AWS - CloudHSM Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Cloud HSM ni kifaa cha hardware kilichothibitishwa kwa kiwango cha FIPS 140 level two kwa ajili ya uhifadhi salama wa funguo za cryptographic (kumbuka kwamba CloudHSM ni kifaa cha hardware, si huduma iliyovirtualized). Ni kifaa cha SafeNetLuna 7000 chenye toleo la 5.3.13 lililopakiwa awali. Kuna toleo mbili za firmware na unachagua ipi kulingana na mahitaji yako halisi. Moja ni kwa ajili ya kufuata FIPS 140-2 na kulikuwa na toleo jipya ambalo linaweza kutumika.
Sifa isiyo ya kawaida ya CloudHSM ni kwamba ni kifaa halisi, na hivyo hakishiriani na wateja wengine, au kama inavyosemwa kawaida, multi-tenant. Ni kifaa cha mpangilio mmoja kilichotolewa kwa ajili ya kazi zako pekee.
Kwa kawaida, kifaa kinapatikana ndani ya dakika 15 ikiwa kuna uwezo, lakini katika maeneo mengine huenda kukawa hakuna.
Kwa kuwa hiki ni kifaa halisi kilichotolewa kwako, funguo zinahifadhiwa kwenye kifaa. Funguo zinahitaji kuigwa kwenye kifaa kingine, kuhifadhiwa kwenye hifadhi isiyo ya mtandaoni, au kusafirishwa kwenye kifaa cha kusimama. Kifaa hiki hakihifadhiwa na S3 au huduma nyingine yoyote katika AWS kama KMS.
Katika CloudHSM, unapaswa kuongeza huduma mwenyewe. Unapaswa kuandaa vifaa vya CloudHSM vya kutosha kushughulikia mahitaji yako ya usimbaji kulingana na algorithimu za usimbaji ulizochagua kutekeleza kwa suluhisho lako. Kipimo cha Huduma ya Usimamizi wa Funguo kinatolewa na AWS na kinapanuka kiotomatiki kadri inavyohitajika, hivyo kadri matumizi yako yanavyokua, ndivyo idadi ya vifaa vya CloudHSM vinavyohitajika inaweza kuongezeka. Kumbuka hili unavyopanua suluhisho lako na ikiwa suluhisho lako lina auto-scaling, hakikisha kiwango chako cha juu kimezingatiwa na vifaa vya kutosha vya CloudHSM ili kuhudumia suluhisho hilo.
Kama vile kupanua, utendaji ni juu yako na CloudHSM. Utendaji unategemea algorithimu ya usimbaji inayotumika na jinsi mara nyingi unahitaji kufikia au kupata funguo za kusimbia data. Utendaji wa huduma ya usimamizi wa funguo unashughulikiwa na Amazon na unapanuka kiotomatiki kadri mahitaji yanavyohitajika. Utendaji wa CloudHSM unapatikana kwa kuongeza vifaa zaidi na ikiwa unahitaji utendaji zaidi unapaswa kuongeza vifaa au kubadilisha njia ya usimbaji kwa algorithimu inayokuwa haraka zaidi.
Ikiwa suluhisho lako ni multi-region, unapaswa kuongeza vifaa kadhaa vya CloudHSM katika eneo la pili na kutatua muunganisho wa kuvuka maeneo kwa njia ya VPN ya kibinafsi au njia yoyote kuhakikisha kuwa trafiki inakuwa salama kila wakati kati ya kifaa katika kila safu ya muunganisho. Ikiwa una suluhisho la multi-region unahitaji kufikiria jinsi ya kuiga funguo na kuanzisha vifaa vya ziada vya CloudHSM katika maeneo unayofanya kazi. Unaweza kuingia haraka katika hali ambapo una vifaa sita au nane vilivyotawanyika katika maeneo mengi, na kuwezesha upungufu kamili wa funguo zako za usimbaji.
CloudHSM ni huduma ya daraja la biashara kwa ajili ya uhifadhi salama wa funguo na inaweza kutumika kama mizizi ya kuaminika kwa biashara. Inaweza kuhifadhi funguo za kibinafsi katika PKI na funguo za mamlaka ya cheti katika utekelezaji wa X509. Mbali na funguo za simetriki zinazotumika katika algorithimu za simetriki kama AES, KMS inahifadhi na kulinda kimwili funguo za simetriki pekee (haiwezi kutenda kama mamlaka ya cheti), hivyo ikiwa unahitaji kuhifadhi funguo za PKI na CA, CloudHSM moja au mbili au tatu zinaweza kuwa suluhisho lako.
CloudHSM ni ghali zaidi kuliko Huduma ya Usimamizi wa Funguo. CloudHSM ni kifaa cha hardware hivyo una gharama za kudumu za kuandaa kifaa cha CloudHSM, kisha kuna gharama ya kila saa ya kuendesha kifaa. Gharama inazidishwa na idadi ya vifaa vya CloudHSM vinavyohitajika ili kufikia mahitaji yako maalum. Zaidi ya hayo, kuzingatia kunapaswa kufanywa katika ununuzi wa programu za wahusika wengine kama vile SafeNet ProtectV suites za programu na muda na juhudi za uunganisho. Huduma ya Usimamizi wa Funguo ni ya msingi wa matumizi na inategemea idadi ya funguo ulizonazo na operesheni za ingizo na utoaji. Kadri usimamizi wa funguo unavyotoa uunganisho usio na mshono na huduma nyingi za AWS, gharama za uunganisho zinapaswa kuwa za chini sana. Gharama zinapaswa kuzingatiwa kama kipengele cha pili katika suluhisho za usimbaji. Usimbaji kwa kawaida hutumika kwa ajili ya usalama na kufuata sheria.
Na CloudHSM pekee wewe una ufikiaji wa funguo na bila kuingia kwa maelezo mengi, na CloudHSM unasimamia funguo zako mwenyewe. Na KMS, wewe na Amazon mnasimamia funguo zako pamoja. AWS ina sera nyingi za kulinda dhidi ya matumizi mabaya na bado haiwezi kufikia funguo zako katika suluhisho lolote. Tofauti kuu ni kufuata sheria kadri inavyohusiana na umiliki na usimamizi wa funguo, na na CloudHSM, hiki ni kifaa cha hardware ambacho unakisadia na kudumisha kwa ufikiaji wa kipekee kwako na wewe pekee.
Daima weka CloudHSM katika mpangilio wa HA na angalau vifaa viwili katika mikoa tofauti ya upatikanaji, na ikiwa inawezekana, weka kifaa cha tatu ama kwenye eneo lako au katika eneo lingine la AWS.
Kuwa makini unapofanya kuanzisha CloudHSM. Kitendo hiki kitaharibu funguo, hivyo kuwa na nakala nyingine ya funguo au kuwa na uhakika kabisa kwamba huna na kamwe, kamwe hutahitaji funguo hizi kufungua data yoyote.
CloudHSM inasaidia tu toleo fulani za firmware na programu. Kabla ya kufanya sasisho lolote, hakikisha firmware na au programu inasaidiwa na AWS. Unaweza daima kuwasiliana na msaada wa AWS ili kuthibitisha ikiwa mwongozo wa sasisho haujakuwa wazi.
Mikakati ya mtandao haipaswi kubadilishwa. Kumbuka, iko katika kituo cha data cha AWS na AWS inafuatilia vifaa vya msingi kwa ajili yako. Hii inamaanisha kwamba ikiwa vifaa vitashindwa, watakibadilisha kwa ajili yako, lakini tu ikiwa wanajua kimefeli.
SysLog forward haipaswi kuondolewa au kubadilishwa. Unaweza daima kuongeza mpelelezi wa SysLog ili kuelekeza kumbukumbu kwa zana yako ya ukusanyaji.
Mikakati ya SNMP ina vizuizi sawa vya msingi kama mtandao na folda ya SysLog. Hii haipaswi kubadilishwa au kuondolewa. Mikakati ya ziada ya SNMP ni sawa, hakikisha tu hujabadilisha ile ambayo tayari ipo kwenye kifaa.
Tofauti na mazoea mengine ya AWS ni kutoibadilisha mikakati ya NTP. Haijulikani nini kitakachotokea ikiwa utafanya hivyo, hivyo kumbuka kwamba ikiwa hutatumia mikakati sawa ya NTP kwa suluhisho lako lote basi unaweza kuwa na vyanzo viwili vya wakati. Kuwa makini na hili na ujue kwamba CloudHSM inapaswa kubaki na chanzo cha NTP kilichopo.
Ada ya uzinduzi wa awali kwa CloudHSM ni $5,000 ili kugawa kifaa cha hardware kilichotolewa kwa matumizi yako, kisha kuna ada ya kila saa inayohusiana na kuendesha CloudHSM ambayo kwa sasa ni $1.88 kwa saa ya operesheni, au takriban $1,373 kwa mwezi.
Sababu ya kawaida ya kutumia CloudHSM ni viwango vya kufuata sheria ambavyo unapaswa kukutana navyo kwa sababu za udhibiti. KMS haitoi msaada wa data kwa funguo zisizo za simetriki. CloudHSM inakuruhusu kuhifadhi funguo zisizo za simetriki kwa usalama.
Funguo ya umma inasakinishwa kwenye kifaa cha HSM wakati wa ugawaji ili uweze kufikia mfano wa CloudHSM kupitia SSH.
Moduli ya usalama wa vifaa (HSM) ni kifaa maalum cha cryptographic kinachotumika kuzalisha, kuhifadhi, na kusimamia funguo za cryptographic na kulinda data nyeti. Imeundwa kutoa kiwango cha juu cha usalama kwa kutenga kimwili na kielektroniki kazi za cryptographic kutoka kwa mfumo mzima.
Njia ambayo HSM inafanya kazi inaweza kutofautiana kulingana na mfano maalum na mtengenezaji, lakini kwa ujumla, hatua zifuatazo hufanyika:
Uzalishaji wa funguo: HSM inazalisha funguo za cryptographic za nasibu kwa kutumia jenereta ya nambari za nasibu salama.
Hifadhi ya funguo: Funguo zinahifadhiwa kwa usalama ndani ya HSM, ambapo zinaweza kufikiwa tu na watumiaji au michakato walioidhinishwa.
Usimamizi wa funguo: HSM inatoa anuwai ya kazi za usimamizi wa funguo, ikiwa ni pamoja na mzunguko wa funguo, nakala, na kufutwa.
Operesheni za cryptographic: HSM inafanya anuwai ya operesheni za cryptographic, ikiwa ni pamoja na usimbaji, ufichuzi, saini ya dijitali, na kubadilishana funguo. Operesheni hizi zinafanywa ndani ya mazingira salama ya HSM, ambayo inalinda dhidi ya ufikiaji usioidhinishwa na uharibifu.
Kumbukumbu za ukaguzi: HSM inarekodi operesheni zote za cryptographic na majaribio ya ufikiaji, ambayo yanaweza kutumika kwa ajili ya kufuata sheria na ukaguzi wa usalama.
HSM zinaweza kutumika kwa anuwai ya matumizi, ikiwa ni pamoja na miamala salama ya mtandaoni, vyeti vya dijitali, mawasiliano salama, na usimbaji wa data. Mara nyingi hutumiwa katika sekta zinazohitaji kiwango cha juu cha usalama, kama vile fedha, huduma za afya, na serikali.
Kwa ujumla, kiwango cha juu cha usalama kinachotolewa na HSM kinafanya kuwa vigumu sana kutoa funguo za asili kutoka kwao, na kujaribu kufanya hivyo mara nyingi kunachukuliwa kama uvunjaji wa usalama. Hata hivyo, kunaweza kuwa na hali fulani ambapo funguo za asili zinaweza kutolewa na wafanyakazi walioidhinishwa kwa madhumuni maalum, kama katika kesi ya utaratibu wa urejeleaji wa funguo.
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)