AWS - CloudHSM Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

HSM - Hardware Security Module

Cloud HSM एक FIPS 140 स्तर दो मान्यताप्राप्त हार्डवेयर डिवाइस है जो सुरक्षित क्रिप्टोग्राफिक कुंजी भंडारण के लिए है (ध्यान दें कि CloudHSM एक हार्डवेयर उपकरण है, यह एक वर्चुअलाइज्ड सेवा नहीं है)। यह 5.3.13 प्रीलोडेड के साथ एक SafeNetLuna 7000 उपकरण है। दो फर्मवेयर संस्करण हैं और आप जो चुनते हैं वह वास्तव में आपकी सटीक आवश्यकताओं पर निर्भर करता है। एक FIPS 140-2 अनुपालन के लिए है और एक नया संस्करण था जिसका उपयोग किया जा सकता है।

CloudHSM की असामान्य विशेषता यह है कि यह एक भौतिक डिवाइस है, और इसलिए यह अन्य ग्राहकों के साथ साझा नहीं किया गया है, या जैसा कि इसे सामान्यतः कहा जाता है, मल्टी-टेनेंट। यह आपके कार्यभार के लिए विशेष रूप से उपलब्ध एक समर्पित एकल टेनेंट उपकरण है।

आमतौर पर, एक डिवाइस 15 मिनट के भीतर उपलब्ध होता है यदि क्षमता है, लेकिन कुछ क्षेत्रों में ऐसा नहीं हो सकता है।

चूंकि यह एक भौतिक डिवाइस है जो आपके लिए समर्पित है, कुंजी डिवाइस पर संग्रहीत होती हैं। कुंजियों को या तो दूसरे डिवाइस पर दोहराना, ऑफ़लाइन स्टोरेज में बैकअप लेना, या स्टैंडबाय उपकरण पर निर्यात करना आवश्यक है। यह डिवाइस S3 या AWS में KMS जैसी किसी अन्य सेवा द्वारा समर्थित नहीं है।

CloudHSM में, आपको सेवा को स्वयं स्केल करना होगा। आपको अपने समाधान के लिए लागू किए गए क्रिप्टोग्राफी एल्गोरिदम के आधार पर आपकी एन्क्रिप्शन आवश्यकताओं को संभालने के लिए पर्याप्त CloudHSM उपकरणों को प्रावधान करना होगा। की प्रबंधन सेवा का स्केलिंग AWS द्वारा किया जाता है और मांग पर स्वचालित रूप से स्केल होता है, इसलिए जैसे-जैसे आपका उपयोग बढ़ता है, आवश्यक CloudHSM उपकरणों की संख्या भी बढ़ सकती है। इसे ध्यान में रखें जब आप अपने समाधान को स्केल करते हैं और यदि आपके समाधान में ऑटो-स्केलिंग है, तो सुनिश्चित करें कि आपके अधिकतम स्केल के लिए पर्याप्त CloudHSM उपकरणों का ध्यान रखा गया है।

स्केलिंग की तरह, CloudHSM के साथ प्रदर्शन आपके ऊपर निर्भर है। प्रदर्शन इस पर निर्भर करता है कि कौन सा एन्क्रिप्शन एल्गोरिदम उपयोग किया गया है और आपको डेटा को एन्क्रिप्ट करने के लिए कुंजियों तक पहुँचने या पुनः प्राप्त करने की कितनी बार आवश्यकता है। की प्रबंधन सेवा का प्रदर्शन Amazon द्वारा संभाला जाता है और मांग के अनुसार स्वचालित रूप से स्केल होता है। CloudHSM का प्रदर्शन अधिक उपकरण जोड़ने से प्राप्त होता है और यदि आपको अधिक प्रदर्शन की आवश्यकता है तो आप या तो उपकरण जोड़ते हैं या एन्क्रिप्शन विधि को तेज़ एल्गोरिदम में बदलते हैं।

यदि आपका समाधान मल्टी-क्षेत्र है, तो आपको दूसरे क्षेत्र में कई CloudHSM उपकरण जोड़ने चाहिए और एक निजी VPN कनेक्शन के साथ क्रॉस-क्षेत्र कनेक्टिविटी का समाधान करना चाहिए या किसी विधि का उपयोग करना चाहिए ताकि यह सुनिश्चित हो सके कि कनेक्शन के हर स्तर पर ट्रैफ़िक हमेशा सुरक्षित है। यदि आपके पास एक मल्टी-क्षेत्र समाधान है, तो आपको यह सोचना होगा कि कुंजियों को कैसे दोहराना है और उन क्षेत्रों में अतिरिक्त CloudHSM उपकरण कैसे सेट करना है जहां आप कार्य करते हैं। आप बहुत जल्दी एक परिदृश्य में पहुँच सकते हैं जहाँ आपके पास छह या आठ उपकरण हैं जो कई क्षेत्रों में फैले हुए हैं, जिससे आपके एन्क्रिप्शन कुंजियों की पूर्ण पुनरावृत्ति सक्षम होती है।

CloudHSM एक उद्यम श्रेणी की सेवा है जो सुरक्षित कुंजी भंडारण के लिए है और इसे एक उद्यम के लिए विश्वास का मूल के रूप में उपयोग किया जा सकता है। यह PKI में निजी कुंजियों और X509 कार्यान्वयन में प्रमाणपत्र प्राधिकरण कुंजियों को संग्रहीत कर सकता है। सममित कुंजियों के अलावा जो सममित एल्गोरिदम जैसे AES में उपयोग की जाती हैं, KMS केवल सममित कुंजियों को संग्रहीत और भौतिक रूप से सुरक्षित करता है (प्रमाणपत्र प्राधिकरण के रूप में कार्य नहीं कर सकता), इसलिए यदि आपको PKI और CA कुंजियों को संग्रहीत करने की आवश्यकता है, तो एक या दो या तीन CloudHSM आपकी समाधान हो सकते हैं।

CloudHSM की लागत की प्रबंधन सेवा की तुलना में काफी अधिक है। CloudHSM एक हार्डवेयर उपकरण है इसलिए आपको CloudHSM डिवाइस को प्रावधान करने के लिए निश्चित लागत होती है, फिर उपकरण चलाने के लिए एक घंटे की लागत होती है। लागत उन CloudHSM उपकरणों की संख्या से गुणा होती है जो आपकी विशिष्ट आवश्यकताओं को पूरा करने के लिए आवश्यक हैं। इसके अलावा, तीसरे पक्ष के सॉफ़्टवेयर जैसे SafeNet ProtectV सॉफ़्टवेयर सूट की खरीद में क्रॉस विचार किया जाना चाहिए और एकीकरण का समय और प्रयास। की प्रबंधन सेवा एक उपयोग आधारित है और आपके पास कितनी कुंजियाँ हैं और इनपुट और आउटपुट संचालन पर निर्भर करती है। चूंकि की प्रबंधन कई AWS सेवाओं के साथ निर्बाध एकीकरण प्रदान करता है, एकीकरण की लागत काफी कम होनी चाहिए। लागत को एन्क्रिप्शन समाधानों में द्वितीयक कारक के रूप में माना जाना चाहिए। एन्क्रिप्शन आमतौर पर सुरक्षा और अनुपालन के लिए उपयोग किया जाता है।

CloudHSM के साथ केवल आपके पास कुंजियों तक पहुँच है और अधिक विवरण में जाने के बिना, CloudHSM के साथ आप अपनी कुंजियों का प्रबंधन करते हैं। KMS के साथ, आप और Amazon अपनी कुंजियों का सह-प्रबंधन करते हैं। AWS के पास दुरुपयोग के खिलाफ कई नीति सुरक्षा उपाय हैं और फिर भी किसी भी समाधान में आपकी कुंजियों तक पहुँच नहीं है। मुख्य भेद यह है कि यह कुंजी स्वामित्व और प्रबंधन से संबंधित अनुपालन है, और CloudHSM के साथ, यह एक हार्डवेयर उपकरण है जिसे आप प्रबंधित और बनाए रखते हैं और केवल आपके लिए विशेष पहुँच है।

CloudHSM Suggestions

हमेशा CloudHSM को HA सेटअप में तैनात करें जिसमें अलग-अलग उपलब्धता क्षेत्रों में कम से कम दो उपकरण हों, और यदि संभव हो, तो एक तीसरा उपकरण या तो ऑन-प्रिमाइस या AWS के किसी अन्य क्षेत्र में तैनात करें।
CloudHSM को आरंभ करते समय सावधान रहें। यह क्रिया कुंजियों को नष्ट कर देगी, इसलिए या तो कुंजियों की एक और प्रति रखें या सुनिश्चित करें कि आपको इन कुंजियों की आवश्यकता नहीं है और कभी भी इन कुंजियों की आवश्यकता नहीं होगी।
CloudHSM केवल कुछ फर्मवेयर और सॉफ़्टवेयर के संस्करणों का समर्थन करता है। किसी भी अपडेट को करने से पहले, सुनिश्चित करें कि फर्मवेयर और/या सॉफ़्टवेयर AWS द्वारा समर्थित है। यदि अपग्रेड गाइड स्पष्ट नहीं है तो आप हमेशा AWS समर्थन से संपर्क कर सकते हैं।
नेटवर्क कॉन्फ़िगरेशन को कभी नहीं बदला जाना चाहिए। याद रखें, यह AWS डेटा सेंटर में है और AWS आपके लिए आधारभूत हार्डवेयर की निगरानी कर रहा है। इसका मतलब है कि यदि हार्डवेयर विफल हो जाता है, तो वे इसे आपके लिए बदल देंगे, लेकिन केवल तभी जब उन्हें पता हो कि यह विफल हो गया है।
SysLog फॉरवर्ड को नहीं हटाया या बदला जाना चाहिए। आप हमेशा एक SysLog फॉरवर्डर जोड़ सकते हैं ताकि लॉग को आपके अपने संग्रहण उपकरण की ओर निर्देशित किया जा सके।
SNMP कॉन्फ़िगरेशन में नेटवर्क और SysLog फ़ोल्डर के समान बुनियादी प्रतिबंध हैं। इसे नहीं बदला या हटाया जाना चाहिए। एक अतिरिक्त SNMP कॉन्फ़िगरेशन ठीक है, बस सुनिश्चित करें कि आप पहले से उपकरण पर मौजूद कॉन्फ़िगरेशन को नहीं बदलते हैं।
AWS से एक और दिलचस्प सर्वोत्तम प्रथा है NTP कॉन्फ़िगरेशन को न बदलना। यह स्पष्ट नहीं है कि यदि आप ऐसा करते हैं तो क्या होगा, इसलिए ध्यान रखें कि यदि आप अपने समाधान के बाकी हिस्सों के लिए समान NTP कॉन्फ़िगरेशन का उपयोग नहीं करते हैं तो आपके पास दो समय स्रोत हो सकते हैं। बस इसके प्रति जागरूक रहें और जानें कि CloudHSM को मौजूदा NTP स्रोत के साथ रहना होगा।

CloudHSM के लिए प्रारंभिक लॉन्च शुल्क $5,000 है जो आपके उपयोग के लिए समर्पित हार्डवेयर उपकरण आवंटित करने के लिए है, फिर CloudHSM चलाने के लिए एक घंटे का शुल्क है जो वर्तमान में $1.88 प्रति घंटे के संचालन पर है, या लगभग $1,373 प्रति माह।

CloudHSM का उपयोग करने का सबसे सामान्य कारण अनुपालन मानक है जिन्हें आपको नियामक कारणों के लिए पूरा करना चाहिए। KMS असममित कुंजियों के लिए डेटा समर्थन प्रदान नहीं करता है। CloudHSM आपको असममित कुंजियों को सुरक्षित रूप से संग्रहीत करने की अनुमति देता है।

सार्वजनिक कुंजी HSM उपकरण पर प्रावधान के दौरान स्थापित की जाती है ताकि आप SSH के माध्यम से CloudHSM उदाहरण तक पहुँच सकें।

What is a Hardware Security Module

एक हार्डवेयर सुरक्षा मॉड्यूल (HSM) एक समर्पित क्रिप्टोग्राफिक डिवाइस है जिसका उपयोग क्रिप्टोग्राफिक कुंजियों को उत्पन्न, संग्रहीत और प्रबंधित करने और संवेदनशील डेटा की सुरक्षा के लिए किया जाता है। इसे भौतिक और इलेक्ट्रॉनिक रूप से क्रिप्टोग्राफिक कार्यों को सिस्टम के बाकी हिस्सों से अलग करने के लिए उच्च स्तर की सुरक्षा प्रदान करने के लिए डिज़ाइन किया गया है।

HSM कैसे काम करता है यह विशिष्ट मॉडल और निर्माता के आधार पर भिन्न हो सकता है, लेकिन सामान्यतः, निम्नलिखित चरण होते हैं:

कुंजी उत्पन्न करना: HSM एक सुरक्षित यादृच्छिक संख्या जनरेटर का उपयोग करके एक यादृच्छिक क्रिप्टोग्राफिक कुंजी उत्पन्न करता है।
कुंजी भंडारण: कुंजी HSM के भीतर सुरक्षित रूप से संग्रहीत होती है, जहाँ केवल अधिकृत उपयोगकर्ताओं या प्रक्रियाओं द्वारा इसे एक्सेस किया जा सकता है।
कुंजी प्रबंधन: HSM कुंजी प्रबंधन कार्यों की एक श्रृंखला प्रदान करता है, जिसमें कुंजी घुमाव, बैकअप, और रद्दीकरण शामिल हैं।
क्रिप्टोग्राफिक संचालन: HSM एन्क्रिप्शन, डिक्रिप्शन, डिजिटल हस्ताक्षर, और कुंजी विनिमय सहित क्रिप्टोग्राफिक संचालन की एक श्रृंखला करता है। ये संचालन HSM के सुरक्षित वातावरण के भीतर किए जाते हैं, जो अनधिकृत पहुँच और छेड़छाड़ से सुरक्षा प्रदान करता है।
ऑडिट लॉगिंग: HSM सभी क्रिप्टोग्राफिक संचालन और पहुँच प्रयासों को लॉग करता है, जिसका उपयोग अनुपालन और सुरक्षा ऑडिटिंग उद्देश्यों के लिए किया जा सकता है।

HSM का उपयोग सुरक्षित ऑनलाइन लेनदेन, डिजिटल प्रमाणपत्र, सुरक्षित संचार, और डेटा एन्क्रिप्शन सहित कई प्रकार के अनुप्रयोगों के लिए किया जा सकता है। इन्हें अक्सर उन उद्योगों में उपयोग किया जाता है जिन्हें उच्च स्तर की सुरक्षा की आवश्यकता होती है, जैसे कि वित्त, स्वास्थ्य देखभाल, और सरकार।

कुल मिलाकर, HSM द्वारा प्रदान की गई उच्च स्तर की सुरक्षा इसे कच्ची कुंजियों को निकालना बहुत कठिन बना देती है, और ऐसा करने का प्रयास अक्सर सुरक्षा का उल्लंघन माना जाता है। हालाँकि, कुछ विशिष्ट परिदृश्यों में कच्ची कुंजी को अधिकृत कर्मियों द्वारा विशेष उद्देश्यों के लिए निकाला जा सकता है, जैसे कि कुंजी पुनर्प्राप्ति प्रक्रिया के मामले में।

Enumeration

TODO

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks का समर्थन करें

सदस्यता योजनाएँ देखें!
💬 Discord समूह या telegram समूह में शामिल हों या Twitter 🐦 पर हमें फॉलो करें @hacktricks_live.**
हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।

PreviousAWS - CloudFormation & Codestar Enum NextAWS - CloudFront Enum

Last updated 1 month ago