AWS - CloudHSM Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Cloud HSM एक FIPS 140 स्तर दो मान्यताप्राप्त हार्डवेयर डिवाइस है जो सुरक्षित क्रिप्टोग्राफिक कुंजी भंडारण के लिए है (ध्यान दें कि CloudHSM एक हार्डवेयर उपकरण है, यह एक वर्चुअलाइज्ड सेवा नहीं है)। यह 5.3.13 प्रीलोडेड के साथ एक SafeNetLuna 7000 उपकरण है। दो फर्मवेयर संस्करण हैं और आप जो चुनते हैं वह वास्तव में आपकी सटीक आवश्यकताओं पर निर्भर करता है। एक FIPS 140-2 अनुपालन के लिए है और एक नया संस्करण था जिसका उपयोग किया जा सकता है।
CloudHSM की असामान्य विशेषता यह है कि यह एक भौतिक डिवाइस है, और इसलिए यह अन्य ग्राहकों के साथ साझा नहीं किया गया है, या जैसा कि इसे सामान्यतः कहा जाता है, मल्टी-टेनेंट। यह आपके कार्यभार के लिए विशेष रूप से उपलब्ध एक समर्पित एकल टेनेंट उपकरण है।
आमतौर पर, एक डिवाइस 15 मिनट के भीतर उपलब्ध होता है यदि क्षमता है, लेकिन कुछ क्षेत्रों में ऐसा नहीं हो सकता है।
चूंकि यह एक भौतिक डिवाइस है जो आपके लिए समर्पित है, कुंजी डिवाइस पर संग्रहीत होती है। कुंजियों को या तो दूसरे डिवाइस पर दोहराना, ऑफ़लाइन स्टोरेज में बैकअप करना, या स्टैंडबाय उपकरण पर निर्यात करना आवश्यक है। यह डिवाइस S3 या AWS में KMS जैसी किसी अन्य सेवा द्वारा समर्थित नहीं है।
CloudHSM में, आपको सेवा को स्वयं स्केल करना होगा। आपको अपने समाधान के लिए लागू किए गए क्रिप्टोग्राफी एल्गोरिदम के आधार पर आपकी एन्क्रिप्शन आवश्यकताओं को संभालने के लिए पर्याप्त CloudHSM उपकरणों को प्रावधान करना होगा। की प्रबंधन सेवा का स्केलिंग AWS द्वारा किया जाता है और मांग पर स्वचालित रूप से स्केल होता है, इसलिए जैसे-जैसे आपका उपयोग बढ़ता है, आवश्यक CloudHSM उपकरणों की संख्या भी बढ़ सकती है। इसे ध्यान में रखें जब आप अपने समाधान को स्केल करते हैं और यदि आपके समाधान में ऑटो-स्केलिंग है, तो सुनिश्चित करें कि आपके अधिकतम स्केल के लिए पर्याप्त CloudHSM उपकरणों का ध्यान रखा गया है।
स्केलिंग की तरह, CloudHSM के साथ प्रदर्शन आपके ऊपर निर्भर है। प्रदर्शन इस पर निर्भर करता है कि कौन सा एन्क्रिप्शन एल्गोरिदम उपयोग किया गया है और आपको डेटा को एन्क्रिप्ट करने के लिए कुंजियों तक पहुँचने या पुनः प्राप्त करने की कितनी बार आवश्यकता है। की प्रबंधन सेवा का प्रदर्शन Amazon द्वारा संभाला जाता है और मांग के अनुसार स्वचालित रूप से स्केल होता है। CloudHSM का प्रदर्शन अधिक उपकरण जोड़ने से प्राप्त होता है और यदि आपको अधिक प्रदर्शन की आवश्यकता है तो आप या तो उपकरण जोड़ते हैं या एन्क्रिप्शन विधि को तेज़ एल्गोरिदम में बदलते हैं।
यदि आपका समाधान मल्टी-क्षेत्र है, तो आपको दूसरे क्षेत्र में कई CloudHSM उपकरण जोड़ने चाहिए और एक निजी VPN कनेक्शन के साथ क्रॉस-क्षेत्र कनेक्टिविटी का समाधान करना चाहिए या किसी भी विधि से यह सुनिश्चित करना चाहिए कि कनेक्शन के हर स्तर पर ट्रैफ़िक हमेशा सुरक्षित हो। यदि आपके पास एक मल्टी-क्षेत्र समाधान है, तो आपको यह सोचना होगा कि कुंजियों को कैसे दोहराना है और उन क्षेत्रों में अतिरिक्त CloudHSM उपकरण कैसे सेट करना है जहां आप कार्य करते हैं। आप बहुत जल्दी एक परिदृश्य में पहुँच सकते हैं जहाँ आपके पास छह या आठ उपकरण हैं जो कई क्षेत्रों में फैले हुए हैं, जिससे आपके एन्क्रिप्शन कुंजियों की पूर्ण पुनरावृत्ति सक्षम होती है।
CloudHSM सुरक्षित कुंजी भंडारण के लिए एक उद्यम श्रेणी की सेवा है और इसे एक उद्यम के लिए विश्वास का मूल के रूप में उपयोग किया जा सकता है। यह PKI में निजी कुंजियों और X509 कार्यान्वयन में प्रमाणपत्र प्राधिकरण कुंजियों को संग्रहीत कर सकता है। सममित एल्गोरिदम जैसे AES में उपयोग की जाने वाली सममित कुंजियों के अलावा, KMS केवल सममित कुंजियों को संग्रहीत और भौतिक रूप से सुरक्षित करता है (प्रमाणपत्र प्राधिकरण के रूप में कार्य नहीं कर सकता), इसलिए यदि आपको PKI और CA कुंजियों को संग्रहीत करने की आवश्यकता है, तो एक या दो या तीन CloudHSM आपकी समाधान हो सकता है।
CloudHSM की लागत की प्रबंधन सेवा की तुलना में काफी अधिक है। CloudHSM एक हार्डवेयर उपकरण है इसलिए आपको CloudHSM डिवाइस को प्रावधान करने के लिए निश्चित लागत होती है, फिर उपकरण चलाने के लिए एक घंटे की लागत होती है। लागत उन CloudHSM उपकरणों की संख्या से गुणा होती है जो आपकी विशिष्ट आवश्यकताओं को पूरा करने के लिए आवश्यक हैं। इसके अलावा, तीसरे पक्ष के सॉफ़्टवेयर जैसे SafeNet ProtectV सॉफ़्टवेयर सूट की खरीद में क्रॉस विचार किया जाना चाहिए और एकीकरण का समय और प्रयास। की प्रबंधन सेवा एक उपयोग आधारित है और आपके पास कितनी कुंजियाँ हैं और इनपुट और आउटपुट संचालन पर निर्भर करती है। चूंकि की प्रबंधन कई AWS सेवाओं के साथ निर्बाध एकीकरण प्रदान करता है, एकीकरण की लागत काफी कम होनी चाहिए। लागत को एन्क्रिप्शन समाधानों में द्वितीयक कारक के रूप में माना जाना चाहिए। एन्क्रिप्शन आमतौर पर सुरक्षा और अनुपालन के लिए उपयोग किया जाता है।
CloudHSM के साथ केवल आपके पास कुंजियों तक पहुँच है और बिना अधिक विवरण में जाए, CloudHSM के साथ आप अपनी कुंजियों का प्रबंधन करते हैं। KMS के साथ, आप और Amazon अपनी कुंजियों का सह-प्रबंधन करते हैं। AWS के पास दुरुपयोग के खिलाफ कई नीति सुरक्षा उपाय हैं और फिर भी किसी भी समाधान में आपकी कुंजियों तक पहुँच नहीं है। मुख्य भेद यह है कि यह कुंजी स्वामित्व और प्रबंधन से संबंधित अनुपालन है, और CloudHSM के साथ, यह एक हार्डवेयर उपकरण है जिसे आप प्रबंधित और बनाए रखते हैं और केवल आपके लिए विशेष पहुँच है।
हमेशा CloudHSM को HA सेटअप में तैनात करें जिसमें अलग-अलग उपलब्धता क्षेत्रों में कम से कम दो उपकरण हों, और यदि संभव हो, तो एक तीसरा उपकरण या तो ऑन-प्रिमाइस या AWS के किसी अन्य क्षेत्र में तैनात करें।
CloudHSM को आरंभ करते समय सावधान रहें। यह क्रिया कुंजियों को नष्ट कर देगी, इसलिए या तो कुंजियों की एक और प्रति रखें या सुनिश्चित करें कि आपको इन कुंजियों की आवश्यकता नहीं है और कभी भी नहीं होगी।
CloudHSM केवल कुछ फर्मवेयर और सॉफ़्टवेयर के संस्करणों का समर्थन करता है। किसी भी अपडेट को करने से पहले, सुनिश्चित करें कि फर्मवेयर और/या सॉफ़्टवेयर AWS द्वारा समर्थित है। यदि अपग्रेड गाइड स्पष्ट नहीं है तो आप हमेशा AWS समर्थन से संपर्क कर सकते हैं।
नेटवर्क कॉन्फ़िगरेशन को कभी नहीं बदला जाना चाहिए। याद रखें, यह AWS डेटा सेंटर में है और AWS आपके लिए आधारभूत हार्डवेयर की निगरानी कर रहा है। इसका मतलब है कि यदि हार्डवेयर विफल हो जाता है, तो वे इसे आपके लिए बदल देंगे, लेकिन केवल तभी जब उन्हें पता हो कि यह विफल हो गया है।
SysLog फॉरवर्ड को नहीं हटाया या बदला जाना चाहिए। आप हमेशा एक SysLog फॉरवर्डर जोड़ सकते हैं ताकि लॉग को आपके अपने संग्रहण उपकरण की ओर निर्देशित किया जा सके।
SNMP कॉन्फ़िगरेशन में नेटवर्क और SysLog फ़ोल्डर के समान बुनियादी प्रतिबंध हैं। यह नहीं बदला जाना चाहिए या हटाया जाना चाहिए। एक अतिरिक्त SNMP कॉन्फ़िगरेशन ठीक है, बस सुनिश्चित करें कि आप पहले से उपकरण पर मौजूद कॉन्फ़िगरेशन को नहीं बदलते हैं।
AWS से एक और दिलचस्प सर्वोत्तम प्रथा है NTP कॉन्फ़िगरेशन को न बदलना। यह स्पष्ट नहीं है कि यदि आप ऐसा करते हैं तो क्या होगा, इसलिए ध्यान रखें कि यदि आप अपने समाधान के बाकी हिस्सों के लिए समान NTP कॉन्फ़िगरेशन का उपयोग नहीं करते हैं तो आपके पास दो समय स्रोत हो सकते हैं। बस इसके प्रति जागरूक रहें और जानें कि CloudHSM को मौजूदा NTP स्रोत के साथ रहना होगा।
CloudHSM के लिए प्रारंभिक लॉन्च शुल्क $5,000 है जो आपके उपयोग के लिए समर्पित हार्डवेयर उपकरण आवंटित करने के लिए है, फिर CloudHSM चलाने के लिए एक घंटे का शुल्क है जो वर्तमान में $1.88 प्रति घंटे के संचालन पर है, या लगभग $1,373 प्रति माह।
CloudHSM का उपयोग करने का सबसे सामान्य कारण अनुपालन मानक है जिन्हें आपको नियामक कारणों के लिए पूरा करना चाहिए। KMS विषम कुंजियों के लिए डेटा समर्थन प्रदान नहीं करता है। CloudHSM आपको विषम कुंजियों को सुरक्षित रूप से संग्रहीत करने की अनुमति देता है।
सार्वजनिक कुंजी HSM उपकरण पर प्रावधान के दौरान स्थापित की जाती है ताकि आप SSH के माध्यम से CloudHSM उदाहरण तक पहुँच सकें।
एक हार्डवेयर सुरक्षा मॉड्यूल (HSM) एक समर्पित क्रिप्टोग्राफिक डिवाइस है जिसका उपयोग क्रिप्टोग्राफिक कुंजियों को उत्पन्न करने, संग्रहीत करने और प्रबंधित करने और संवेदनशील डेटा की सुरक्षा के लिए किया जाता है। इसे भौतिक और इलेक्ट्रॉनिक रूप से क्रिप्टोग्राफिक कार्यों को सिस्टम के बाकी हिस्सों से अलग करने के लिए उच्च स्तर की सुरक्षा प्रदान करने के लिए डिज़ाइन किया गया है।
HSM कैसे काम करता है यह विशिष्ट मॉडल और निर्माता के आधार पर भिन्न हो सकता है, लेकिन सामान्यतः, निम्नलिखित चरण होते हैं:
कुंजी उत्पन्न करना: HSM एक सुरक्षित यादृच्छिक संख्या जनरेटर का उपयोग करके एक यादृच्छिक क्रिप्टोग्राफिक कुंजी उत्पन्न करता है।
कुंजी भंडारण: कुंजी HSM के भीतर सुरक्षित रूप से संग्रहीत होती है, जहाँ इसे केवल अधिकृत उपयोगकर्ताओं या प्रक्रियाओं द्वारा ही पहुँच प्राप्त होती है।
कुंजी प्रबंधन: HSM कुंजी प्रबंधन कार्यों की एक श्रृंखला प्रदान करता है, जिसमें कुंजी घुमाव, बैकअप, और रद्दीकरण शामिल हैं।
क्रिप्टोग्राफिक संचालन: HSM एन्क्रिप्शन, डिक्रिप्शन, डिजिटल हस्ताक्षर, और कुंजी विनिमय सहित क्रिप्टोग्राफिक संचालन की एक श्रृंखला करता है। ये संचालन HSM के सुरक्षित वातावरण के भीतर किए जाते हैं, जो अनधिकृत पहुँच और छेड़छाड़ से सुरक्षा प्रदान करता है।
ऑडिट लॉगिंग: HSM सभी क्रिप्टोग्राफिक संचालन और पहुँच प्रयासों को लॉग करता है, जिसका उपयोग अनुपालन और सुरक्षा ऑडिटिंग उद्देश्यों के लिए किया जा सकता है।
HSM का उपयोग सुरक्षित ऑनलाइन लेनदेन, डिजिटल प्रमाणपत्र, सुरक्षित संचार, और डेटा एन्क्रिप्शन सहित कई प्रकार के अनुप्रयोगों के लिए किया जा सकता है। इन्हें अक्सर उन उद्योगों में उपयोग किया जाता है जिन्हें उच्च स्तर की सुरक्षा की आवश्यकता होती है, जैसे वित्त, स्वास्थ्य देखभाल, और सरकार।
कुल मिलाकर, HSM द्वारा प्रदान की गई उच्च स्तर की सुरक्षा इसे कच्ची कुंजियों को निकालना बहुत कठिन बनाती है, और ऐसा करने का प्रयास अक्सर सुरक्षा का उल्लंघन माना जाता है। हालाँकि, कुछ विशिष्ट परिदृश्यों में कच्ची कुंजी को अधिकृत कर्मियों द्वारा विशेष उद्देश्यों के लिए निकाला जा सकता है, जैसे कि कुंजी पुनर्प्राप्ति प्रक्रिया के मामले में।
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)