AWS - CloudHSM Enum
Last updated
Last updated
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
O Cloud HSM é um dispositivo de hardware validado no nível dois do FIPS 140 para armazenamento seguro de chaves criptográficas (note que o CloudHSM é um appliance de hardware, não é um serviço virtualizado). É um appliance SafeNetLuna 7000 com 5.3.13 pré-carregado. Existem duas versões de firmware e a escolha de qual usar depende realmente das suas necessidades exatas. Uma é para conformidade com o FIPS 140-2 e há uma versão mais nova que pode ser utilizada.
A característica incomum do CloudHSM é que é um dispositivo físico, e, portanto, não é compartilhado com outros clientes, ou como é comumente chamado, multi-tenant. É um appliance dedicado de único inquilino, exclusivamente disponível para suas cargas de trabalho.
Normalmente, um dispositivo está disponível em 15 minutos, assumindo que há capacidade, mas em algumas zonas isso pode não ser o caso.
Como este é um dispositivo físico dedicado a você, as chaves são armazenadas no dispositivo. As chaves precisam ser replicadas para outro dispositivo, feitas backup em armazenamento offline, ou exportadas para um appliance de espera. Este dispositivo não é respaldado pelo S3 ou qualquer outro serviço da AWS como o KMS.
No CloudHSM, você tem que escalar o serviço você mesmo. Você precisa provisionar dispositivos CloudHSM suficientes para atender às suas necessidades de criptografia com base nos algoritmos de criptografia que você escolheu implementar para sua solução. A escalabilidade do Key Management Service é realizada pela AWS e escala automaticamente sob demanda, então, à medida que seu uso cresce, o número de appliances CloudHSM necessários também pode aumentar. Tenha isso em mente ao escalar sua solução e, se sua solução tiver auto-escalonamento, certifique-se de que sua escala máxima esteja contabilizada com dispositivos CloudHSM suficientes para atender à solução.
Assim como a escalabilidade, o desempenho depende de você com o CloudHSM. O desempenho varia com base no algoritmo de criptografia utilizado e na frequência com que você precisa acessar ou recuperar as chaves para criptografar os dados. O desempenho do serviço de gerenciamento de chaves é tratado pela Amazon e escala automaticamente conforme a demanda exige. O desempenho do CloudHSM é alcançado adicionando mais appliances e, se você precisar de mais desempenho, você adiciona dispositivos ou altera o método de criptografia para um algoritmo mais rápido.
Se sua solução for multi-região, você deve adicionar vários appliances CloudHSM na segunda região e resolver a conectividade entre regiões com uma conexão VPN privada ou algum método para garantir que o tráfego esteja sempre protegido entre o appliance em cada camada da conexão. Se você tiver uma solução multi-região, precisa pensar em como replicar chaves e configurar dispositivos CloudHSM adicionais nas regiões onde você opera. Você pode rapidamente entrar em um cenário onde tem seis ou oito dispositivos espalhados por várias regiões, permitindo total redundância de suas chaves de criptografia.
CloudHSM é um serviço de classe empresarial para armazenamento seguro de chaves e pode ser usado como uma raiz de confiança para uma empresa. Ele pode armazenar chaves privadas em PKI e chaves de autoridade certificadora em implementações X509. Além das chaves simétricas usadas em algoritmos simétricos como AES, o KMS armazena e protege fisicamente apenas chaves simétricas (não pode atuar como uma autoridade certificadora), então, se você precisar armazenar chaves PKI e CA, um ou dois ou três CloudHSM podem ser sua solução.
CloudHSM é consideravelmente mais caro que o Key Management Service. O CloudHSM é um appliance de hardware, então você tem custos fixos para provisionar o dispositivo CloudHSM, além de um custo por hora para operar o appliance. O custo é multiplicado pelo número de appliances CloudHSM necessários para atender aos seus requisitos específicos. Além disso, deve-se considerar a compra de software de terceiros, como suítes de software SafeNet ProtectV e o tempo e esforço de integração. O Key Management Service é baseado em uso e depende do número de chaves que você possui e das operações de entrada e saída. Como o gerenciamento de chaves fornece integração perfeita com muitos serviços da AWS, os custos de integração devem ser significativamente menores. Os custos devem ser considerados um fator secundário em soluções de criptografia. A criptografia é tipicamente usada para segurança e conformidade.
Com o CloudHSM, apenas você tem acesso às chaves e sem entrar em muitos detalhes, com o CloudHSM você gerencia suas próprias chaves. Com o KMS, você e a Amazon co-gerenciam suas chaves. A AWS possui muitas salvaguardas de políticas contra abusos e ainda não pode acessar suas chaves em nenhuma das soluções. A principal distinção é a conformidade em relação à propriedade e gerenciamento de chaves, e com o CloudHSM, este é um appliance de hardware que você gerencia e mantém com acesso exclusivo a você e somente você.
Sempre implemente o CloudHSM em uma configuração HA com pelo menos dois appliances em zonas de disponibilidade separadas, e se possível, implemente um terceiro, seja no local ou em outra região da AWS.
Tenha cuidado ao inicializar um CloudHSM. Esta ação destruirá as chaves, então tenha outra cópia das chaves ou tenha certeza absoluta de que você não precisa e nunca precisará dessas chaves para descriptografar qualquer dado.
O CloudHSM apenas suporta certas versões de firmware e software. Antes de realizar qualquer atualização, certifique-se de que o firmware e/ou software é suportado pela AWS. Você pode sempre entrar em contato com o suporte da AWS para verificar se o guia de atualização não está claro.
A configuração de rede nunca deve ser alterada. Lembre-se, está em um data center da AWS e a AWS está monitorando o hardware base para você. Isso significa que, se o hardware falhar, eles o substituirão para você, mas apenas se souberem que falhou.
O encaminhamento SysLog não deve ser removido ou alterado. Você pode sempre adicionar um encaminhador SysLog para direcionar os logs para sua própria ferramenta de coleta.
A configuração de SNMP tem as mesmas restrições básicas que a rede e a pasta SysLog. Isso não deve ser alterado ou removido. Uma configuração adicional de SNMP é aceitável, apenas certifique-se de não alterar a que já está no appliance.
Outra boa prática interessante da AWS é não alterar a configuração NTP. Não está claro o que aconteceria se você o fizesse, então tenha em mente que, se você não usar a mesma configuração NTP para o resto de sua solução, poderá ter duas fontes de tempo. Apenas esteja ciente disso e saiba que o CloudHSM deve permanecer com a fonte NTP existente.
A cobrança inicial para o CloudHSM é de $5,000 para alocar o appliance de hardware dedicado para seu uso, depois há uma cobrança horária associada à execução do CloudHSM que atualmente é de $1.88 por hora de operação, ou aproximadamente $1,373 por mês.
A razão mais comum para usar o CloudHSM são os padrões de conformidade que você deve atender por razões regulatórias. O KMS não oferece suporte a dados para chaves assimétricas. O CloudHSM permite que você armazene chaves assimétricas com segurança.
A chave pública é instalada no appliance HSM durante o provisionamento para que você possa acessar a instância CloudHSM via SSH.
Um módulo de segurança de hardware (HSM) é um dispositivo criptográfico dedicado que é usado para gerar, armazenar e gerenciar chaves criptográficas e proteger dados sensíveis. Ele é projetado para fornecer um alto nível de segurança, isolando fisicamente e eletronicamente as funções criptográficas do restante do sistema.
A forma como um HSM funciona pode variar dependendo do modelo e fabricante específicos, mas, geralmente, os seguintes passos ocorrem:
Geração de chaves: O HSM gera uma chave criptográfica aleatória usando um gerador de números aleatórios seguro.
Armazenamento de chaves: A chave é armazenada com segurança dentro do HSM, onde só pode ser acessada por usuários ou processos autorizados.
Gerenciamento de chaves: O HSM fornece uma gama de funções de gerenciamento de chaves, incluindo rotação de chaves, backup e revogação.
Operações criptográficas: O HSM realiza uma variedade de operações criptográficas, incluindo criptografia, descriptografia, assinatura digital e troca de chaves. Essas operações são realizadas dentro do ambiente seguro do HSM, que protege contra acesso não autorizado e adulteração.
Registro de auditoria: O HSM registra todas as operações criptográficas e tentativas de acesso, que podem ser usadas para fins de conformidade e auditoria de segurança.
Os HSMs podem ser usados para uma ampla gama de aplicações, incluindo transações online seguras, certificados digitais, comunicações seguras e criptografia de dados. Eles são frequentemente usados em indústrias que exigem um alto nível de segurança, como finanças, saúde e governo.
No geral, o alto nível de segurança fornecido pelos HSMs torna muito difícil extrair chaves brutas deles, e tentar fazê-lo é frequentemente considerado uma violação de segurança. No entanto, pode haver certos cenários onde uma chave bruta poderia ser extraída por pessoal autorizado para fins específicos, como no caso de um procedimento de recuperação de chaves.
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)