Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Cloud HSMは、セキュアな暗号鍵ストレージのためのFIPS 140レベル2認証を受けたハードウェアデバイスです(CloudHSMはハードウェアアプライアンスであり、仮想化サービスではありません)。これは、5.3.13がプリロードされたSafeNetLuna 7000アプライアンスです。ファームウェアのバージョンは2つあり、どちらを選ぶかは正確なニーズに基づいています。一つはFIPS 140-2準拠用で、もう一つは使用可能な新しいバージョンです。
CloudHSMの特異な特徴は、物理デバイスであり、したがって他の顧客と共有されないことです。一般的に言われるように、マルチテナントではありません。これは、あなたのワークロード専用に提供される専用のシングルテナントアプライアンスです。
通常、デバイスは容量がある場合、15分以内に利用可能ですが、一部のゾーンではそうでない場合があります。
これはあなた専用の物理デバイスであるため、鍵はデバイスに保存されます。鍵は別のデバイスに複製するか、オフラインストレージにバックアップするか、スタンバイアプライアンスにエクスポートする必要があります。このデバイスはS3やKMSなどのAWSの他のサービスによってバックアップされません。
CloudHSMでは、サービスを自分でスケールする必要があります。選択した暗号化アルゴリズムに基づいて、暗号化ニーズを処理するために十分なCloudHSMデバイスをプロビジョニングする必要があります。 キー管理サービスのスケーリングはAWSによって行われ、自動的に需要に応じてスケールします。したがって、使用が増えるにつれて、必要なCloudHSMアプライアンスの数も増える可能性があります。ソリューションをスケールする際にはこれを考慮し、ソリューションにオートスケーリングがある場合は、最大スケールが十分なCloudHSMアプライアンスでサービスされるようにしてください。
スケーリングと同様に、CloudHSMのパフォーマンスはあなた次第です。パフォーマンスは使用する暗号化アルゴリズムや、データを暗号化するために鍵にアクセスまたは取得する頻度によって異なります。キー管理サービスのパフォーマンスはAmazonによって処理され、需要に応じて自動的にスケールします。CloudHSMのパフォーマンスは、より多くのアプライアンスを追加することで達成され、より高いパフォーマンスが必要な場合は、デバイスを追加するか、より高速なアルゴリズムに暗号化方法を変更します。
ソリューションがマルチリージョンの場合、2番目のリージョンにいくつかのCloudHSMアプライアンスを追加し、プライベートVPN接続を使用してリージョン間の接続を確立するか、トラフィックが接続のすべてのレイヤーで常に保護されるようにする方法を考える必要があります。マルチリージョンソリューションがある場合、鍵を複製し、運用するリージョンに追加のCloudHSMデバイスを設定する方法を考える必要があります。非常に迅速に、複数のリージョンに分散した6台または8台のデバイスを持つシナリオに入ることができ、暗号化鍵の完全な冗長性を実現できます。
CloudHSMは、セキュアな鍵ストレージのためのエンタープライズクラスのサービスであり、エンタープライズの信頼の根拠として使用できます。PKIおよびX509実装の証明書機関の鍵を保存できます。対称アルゴリズム(AESなど)で使用される対称鍵に加えて、KMSは対称鍵のみを保存し、物理的に保護します(証明書機関として機能できません)。したがって、PKIおよびCA鍵を保存する必要がある場合、1台または2台または3台のCloudHSMが解決策となる可能性があります。
CloudHSMはキー管理サービスよりもかなり高価です。CloudHSMはハードウェアアプライアンスであるため、CloudHSMデバイスをプロビジョニングするための固定コストがあり、その後、アプライアンスを運用するための時間単位のコストがあります。コストは、特定の要件を満たすために必要なCloudHSMアプライアンスの数によって倍増します。 さらに、SafeNet ProtectVソフトウェアスイートなどのサードパーティソフトウェアの購入においても考慮が必要です。キー管理サービスは使用ベースであり、持っている鍵の数や入出力操作に依存します。キー管理は多くのAWSサービスとのシームレスな統合を提供するため、統合コストは大幅に低くなるはずです。コストは暗号化ソリューションにおける二次的な要因と見なされるべきです。暗号化は通常、セキュリティとコンプライアンスのために使用されます。
CloudHSMでは、あなたのみが鍵にアクセスできます。詳細に入ることなく、CloudHSMでは自分の鍵を管理します。KMSでは、あなたとAmazonが鍵を共同管理します。AWSには悪用に対する多くのポリシー保護があり、どちらのソリューションでもあなたの鍵にアクセスできません。主な違いは、鍵の所有権と管理に関するコンプライアンスであり、CloudHSMでは、これはあなたが管理し、維持し、あなたにのみ独占的にアクセスできるハードウェアアプライアンスです。
常にHAセットアップでCloudHSMを展開し、別々のアベイラビリティゾーンに少なくとも2台のアプライアンスを配置し、可能であれば、オンプレミスまたはAWSの別のリージョンに3台目を展開してください。
CloudHSMを初期化する際は注意してください。このアクションは鍵を破壊しますので、鍵の別のコピーを持っているか、これらの鍵がデータを復号化するために必要ないことを絶対に確認してください。
CloudHSMは特定のファームウェアおよびソフトウェアのバージョンのみをサポートしています。更新を行う前に、ファームウェアまたはソフトウェアがAWSによってサポートされていることを確認してください。アップグレードガイドが不明瞭な場合は、AWSサポートに連絡して確認できます。
ネットワーク構成は変更しないでください。 AWSデータセンター内にあり、AWSが基本ハードウェアを監視しています。これは、ハードウェアが故障した場合、彼らがあなたのためにそれを交換することを意味しますが、故障したことを知っている場合のみです。
SysLogフォワードは削除または変更しないでください。常にSysLogフォワーダーを追加して、ログを自分の収集ツールに向けることができます。
SNMP構成は、ネットワークおよびSysLogフォルダと同じ基本的な制限があります。これは変更または削除しないでください。追加のSNMP構成は問題ありませんが、アプライアンスに既にあるものを変更しないようにしてください。
AWSからのもう一つの興味深いベストプラクティスは、NTP構成を変更しないことです。変更した場合に何が起こるかは明確ではないため、ソリューションの残りの部分で同じNTP構成を使用しない場合、2つの時間ソースが存在する可能性があることを考慮してください。このことを認識し、CloudHSMが既存のNTPソースに留まる必要があることを理解してください。
CloudHSMの初期導入料金は、あなたの使用のために専用のハードウェアアプライアンスを割り当てるために$5,000で、その後、CloudHSMを運用するための時間単位の料金が現在$1.88で、月額約$1,373です。
CloudHSMを使用する最も一般的な理由は、規制上の理由で満たす必要があるコンプライアンス基準です。KMSは非対称鍵のデータサポートを提供していません。CloudHSMは非対称鍵を安全に保存することができます。
公開鍵はプロビジョニング中にHSMアプライアンスにインストールされるため、SSHを介してCloudHSMインスタンスにアクセスできます。
ハードウェアセキュリティモジュール(HSM)は、暗号鍵を生成、保存、管理し、機密データを保護するために使用される専用の暗号デバイスです。これは、暗号機能をシステムの他の部分から物理的および電子的に隔離することによって、高いレベルのセキュリティを提供するように設計されています。
HSMの動作方法は、特定のモデルや製造元によって異なる場合がありますが、一般的には以下のステップが行われます。
鍵生成: HSMは、安全な乱数生成器を使用してランダムな暗号鍵を生成します。
鍵保存: 鍵はHSM内に安全に保存され、認可されたユーザーまたはプロセスのみがアクセスできます。
鍵管理: HSMは、鍵のローテーション、バックアップ、取り消しなど、さまざまな鍵管理機能を提供します。
暗号操作: HSMは、暗号化、復号化、デジタル署名、鍵交換など、さまざまな暗号操作を実行します。これらの操作は、HSMの安全な環境内で実行され、無許可のアクセスや改ざんから保護されます。
監査ログ: HSMは、すべての暗号操作とアクセス試行をログに記録し、コンプライアンスおよびセキュリティ監査の目的で使用できます。
HSMは、安全なオンライン取引、デジタル証明書、安全な通信、データ暗号化など、幅広いアプリケーションに使用できます。金融、医療、政府など、高いレベルのセキュリティが要求される業界でよく使用されます。
全体として、HSMが提供する高いレベルのセキュリティにより、生の鍵を抽出することは非常に困難であり、試みることはしばしばセキュリティの侵害と見なされます。ただし、特定のシナリオでは、特定の目的のために認可された担当者によって生の鍵が抽出される可能性があります。
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
