AWS - CloudHSM Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Cloud HSM es un dispositivo de hardware validado de nivel dos FIPS 140 para almacenamiento seguro de claves criptográficas (ten en cuenta que CloudHSM es un dispositivo de hardware, no es un servicio virtualizado). Es un dispositivo SafeNetLuna 7000 con 5.3.13 preinstalado. Hay dos versiones de firmware y cuál elijas realmente depende de tus necesidades exactas. Una es para cumplimiento de FIPS 140-2 y había una versión más nueva que se puede usar.
La característica inusual de CloudHSM es que es un dispositivo físico, y por lo tanto no se comparte con otros clientes, o como comúnmente se denomina, multi-tenant. Es un dispositivo de un solo inquilino dedicado exclusivamente a tus cargas de trabajo.
Típicamente, un dispositivo está disponible en 15 minutos, asumiendo que hay capacidad, pero en algunas zonas podría no haberla.
Dado que este es un dispositivo físico dedicado a ti, las claves se almacenan en el dispositivo. Las claves deben ser replicadas a otro dispositivo, respaldadas en almacenamiento fuera de línea, o exportadas a un dispositivo de reserva. Este dispositivo no está respaldado por S3 ni por ningún otro servicio en AWS como KMS.
En CloudHSM, tienes que escalar el servicio tú mismo. Debes aprovisionar suficientes dispositivos CloudHSM para manejar tus necesidades de cifrado basadas en los algoritmos de cifrado que has elegido implementar para tu solución. La escalabilidad del Servicio de Gestión de Claves es realizada por AWS y se escala automáticamente según la demanda, así que a medida que tu uso crece, también podría crecer el número de dispositivos CloudHSM que se requieren. Ten esto en cuenta a medida que escalas tu solución y si tu solución tiene escalado automático, asegúrate de que tu escala máxima esté contemplada con suficientes dispositivos CloudHSM para atender la solución.
Al igual que la escalabilidad, el rendimiento depende de ti con CloudHSM. El rendimiento varía según el algoritmo de cifrado utilizado y con qué frecuencia necesitas acceder o recuperar las claves para cifrar los datos. El rendimiento del servicio de gestión de claves es manejado por Amazon y se escala automáticamente según la demanda. El rendimiento de CloudHSM se logra añadiendo más dispositivos y si necesitas más rendimiento, simplemente añades dispositivos o alteras el método de cifrado al algoritmo que es más rápido.
Si tu solución es multi-región, deberías añadir varios dispositivos CloudHSM en la segunda región y resolver la conectividad entre regiones con una conexión VPN privada o algún método para asegurar que el tráfico esté siempre protegido entre el dispositivo en cada capa de la conexión. Si tienes una solución multi-región, necesitas pensar en cómo replicar claves y configurar dispositivos CloudHSM adicionales en las regiones donde operas. Puedes rápidamente entrar en un escenario donde tienes seis u ocho dispositivos distribuidos en múltiples regiones, habilitando la redundancia total de tus claves de cifrado.
CloudHSM es un servicio de clase empresarial para almacenamiento seguro de claves y puede ser utilizado como un raíz de confianza para una empresa. Puede almacenar claves privadas en PKI y claves de autoridad de certificación en implementaciones X509. Además de claves simétricas utilizadas en algoritmos simétricos como AES, KMS almacena y protege físicamente solo claves simétricas (no puede actuar como una autoridad de certificación), así que si necesitas almacenar claves de PKI y CA, uno, dos o tres CloudHSM podrían ser tu solución.
CloudHSM es considerablemente más caro que el Servicio de Gestión de Claves. CloudHSM es un dispositivo de hardware, por lo que tienes costos fijos para aprovisionar el dispositivo CloudHSM, luego un costo por hora para operar el dispositivo. El costo se multiplica por la cantidad de dispositivos CloudHSM que se requieren para cumplir con tus requisitos específicos. Además, se debe considerar la compra de software de terceros como las suites de software SafeNet ProtectV y el tiempo y esfuerzo de integración. El Servicio de Gestión de Claves es basado en uso y depende del número de claves que tienes y de las operaciones de entrada y salida. Como la gestión de claves proporciona integración sin problemas con muchos servicios de AWS, los costos de integración deberían ser significativamente más bajos. Los costos deben considerarse un factor secundario en las soluciones de cifrado. El cifrado se utiliza típicamente para seguridad y cumplimiento.
Con CloudHSM solo tú tienes acceso a las claves y sin entrar en demasiados detalles, con CloudHSM gestionas tus propias claves. Con KMS, tú y Amazon co-gestionan tus claves. AWS tiene muchas salvaguardias de políticas contra el abuso y aún no puede acceder a tus claves en ninguna de las soluciones. La principal distinción es el cumplimiento en lo que respecta a la propiedad y gestión de claves, y con CloudHSM, este es un dispositivo de hardware que tú gestionas y mantienes con acceso exclusivo para ti y solo para ti.
Siempre despliega CloudHSM en una configuración HA con al menos dos dispositivos en zonas de disponibilidad separadas, y si es posible, despliega un tercero ya sea en las instalaciones o en otra región de AWS.
Ten cuidado al inicializar un CloudHSM. Esta acción destruirá las claves, así que o bien ten otra copia de las claves o asegúrate absolutamente de que no las necesitas y nunca, jamás necesitarás estas claves para descifrar ningún dato.
CloudHSM solo soporta ciertas versiones de firmware y software. Antes de realizar cualquier actualización, asegúrate de que el firmware y/o software sea compatible con AWS. Siempre puedes contactar al soporte de AWS para verificar si la guía de actualización no está clara.
La configuración de red nunca debe ser cambiada. Recuerda, está en un centro de datos de AWS y AWS está monitoreando el hardware base por ti. Esto significa que si el hardware falla, lo reemplazarán por ti, pero solo si saben que falló.
El reenvío de SysLog no debe ser eliminado o cambiado. Siempre puedes agregar un reenvío de SysLog para dirigir los registros a tu propia herramienta de recopilación.
La configuración de SNMP tiene las mismas restricciones básicas que la red y la carpeta SysLog. Esto no debe ser cambiado o eliminado. Una configuración adicional de SNMP está bien, solo asegúrate de no cambiar la que ya está en el dispositivo.
Otra buena práctica interesante de AWS es no cambiar la configuración de NTP. No está claro qué sucedería si lo hicieras, así que ten en cuenta que si no usas la misma configuración de NTP para el resto de tu solución, podrías tener dos fuentes de tiempo. Solo ten esto en mente y sabe que el CloudHSM debe permanecer con la fuente NTP existente.
El cargo inicial por el lanzamiento de CloudHSM es de $5,000 para asignar el dispositivo de hardware dedicado para tu uso, luego hay un cargo por hora asociado con la operación de CloudHSM que actualmente es de $1.88 por hora de operación, o aproximadamente $1,373 por mes.
La razón más común para usar CloudHSM son los estándares de cumplimiento que debes cumplir por razones regulatorias. KMS no ofrece soporte de datos para claves asimétricas. CloudHSM te permite almacenar claves asimétricas de forma segura.
La clave pública se instala en el dispositivo HSM durante el aprovisionamiento para que puedas acceder a la instancia de CloudHSM a través de SSH.
Un módulo de seguridad de hardware (HSM) es un dispositivo criptográfico dedicado que se utiliza para generar, almacenar y gestionar claves criptográficas y proteger datos sensibles. Está diseñado para proporcionar un alto nivel de seguridad al aislar física y electrónicamente las funciones criptográficas del resto del sistema.
La forma en que funciona un HSM puede variar según el modelo y fabricante específicos, pero generalmente, los siguientes pasos ocurren:
Generación de claves: El HSM genera una clave criptográfica aleatoria utilizando un generador de números aleatorios seguro.
Almacenamiento de claves: La clave se almacena de forma segura dentro del HSM, donde solo puede ser accedida por usuarios o procesos autorizados.
Gestión de claves: El HSM proporciona una gama de funciones de gestión de claves, incluyendo rotación de claves, respaldo y revocación.
Operaciones criptográficas: El HSM realiza una variedad de operaciones criptográficas, incluyendo cifrado, descifrado, firma digital e intercambio de claves. Estas operaciones se realizan dentro del entorno seguro del HSM, lo que protege contra el acceso no autorizado y la manipulación.
Registro de auditoría: El HSM registra todas las operaciones criptográficas y los intentos de acceso, que pueden ser utilizados para fines de auditoría de cumplimiento y seguridad.
Los HSM pueden ser utilizados para una amplia gama de aplicaciones, incluyendo transacciones en línea seguras, certificados digitales, comunicaciones seguras y cifrado de datos. A menudo se utilizan en industrias que requieren un alto nivel de seguridad, como finanzas, salud y gobierno.
En general, el alto nivel de seguridad proporcionado por los HSM hace que sea muy difícil extraer claves en bruto de ellos, y intentar hacerlo a menudo se considera una violación de seguridad. Sin embargo, puede haber ciertos escenarios donde una clave en bruto podría ser extraída por personal autorizado para propósitos específicos, como en el caso de un procedimiento de recuperación de claves.
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)