AWS - CloudHSM Enum

HSM - Hardware Security Module

Cloud HSM je FIPS 140 nivo dva validirani hardverski uređaj za sigurno skladištenje kriptografskih ključeva (napomena da je CloudHSM hardverski uređaj, nije virtuelizovana usluga). To je SafeNetLuna 7000 uređaj sa preinstaliranim 5.3.13. Postoje dve verzije firmvera i koja ćete izabrati zavisi od vaših tačnih potreba. Jedna je za FIPS 140-2 usklađenost, a postojala je i novija verzija koja se može koristiti.

Neobična karakteristika CloudHSM-a je to što je fizički uređaj, i stoga nije deljen sa drugim korisnicima, ili kako se to obično naziva, multi-tenant. To je posvećen uređaj koji je isključivo dostupan vašim radnim opterećenjima.

Obično, uređaj je dostupan u roku od 15 minuta pod pretpostavkom da postoji kapacitet, ali u nekim zonama to možda neće biti moguće.

Pošto je ovo fizički uređaj posvećen vama, ključevi se čuvaju na uređaju. Ključevi moraju biti replicirani na drugi uređaj, sačuvani na offline skladištu, ili eksportovani na rezervni uređaj. Ovaj uređaj nije podržan od strane S3 ili bilo koje druge usluge na AWS-u kao što je KMS.

U CloudHSM-u, morate sami skalirati uslugu. Morate obezbediti dovoljno CloudHSM uređaja da biste zadovoljili svoje potrebe za enkripcijom na osnovu kriptografskih algoritama koje ste izabrali da implementirate za svoje rešenje. Skaliranje usluge za upravljanje ključevima vrši AWS i automatski se skalira na zahtev, tako da kako se vaša upotreba povećava, tako se može povećati i broj CloudHSM uređaja koji su potrebni. Imajte ovo na umu dok skalirate svoje rešenje i ako vaše rešenje ima automatsko skaliranje, uverite se da je vaš maksimalni kapacitet obezbeđen sa dovoljno CloudHSM uređaja da podrži rešenje.

Baš kao i skaliranje, performanse su na vama sa CloudHSM. Performanse variraju u zavisnosti od toga koji se kriptografski algoritam koristi i koliko često treba da pristupite ili preuzmete ključeve za enkripciju podataka. Performanse usluge za upravljanje ključevima se obezbeđuju od strane Amazona i automatski se skaliraju kako to zahteva potražnja. Performanse CloudHSM-a se postižu dodavanjem više uređaja i ako vam je potrebna veća performansa, ili dodajete uređaje ili menjate metodu enkripcije na algoritam koji je brži.

Ako je vaše rešenje multi-region, trebali biste dodati nekoliko CloudHSM uređaja u drugoj regiji i uspostaviti međuregionalnu povezanost sa privatnom VPN vezom ili nekim metodom kako biste osigurali da je saobraćaj uvek zaštićen između uređaja na svakom sloju veze. Ako imate multi-region rešenje, morate razmisliti o tome kako da replicirate ključeve i postavite dodatne CloudHSM uređaje u regijama u kojima poslujete. Možete vrlo brzo doći u situaciju gde imate šest ili osam uređaja raspoređenih po više regija, omogućavajući potpunu redundanciju vaših kriptografskih ključeva.

CloudHSM je usluga klase preduzeća za sigurno skladištenje ključeva i može se koristiti kao root of trust za preduzeće. Može skladištiti privatne ključeve u PKI i ključeve sertifikacione vlasti u X509 implementacijama. Pored simetričnih ključeva koji se koriste u simetričnim algoritmima kao što je AES, KMS skladišti i fizički štiti samo simetrične ključeve (ne može delovati kao sertifikaciona vlast), tako da ako trebate skladištiti PKI i CA ključeve, jedan ili dva ili tri CloudHSM-a mogli bi biti vaše rešenje.

CloudHSM je znatno skuplji od usluge za upravljanje ključevima. CloudHSM je hardverski uređaj, tako da imate fiksne troškove za obezbeđivanje CloudHSM uređaja, a zatim satni trošak za rad uređaja. Trošak se množi sa onoliko CloudHSM uređaja koliko je potrebno da se postignu vaši specifični zahtevi. Pored toga, mora se uzeti u obzir i kupovina softvera trećih strana kao što su SafeNet ProtectV softverski paketi i vreme i trud potrebni za integraciju. Usluga za upravljanje ključevima je zasnovana na upotrebi i zavisi od broja ključeva koje imate i operacija ulaza i izlaza. Kako usluga za upravljanje ključevima pruža besprekornu integraciju sa mnogim AWS uslugama, troškovi integracije bi trebali biti znatno niži. Troškovi bi trebali biti sekundarni faktor u rešenjima za enkripciju. Enkripcija se obično koristi za sigurnost i usklađenost.

Sa CloudHSM-om samo vi imate pristup ključevima i bez previše detalja, sa CloudHSM-om upravljate svojim ključevima. Sa KMS-om, vi i Amazon zajednički upravljate vašim ključevima. AWS ima mnoge politike zaštite od zloupotrebe i i dalje ne može pristupiti vašim ključevima u bilo kojem rešenju. Glavna razlika je usklađenost u vezi sa vlasništvom i upravljanjem ključevima, a sa CloudHSM-om, ovo je hardverski uređaj koji vi upravljate i održavate sa isključivim pristupom samo vama.

CloudHSM Suggestions

1. Uvek implementirajte CloudHSM u HA postavci sa najmanje dva uređaja u odvojenim dostupnim zonama, a ako je moguće, implementirajte treći ili na lokaciji ili u drugoj regiji na AWS-u.

2. Budite oprezni kada inicijalizujete CloudHSM. Ova akcija će uništiti ključeve, tako da ili imajte drugu kopiju ključeva ili budite apsolutno sigurni da ih nećete i nikada nećete trebati za dekripciju bilo kojih podataka.

3. CloudHSM samo podržava određene verzije firmvera i softvera. Pre nego što izvršite bilo kakvo ažuriranje, uverite se da je firmver i/ili softver podržan od strane AWS-a. Uvek možete kontaktirati AWS podršku da proverite ako je vodič za nadogradnju nejasan.

4. Konfiguracija mreže nikada ne bi trebala biti promenjena. Zapamtite, to je u AWS data centru i AWS prati osnovni hardver za vas. To znači da ako hardver otkaže, oni će ga zameniti za vas, ali samo ako znaju da je otkazao.

5. SysLog prosleđivanje ne bi trebalo biti uklonjeno ili promenjeno. Uvek možete dodati SysLog prosleđivač da usmerite logove na vaš vlastiti alat za prikupljanje.

6. SNMP konfiguracija ima iste osnovne restrikcije kao mreža i SysLog folder. Ovo ne bi trebalo biti promenjeno ili uklonjeno. Dodatna SNMP konfiguracija je u redu, samo se uverite da ne menjate onu koja je već na uređaju.

7. Još jedna zanimljiva najbolja praksa od AWS-a je da ne menjate NTP konfiguraciju. Nije jasno šta bi se desilo ako to uradite, tako da imajte na umu da ako ne koristite istu NTP konfiguraciju za ostatak vašeg rešenja, mogli biste imati dva izvora vremena. Samo budite svesni toga i znajte da CloudHSM mora ostati sa postojećim NTP izvorom.

Početni trošak za pokretanje CloudHSM-a je 5.000 dolara za dodeljivanje hardverskog uređaja posvećenog vašoj upotrebi, a zatim postoji satni trošak povezan sa radom CloudHSM-a koji trenutno iznosi 1,88 dolara po satu rada, ili otprilike 1.373 dolara mesečno.

Najčešći razlog za korišćenje CloudHSM-a su standardi usklađenosti koje morate ispuniti iz regulatornih razloga. KMS ne nudi podršku za asimetrične ključeve. CloudHSM vam omogućava da sigurno skladištite asimetrične ključeve.

Javni ključ se instalira na HSM uređaju tokom dodeljivanja tako da možete pristupiti CloudHSM instanci putem SSH.

Šta je hardverski sigurnosni modul

Hardverski sigurnosni modul (HSM) je posvećen kriptografski uređaj koji se koristi za generisanje, skladištenje i upravljanje kriptografskim ključevima i zaštitu osetljivih podataka. Dizajniran je da pruži visok nivo sigurnosti fizičkim i elektronskim izolovanjem kriptografskih funkcija od ostatka sistema.

Način na koji HSM funkcioniše može varirati u zavisnosti od specifičnog modela i proizvođača, ali generalno, sledeći koraci se dešavaju:

1. Generisanje ključeva: HSM generiše nasumični kriptografski ključ koristeći siguran generator nasumičnih brojeva.

2. Skladištenje ključeva: Ključ se sigurno skladišti unutar HSM-a, gde mu mogu pristupiti samo ovlašćeni korisnici ili procesi.

3. Upravljanje ključevima: HSM pruža niz funkcija upravljanja ključevima, uključujući rotaciju ključeva, rezervnu kopiju i opoziv.

4. Kriptografske operacije: HSM obavlja niz kriptografskih operacija, uključujući enkripciju, dekripciju, digitalni potpis i razmenu ključeva. Ove operacije se izvode unutar sigurnog okruženja HSM-a, što štiti od neovlašćenog pristupa i manipulacije.

5. Audit logovanje: HSM beleži sve kriptografske operacije i pokušaje pristupa, što se može koristiti za usklađenost i svrhe bezbednosnog audita.

HSM-ovi se mogu koristiti za širok spektar aplikacija, uključujući sigurne online transakcije, digitalne sertifikate, sigurnu komunikaciju i enkripciju podataka. Često se koriste u industrijama koje zahtevaju visok nivo sigurnosti, kao što su finansije, zdravstvo i vlada.

Sve u svemu, visok nivo sigurnosti koji pružaju HSM-ovi čini veoma teškim da se sirovi ključevi izvade iz njih, a pokušaj da se to uradi često se smatra kršenjem sigurnosti. Međutim, mogu postojati određeni scenariji u kojima bi sirovi ključ mogao biti izvučen od strane ovlašćenog osoblja za specifične svrhe, kao što je slučaj procedure oporavka ključeva.

Enumeracija

TODO