιωθείτε ότι η μέγιστη κλίμακα έχει ληφθεί υπόψη με αρκετές συσκευές CloudHSM για να εξυπηρετήσει τη λύση.

Ακριβώς όπως η κλιμάκωση, η απόδοση είναι δική σας ευθύνη με το CloudHSM. Η απόδοση ποικίλλει ανάλογα με τον αλγόριθμο κρυπτογράφησης που χρησιμοποιείται και πόσο συχνά χρειάζεται να αποκτήσετε πρόσβαση ή να ανακτήσετε τα κλειδιά για να κρυπτογραφήσετε τα δεδομένα. Η απόδοση της υπηρεσίας διαχείρισης κλειδιών διαχειρίζεται από την Amazon και κλιμακώνεται αυτόματα καθώς απαιτείται. Η απόδοση του CloudHSM επιτυγχάνεται προσθέτοντας περισσότερες συσκευές και αν χρειάζεστε περισσότερη απόδοση, είτε προσθέτετε συσκευές είτε αλλάζετε τη μέθοδο κρυπτογράφησης στον αλγόριθμο που είναι ταχύτερος.

Αν η λύση σας είναι multi-region, θα πρέπει να προσθέσετε αρκετές συσκευές CloudHSM στη δεύτερη περιοχή και να ρυθμίσετε τη διασύνδεση μεταξύ περιοχών με μια ιδιωτική σύνδεση VPN ή κάποια μέθοδο για να διασφαλίσετε ότι η κίνηση είναι πάντα προστατευμένη μεταξύ της συσκευής σε κάθε επίπεδο της σύνδεσης. Αν έχετε μια λύση πολλαπλών περιοχών, πρέπει να σκεφτείτε πώς να αντιγράψετε τα κλειδιά και να ρυθμίσετε επιπλέον συσκευές CloudHSM στις περιοχές όπου λειτουργείτε. Μπορείτε πολύ γρήγορα να βρεθείτε σε ένα σενάριο όπου έχετε έξι ή οκτώ συσκευές διάσπαρτες σε πολλές περιοχές, επιτρέποντας πλήρη αναγκαιότητα των κρυπτογραφικών σας κλειδιών.

CloudHSM είναι μια υπηρεσία επιπέδου επιχείρησης για ασφαλή αποθήκευση κλειδιών και μπορεί να χρησιμοποιηθεί ως root of trust για μια επιχείρηση. Μπορεί να αποθηκεύσει ιδιωτικά κλειδιά σε PKI και κλειδιά αρχής πιστοποίησης σε υλοποιήσεις X509. Εκτός από τα συμμετρικά κλειδιά που χρησιμοποιούνται σε συμμετρικούς αλγόριθμους όπως το AES, το KMS αποθηκεύει και προστατεύει φυσικά μόνο συμμετρικά κλειδιά (δεν μπορεί να λειτουργήσει ως αρχή πιστοποίησης), οπότε αν χρειάζεστε να αποθηκεύσετε κλειδιά PKI και CA, ένα ή δύο ή τρία CloudHSM θα μπορούσαν να είναι η λύση σας.

Το CloudHSM είναι σημαντικά πιο ακριβό από την υπηρεσία διαχείρισης κλειδιών. Το CloudHSM είναι μια υλική συσκευή, οπότε έχετε σταθερές δαπάνες για την προμήθεια της συσκευής CloudHSM, και στη συνέχεια ένα ωριαίο κόστος για τη λειτουργία της συσκευής. Το κόστος πολλαπλασιάζεται με τον αριθμό των συσκευών CloudHSM που απαιτούνται για να επιτευχθούν οι συγκεκριμένες απαιτήσεις σας. Επιπλέον, πρέπει να ληφθεί υπόψη η αγορά τρίτων λογισμικών όπως οι σουίτες λογισμικού SafeNet ProtectV και ο χρόνος και η προσπάθεια ενσωμάτωσης. Η υπηρεσία διαχείρισης κλειδιών είναι βασισμένη στη χρήση και εξαρτάται από τον αριθμό των κλειδιών που έχετε και τις εισόδους και εξόδους. Καθώς η διαχείριση κλειδιών παρέχει απρόσκοπτη ενσωμάτωση με πολλές υπηρεσίες AWS, τα κόστη ενσωμάτωσης θα πρέπει να είναι σημαντικά χαμηλότερα. Τα κόστη θα πρέπει να θεωρούνται δευτερεύων παράγοντας στις λύσεις κρυπτογράφησης. Η κρυπτογράφηση χρησιμοποιείται συνήθως για ασφάλεια και συμμόρφωση.

Με το CloudHSM μόνο εσείς έχετε πρόσβαση στα κλειδιά και χωρίς να μπλέκουμε σε πολλές λεπτομέρειες, με το CloudHSM διαχειρίζεστε τα δικά σας κλειδιά. Με το KMS, εσείς και η Amazon συν-διαχειρίζεστε τα κλειδιά σας. Η AWS έχει πολλές πολιτικές προστασίας κατά της κακής χρήσης και δεν μπορεί να έχει πρόσβαση στα κλειδιά σας σε καμία από τις δύο λύσεις. Η κύρια διάκριση είναι η συμμόρφωση όσον αφορά την ιδιοκτησία και τη διαχείριση των κλειδιών, και με το CloudHSM, αυτή είναι μια υλική συσκευή που διαχειρίζεστε και συντηρείτε με αποκλειστική πρόσβαση σε εσάς και μόνο σε εσάς.

CloudHSM Suggestions

1. Πάντα να αναπτύσσετε το CloudHSM σε ρύθμιση HA με τουλάχιστον δύο συσκευές σε χωριστές ζώνες διαθεσιμότητας, και αν είναι δυνατόν, να αναπτύξετε μια τρίτη είτε στο χώρο σας είτε σε άλλη περιοχή της AWS.

2. Να είστε προσεκτικοί όταν αρχικοποιείτε ένα CloudHSM. Αυτή η ενέργεια θα καταστρέψει τα κλειδιά, οπότε είτε έχετε ένα άλλο αντίγραφο των κλειδιών είτε να είστε απολύτως σίγουροι ότι δεν έχετε και ποτέ, ποτέ δεν θα χρειαστείτε αυτά τα κλειδιά για να αποκρυπτογραφήσετε οποιαδήποτε δεδομένα.

3. Το CloudHSM υποστηρίζει μόνο ορισμένες εκδόσεις firmware και λογισμικού. Πριν από οποιαδήποτε ενημέρωση, βεβαιωθείτε ότι το firmware και ή το λογισμικό υποστηρίζεται από την AWS. Μπορείτε πάντα να επικοινωνήσετε με την υποστήριξη της AWS για να επιβεβαιώσετε αν ο οδηγός αναβάθμισης είναι ασαφής.

4. Η διαμόρφωση δικτύου δεν πρέπει ποτέ να αλλάξει. Θυμηθείτε, είναι σε ένα κέντρο δεδομένων της AWS και η AWS παρακολουθεί το βασικό υλικό για εσάς. Αυτό σημαίνει ότι αν το υλικό αποτύχει, θα το αντικαταστήσουν για εσάς, αλλά μόνο αν γνωρίζουν ότι απέτυχε.

5. Η προώθηση SysLog δεν πρέπει να αφαιρεθεί ή να αλλάξει. Μπορείτε πάντα να προσθέσετε έναν προωθητή SysLog για να κατευθύνετε τα αρχεία καταγραφής στο εργαλείο συλλογής σας.

6. Η διαμόρφωση SNMP έχει τους ίδιους βασικούς περιορισμούς με το δίκτυο και το φάκελο SysLog. Αυτό δεν πρέπει να αλλάξει ή να αφαιρεθεί. Μια επιπλέον διαμόρφωση SNMP είναι εντάξει, απλά βεβαιωθείτε ότι δεν αλλάζετε αυτή που είναι ήδη στη συσκευή.

7. Μια άλλη ενδιαφέρουσα καλύτερη πρακτική από την AWS είναι να μην αλλάξετε τη διαμόρφωση NTP. Δεν είναι σαφές τι θα συμβεί αν το κάνετε, οπότε κρατήστε στο μυαλό σας ότι αν δεν χρησιμοποιείτε την ίδια διαμόρφωση NTP για το υπόλοιπο της λύσης σας, τότε μπορεί να έχετε δύο πηγές χρόνου. Απλά να είστε ενήμεροι για αυτό και να γνωρίζετε ότι το CloudHSM πρέπει να παραμείνει με την υπάρχουσα πηγή NTP.

Η αρχική χρέωση εκκίνησης για το CloudHSM είναι $5,000 για την κατανομή της υλικής συσκευής που είναι αφιερωμένη για τη χρήση σας, στη συνέχεια υπάρχει μια ωριαία χρέωση που σχετίζεται με τη λειτουργία του CloudHSM που είναι αυτή τη στιγμή $1.88 ανά ώρα λειτουργίας, ή περίπου $1,373 ανά μήνα.

Ο πιο κοινός λόγος για να χρησιμοποιήσετε το CloudHSM είναι τα πρότυπα συμμόρφωσης που πρέπει να πληροίτε για κανονιστικούς λόγους. Το KMS δεν προσφέρει υποστήριξη δεδομένων για ασύμμετρα κλειδιά. Το CloudHSM σας επιτρέπει να αποθηκεύετε ασύμμετρα κλειδιά με ασφάλεια.

Το δημόσιο κλειδί εγκαθίσταται στη συσκευή HSM κατά την προμήθεια ώστε να μπορείτε να αποκτήσετε πρόσβαση στην παρουσία CloudHSM μέσω SSH.

What is a Hardware Security Module

Ένα hardware security module (HSM) είναι μια αφιερωμένη κρυπτογραφική συσκευή που χρησιμοποιείται για τη δημιουργία, αποθήκευση και διαχείριση κρυπτογραφικών κλειδιών και την προστασία ευαίσθητων δεδομένων. Είναι σχεδιασμένο να παρέχει υψηλό επίπεδο ασφάλειας απομονώνοντας φυσικά και ηλεκτρονικά τις κρυπτογραφικές λειτουργίες από το υπόλοιπο σύστημα.

Ο τρόπος λειτουργίας ενός HSM μπορεί να διαφέρει ανάλογα με το συγκεκριμένο μοντέλο και τον κατασκευαστή, αλλά γενικά, τα εξής βήματα συμβαίνουν:

1. Δημιουργία κλειδιού: Το HSM δημιουργεί ένα τυχαίο κρυπτογραφικό κλειδί χρησιμοποιώντας έναν ασφαλή γεννήτρια τυχαίων αριθμών.

2. Αποθήκευση κλειδιού: Το κλειδί αποθηκεύεται με ασφάλεια εντός του HSM, όπου μπορεί να προσπελαστεί μόνο από εξουσιοδοτημένους χρήστες ή διαδικασίες.

3. Διαχείριση κλειδιών: Το HSM παρέχει μια σειρά από λειτουργίες διαχείρισης κλειδιών, συμπεριλαμβανομένων της περιστροφής κλειδιών, της δημιουργίας αντιγράφων ασφαλείας και της ανάκλησης.

4. Κρυπτογραφικές λειτουργίες: Το HSM εκτελεί μια σειρά κρυπτογραφικών λειτουργιών, συμπεριλαμβανομένων της κρυπτογράφησης, της αποκρυπτογράφησης, της ψηφιακής υπογραφής και της ανταλλαγής κλειδιών. Αυτές οι λειτουργίες εκτελούνται εντός του ασφαλούς περιβάλλοντος του HSM, το οποίο προστατεύει από μη εξουσιοδοτημένη πρόσβαση και παραβίαση.

5. Καταγραφή ελέγχου: Το HSM καταγράφει όλες τις κρυπτογραφικές λειτουργίες και τις προσπάθειες πρόσβασης, οι οποίες μπορούν να χρησιμοποιηθούν για σκοπούς συμμόρφωσης και ασφάλειας.

Τα HSM μπορούν να χρησιμοποιηθούν για μια ευρεία γκάμα εφαρμογών, συμπεριλαμβανομένων ασφαλών διαδικτυακών συναλλαγών, ψηφιακών πιστοποιητικών, ασφαλών επικοινωνιών και κρυπτογράφησης δεδομένων. Χρησιμοποιούνται συχνά σε βιομηχανίες που απαιτούν υψηλό επίπεδο ασφάλειας, όπως η χρηματοδότηση, η υγειονομική περίθαλψη και η κυβέρνηση.

Συνολικά, το υψηλό επίπεδο ασφάλειας που παρέχουν τα HSM καθιστά πολύ δύσκολη την εξαγωγή των ακατέργαστων κλειδιών από αυτά, και η προσπάθεια να το κάνετε αυτό θεωρείται συχνά παραβίαση της ασφάλειας. Ωστόσο, μπορεί να υπάρχουν ορισμένα σενάρια όπου ένα ακατέργαστο κλειδί θα μπορούσε να εξαχθεί από εξουσιοδοτημένο προσωπικό για συγκεκριμένους σκοπούς, όπως στην περίπτωση μιας διαδικασίας ανάκτησης κλειδιών.

Enumeration

TODO