AWS - CloudHSM Enum
HSM - Modul za hardversku sigurnost
Cloud HSM je FIPS 140 nivo dva validisan hardverski uređaj za sigurno skladištenje kriptografskih ključeva (napomena da je CloudHSM hardverski uređaj, nije virtualizovana usluga). To je SafeNetLuna 7000 uređaj sa predinstaliranim 5.3.13. Postoje dve verzije firmware-a i koju ćete odabrati zavisi od vaših tačnih potreba. Jedna je za usklađenost sa FIPS 140-2 i postoji novija verzija koja se može koristiti.
Neobična karakteristika CloudHSM-a je što je fizički uređaj, i stoga nije deljen sa drugim korisnicima, ili kako se obično naziva, višekorisnički. To je posvećeni uređaj za jednog korisnika koji je isključivo dostupan vašim radnim opterećenjima.
Uobičajeno, uređaj je dostupan u roku od 15 minuta pod uslovom da postoji kapacitet, ali u nekim zonama to možda neće biti slučaj.
Pošto je ovo fizički uređaj posvećen vama, ključevi se čuvaju na uređaju. Ključevi moraju biti ili replikovani na drugi uređaj, sačuvani na offline skladištu, ili izvezeni na rezervni uređaj. Ovaj uređaj nije podržan od strane S3 ili bilo koje druge usluge na AWS-u poput KMS-a.
U CloudHSM-u, morate samostalno skalirati uslugu. Morate obezbediti dovoljno CloudHSM uređaja da biste obradili sve vaše potrebe za enkripcijom na osnovu algoritama enkripcije koje ste odabrali za implementaciju vašeg rešenja. Skaliranje usluge za upravljanje ključevima vrši AWS i automatski se skalira po potrebi, tako da kako raste vaša upotreba, tako može biti potrebno i više CloudHSM uređaja. Imajte to na umu dok skalirate svoje rešenje i ako vaše rešenje ima automatsko skaliranje, pobrinite se da je vaš maksimalni obim uzet u obzir sa dovoljno CloudHSM uređaja za pružanje usluge rešenju.
Kao i sa skaliranjem, performanse su na vama sa CloudHSM-om. Performanse variraju na osnovu toga koji enkripcijski algoritam se koristi i koliko često treba pristupiti ili povratiti ključeve radi enkripcije podataka. Performanse usluge upravljanja ključevima obrađuje Amazon i automatski se skalira po potrebi. Performanse CloudHSM-a se postižu dodavanjem više uređaja i ako vam je potrebno više performansi, ili dodajete uređaje ili menjate metodu enkripcije na algoritam koji je brži.
Ako je vaše rešenje višeregionalno, trebalo bi dodati nekoliko CloudHSM uređaja u drugoj regionu i osmisliti povezanost između regiona sa privatnom VPN vezom ili nekim metodom kako bi se osiguralo da je saobraćaj uvek zaštićen između uređaja na svakom nivou veze. Ako imate višeregionalno rešenje, morate razmisliti o tome kako replikovati ključeve i postaviti dodatne CloudHSM uređaje u regionima u kojima poslujete. Vrlo brzo možete doći u situaciju gde imate šest ili osam uređaja raspoređenih širom više regiona, omogućavajući potpunu redundanciju vaših enkripcijskih ključeva.
CloudHSM je usluga klase preduzeća za sigurno skladištenje ključeva i može se koristiti kao koren poverenja za preduzeće. Može skladištiti privatne ključeve u PKI i ključeve sertifikacionih vlasti u X509 implementacijama. Pored simetričnih ključeva koji se koriste u simetričnim algoritmima poput AES-a, KMS skladišti i fizički štiti samo simetrične ključeve (ne može delovati kao sertifikaciona vlast), tako da ako trebate skladištiti PKI i CA ključeve, CloudHSM ili dva ili tri mogla bi biti vaše rešenje.
CloudHSM je znatno skuplji od usluge upravljanja ključevima. CloudHSM je hardverski uređaj, tako da imate fiksne troškove za obezbeđivanje CloudHSM uređaja, a zatim i satni trošak za pokretanje uređaja. Trošak se množi sa koliko god CloudHSM uređaja je potrebno da bi se postigli vaši specifični zahtevi. Dodatno, treba uzeti u obzir kupovinu softvera trećih strana poput SafeNet ProtectV softverskih paketa i vreme i napor za integraciju. Usluga upravljanja ključevima se naplaćuje na osnovu korišćenja i zavisi od broja ključeva koje imate i operacija unosa i izlaza. Pošto upravljanje ključevima omogućava besprekornu integraciju sa mnogim AWS uslugama, troškovi integracije bi trebalo da budu značajno niži. Troškovi bi trebalo da se smatraju sekundarnim faktorom u rešenjima enkripcije. Enkripcija se obično koristi radi sigurnosti i usaglašenosti.
Samo vi imate pristup ključevima sa CloudHSM-om i bez ulaska u previše detalja, sa CloudHSM-om upravljate svojim ključevima. Sa KMS-om, vi i Amazon zajedno upravljate ključevima. AWS ima mnoge politike zaštite od zloupotrebe i još uvek ne može pristupiti vašim ključevima ni u jednom rešenju. Glavna razlika je usaglašenost u vezi sa vlasništvom i upravljanjem ključevima, a sa CloudHSM-om, to je hardverski uređaj koji vi upravljate i održavate sa ekskluzivnim pristupom samo vama.
Predlozi za CloudHSM
Uvek implementirajte CloudHSM u HA postavci sa najmanje dva uređaja u odvojenim zonama dostupnosti, i ako je moguće, implementirajte treći ili na lokaciji ili u drugoj regionu na AWS-u.
Budite oprezni prilikom inicijalizacije CloudHSM-a. Ova radnja će uništiti ključeve, pa ili imajte drugu kopiju ključeva ili budite apsolutno sigurni da vam ti ključevi nisu potrebni i nikada, nikada neće biti potrebni za dešifrovanje podataka.
CloudHSM podržava samo određene verzije firmware-a i softvera. Pre nego što izvršite bilo kakvo ažuriranje, proverite da li je firmware i/ili softver podržan od strane AWS-a. Uvek možete kontaktirati AWS podršku da biste proverili da li je vodič za ažuriranje nejasan.
Mrežna konfiguracija nikada ne bi trebalo da se menja. Zapamtite, to je u AWS data centru i AWS nadgleda osnovni hardver za vas. To znači da ako hardver otkazuje, oni će ga zameniti za vas, ali samo ako znaju da je otkazao.
Prosleđivanje SysLog-a ne bi trebalo da se uklanja ili menja. Uvek možete dodati prosleđivač SysLog-a da usmerite logove ka vašem sopstvenom alatu za prikupljanje.
SNMP konfiguracija ima ista osnovna ograničenja kao i mreža i SysLog folder. Ovo ne bi trebalo da se menja ili uklanja. Dodatna SNMP konfiguracija je u redu, samo se pobrinite da ne menjate onu koja već postoji na uređaju.
Još jedna zanimljiva praksa od AWS-a je ne menjati NTP konfiguraciju. Nije jasno šta bi se desilo ako biste to uradili, pa imajte na umu da ako ne koristite istu NTP konfiguraciju za ostatak vašeg rešenja, mogli biste imati dva izvora vremena. Samo budite svesni toga i znajte da CloudHSM mora ostati sa postojećim izvorom NTP-a.
Početna naknada za pokretanje CloudHSM-a iznosi 5.000 dolara za dodelu hardverskog uređaja posvećenog vašoj upotrebi, a zatim postoji satna naknada za pokretanje CloudHSM-a koja trenutno iznosi 1,88 dolara po satu rada, ili otprilike 1.373 dolara mesečno.
Najčešći razlog za korišćenje CloudHSM-a su standardi usaglašenosti koje morate ispuniti iz regulatornih razloga. KMS ne nudi podršku za asimetrične ključeve. CloudHSM vam omogućava da sigurno skladištite asimetrične ključeve.
Javni ključ je instaliran na HSM uređaju tokom podešavanja tako da možete pristupiti instanci CloudHSM-a putem SSH-a.
Šta je Modul za hardversku sigurnost
Modul za hardversku sigurnost (HSM) je posvećeni kriptografski uređaj koji se koristi za generisanje, čuvanje i upravljanje kriptografskim ključevima i zaštitu osetljivih podataka. Namijenjen je pružanju visokog nivoa sigurnosti fizičkim i elektronskim izolovanjem kriptografskih funkcija od ostatka sistema.
Način rada HSM-a može varirati u zavisnosti od specifičnog modela i proizvođača, ali generalno se dešavaju sledeći koraci:
Generisanje ključeva: HSM generiše slučajni kriptografski ključ koristeći siguran generator slučajnih brojeva.
Čuvanje ključeva: Ključ je bezbedno čuvan unutar HSM-a, gde mu može pristupiti samo ovlašćeni korisnici ili procesi.
Upravljanje ključevima: HSM pruža niz funkcija upravljanja ključevima, uključujući rotaciju ključeva, rezervne kopije i opoziv.
Kriptografske operacije: HSM vrši različite kriptografske operacije, uključujući šifrovanje, dešifrovanje, digitalni potpis i razmenu ključeva. Ove operacije se izvode unutar sigurnog okruženja HSM-a, koje štiti od neovlašćenog pristupa i manipulacije.
Evidentiranje revizije: HSM evidentira sve kriptografske operacije i pokušaje pristupa, što se može koristiti u svrhe usaglašenosti i revizije sigurnosti.
HSM-ovi se mogu koristiti za širok spektar aplikacija, uključujući sigurne online transakcije, digitalne sertifikate, sigurne komunikacije i šifrovanje podataka. Često se koriste u industrijama koje zahtevaju visok nivo sigurnosti, poput finansija, zdravstva i vlade.
Ukupno, visok nivo sigurnosti koji pružaju HSM-ovi čini vrlo teškim izvlačenje sirovih ključeva iz njih, a pokušaj takvog postupka često se smatra kršenjem sigurnosti. Međutim, mogu postojati određeni scenariji u kojima ovlašćeno osoblje može izvući sirov ključ u specifične svrhe, kao što je slučaj postupka oporavka ključa.
Enumeracija
Last updated