AWS - CloudHSM Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Cloud HSM ni kifaa cha hardware kilichothibitishwa kwa kiwango cha FIPS 140 level two kwa ajili ya uhifadhi salama wa funguo za cryptographic (kumbuka kwamba CloudHSM ni kifaa cha hardware, si huduma iliyovirtualized). Ni kifaa cha SafeNetLuna 7000 kilichopakiwa na 5.3.13. Kuna toleo mbili za firmware na unachagua ipi inategemea mahitaji yako halisi. Moja ni kwa ajili ya kufuata FIPS 140-2 na kulikuwa na toleo jipya ambalo linaweza kutumika.
Sifa isiyo ya kawaida ya CloudHSM ni kwamba ni kifaa halisi, na hivyo hakishiriani na wateja wengine, au kama inavyojulikana, multi-tenant. Ni kifaa cha mpangilio mmoja kilichotolewa kwa ajili ya kazi zako pekee.
Kwa kawaida, kifaa kinapatikana ndani ya dakika 15 ikiwa kuna uwezo, lakini katika maeneo mengine huenda kukawa hakuna.
Kwa kuwa hiki ni kifaa halisi kilichotolewa kwako, funguo zinahifadhiwa kwenye kifaa. Funguo zinahitaji kuigwa kwenye kifaa kingine, kuhifadhiwa kwenye hifadhi isiyo ya mtandaoni, au kusafirishwa kwenye kifaa cha kusimama. Kifaa hiki hakina msaada kutoka S3 au huduma nyingine yoyote katika AWS kama KMS.
Katika CloudHSM, unapaswa kuongeza huduma mwenyewe. Unapaswa kuandaa vifaa vya CloudHSM vya kutosha kushughulikia mahitaji yako ya usimbuaji kulingana na algorithimu za usimbuaji ulizochagua kutekeleza kwa suluhisho lako. Kuhifadhi Funguo ya Usimamizi kunafanywa na AWS na hujiongeza kiotomatiki kadri inavyohitajika, hivyo kadri matumizi yako yanavyokua, ndivyo idadi ya vifaa vya CloudHSM vinavyohitajika inaweza kuongezeka. Kumbuka hili unavyoongeza suluhisho lako na ikiwa suluhisho lako lina auto-scaling, hakikisha kiwango chako cha juu kimezingatiwa na vifaa vya kutosha vya CloudHSM kuhudumia suluhisho hilo.
Kama vile kuongeza, utendaji unategemea wewe na CloudHSM. Utendaji unategemea algorithimu ya usimbuaji inayotumika na jinsi mara nyingi unahitaji kufikia au kupata funguo za kusimbua data. Utendaji wa huduma ya usimamizi wa funguo unashughulikiwa na Amazon na hujiongeza kiotomatiki kadri mahitaji yanavyohitajika. Utendaji wa CloudHSM unapatikana kwa kuongeza vifaa zaidi na ikiwa unahitaji utendaji zaidi unapaswa kuongeza vifaa au kubadilisha njia ya usimbuaji kwa algorithimu inayofanya kazi haraka zaidi.
Ikiwa suluhisho lako ni multi-region, unapaswa kuongeza vifaa kadhaa CloudHSM katika eneo la pili na kutatua muunganisho wa kuvuka maeneo kwa njia ya VPN ya kibinafsi au njia yoyote kuhakikisha kuwa trafiki inakuwa salama kila wakati kati ya kifaa katika kila tabaka la muunganisho. Ikiwa una suluhisho la multi-region unahitaji kufikiria jinsi ya kuiga funguo na kuanzisha vifaa vya ziada vya CloudHSM katika maeneo unayofanya kazi. Unaweza kuingia haraka katika hali ambapo una vifaa sita au nane vilivyotawanyika katika maeneo mengi, na kuwezesha upungufu kamili wa funguo zako za usimbuaji.
CloudHSM ni huduma ya daraja la biashara kwa ajili ya uhifadhi salama wa funguo na inaweza kutumika kama mizizi ya kuaminika kwa biashara. Inaweza kuhifadhi funguo za kibinafsi katika PKI na funguo za mamlaka ya cheti katika utekelezaji wa X509. Mbali na funguo za simetriki zinazotumika katika algorithimu za simetriki kama AES, KMS inahifadhi na kulinda kimwili funguo za simetriki pekee (haiwezi kutenda kama mamlaka ya cheti), hivyo ikiwa unahitaji kuhifadhi funguo za PKI na CA, CloudHSM moja au mbili au tatu zinaweza kuwa suluhisho lako.
CloudHSM ni ghali zaidi kuliko Huduma ya Usimamizi wa Funguo. CloudHSM ni kifaa cha hardware hivyo una gharama za kudumu za kuandaa kifaa cha CloudHSM, kisha gharama ya kila saa ya kuendesha kifaa. Gharama inazidishwa na idadi ya vifaa vya CloudHSM vinavyohitajika ili kufikia mahitaji yako maalum. Zaidi ya hayo, kuzingatia kunapaswa kufanywa katika ununuzi wa programu za wahusika wengine kama vile SafeNet ProtectV suites za programu na muda na juhudi za uunganisho. Huduma ya Usimamizi wa Funguo ni ya msingi wa matumizi na inategemea idadi ya funguo ulizonazo na operesheni za ingizo na utoaji. Kadri usimamizi wa funguo unavyotoa uunganisho usio na mshono na huduma nyingi za AWS, gharama za uunganisho zinapaswa kuwa za chini sana. Gharama zinapaswa kuzingatiwa kama kipengele cha pili katika suluhisho za usimbuaji. Usimbuaji kwa kawaida hutumika kwa ajili ya usalama na kufuata sheria.
Na CloudHSM pekee wewe una ufikiaji wa funguo na bila kuingia kwa undani sana, na CloudHSM unasimamia funguo zako mwenyewe. Na KMS, wewe na Amazon mnasimamia funguo zako pamoja. AWS ina sera nyingi za kulinda dhidi ya matumizi mabaya na bado haiwezi kufikia funguo zako katika suluhisho lolote. Tofauti kuu ni kufuata sheria kadri inavyohusiana na umiliki na usimamizi wa funguo, na kwa CloudHSM, hiki ni kifaa cha hardware ambacho unakisadia na kudumisha kwa ufikiaji wa kipekee kwako na wewe pekee.
Daima weka CloudHSM katika mpangilio wa HA na vifaa viwili angalau katika mikoa tofauti ya upatikanaji, na ikiwa inawezekana, weka ya tatu ama kwenye eneo lako au katika eneo lingine la AWS.
Kuwa makini unapofanya kuanzisha CloudHSM. Kitendo hiki kitaharibu funguo, hivyo kuwa na nakala nyingine ya funguo au kuwa na uhakika kabisa kwamba huna na kamwe, kamwe hautahitaji funguo hizi kusimbua data yoyote.
CloudHSM inasaidia tu toleo fulani za firmware na programu. Kabla ya kufanya sasisho lolote, hakikisha firmware na au programu inasaidiwa na AWS. Unaweza daima kuwasiliana na msaada wa AWS kuthibitisha ikiwa mwongozo wa sasisho haujawa wazi.
Mikakati ya mtandao haipaswi kubadilishwa. Kumbuka, iko katika kituo cha data cha AWS na AWS inafuatilia vifaa vya msingi kwa ajili yako. Hii inamaanisha kwamba ikiwa vifaa vitashindwa, watakibadilisha kwa ajili yako, lakini tu ikiwa wanajua kimefeli.
SysLog forward haipaswi kuondolewa au kubadilishwa. Unaweza daima kuongeza mpelelezi wa SysLog kuelekeza kumbukumbu kwa chombo chako cha ukusanyaji.
Mikakati ya SNMP ina vizuizi sawa vya msingi kama mtandao na folda ya SysLog. Hii haipaswi kubadilishwa au kuondolewa. Mikakati ya ziada ya SNMP ni sawa, hakikisha tu huwezi kubadilisha ile ambayo tayari ipo kwenye kifaa.
Tofauti na mazoea mengine mazuri kutoka AWS ni kutobadilisha mikakati ya NTP. Haijulikani nini kitakachotokea ikiwa utafanya hivyo, hivyo kumbuka kwamba ikiwa hutatumia mikakati ile ile ya NTP kwa suluhisho lako lote basi unaweza kuwa na vyanzo viwili vya wakati. Kuwa makini na hili na ujue kwamba CloudHSM inapaswa kubaki na chanzo cha NTP kilichopo.
Ada ya uzinduzi wa awali kwa CloudHSM ni $5,000 kuandaa kifaa cha hardware kilichotolewa kwa matumizi yako, kisha kuna ada ya kila saa inayohusiana na kuendesha CloudHSM ambayo kwa sasa ni $1.88 kwa saa ya operesheni, au takriban $1,373 kwa mwezi.
Sababu ya kawaida ya kutumia CloudHSM ni viwango vya kufuata sheria ambavyo unapaswa kukutana navyo kwa sababu za udhibiti. KMS haitoi msaada wa data kwa funguo zisizo za simetriki. CloudHSM inakuruhusu kuhifadhi funguo zisizo za simetriki kwa usalama.
Funguo ya umma inasakinishwa kwenye kifaa cha HSM wakati wa kuandaa ili uweze kufikia mfano wa CloudHSM kupitia SSH.
Moduli ya usalama wa vifaa (HSM) ni kifaa maalum cha cryptographic kinachotumika kuzalisha, kuhifadhi, na kusimamia funguo za cryptographic na kulinda data nyeti. Imepangwa kutoa kiwango cha juu cha usalama kwa kutenga kimwili na kielektroniki kazi za cryptographic kutoka kwa mfumo mzima.
Njia ambayo HSM inafanya kazi inaweza kutofautiana kulingana na mfano maalum na mtengenezaji, lakini kwa ujumla, hatua zifuatazo hufanyika:
Uzalishaji wa funguo: HSM inazalisha funguo za cryptographic za nasibu kwa kutumia jenereta ya nambari za nasibu salama.
Hifadhi ya funguo: Funguo zinahifadhiwa kwa usalama ndani ya HSM, ambapo zinaweza kufikiwa tu na watumiaji au michakato walioidhinishwa.
Usimamizi wa funguo: HSM inatoa anuwai ya kazi za usimamizi wa funguo, ikiwa ni pamoja na mzunguko wa funguo, nakala, na kufutwa.
Operesheni za cryptographic: HSM inafanya anuwai ya operesheni za cryptographic, ikiwa ni pamoja na usimbuaji, usimbuaji wa data, saini ya dijitali, na kubadilishana funguo. Operesheni hizi zinafanywa ndani ya mazingira salama ya HSM, ambayo inalinda dhidi ya ufikiaji usioidhinishwa na uharibifu.
Kumbukumbu ya ukaguzi: HSM inarekodi operesheni zote za cryptographic na majaribio ya ufikiaji, ambayo yanaweza kutumika kwa ajili ya kufuata sheria na ukaguzi wa usalama.
HSM zinaweza kutumika kwa anuwai ya matumizi, ikiwa ni pamoja na miamala salama ya mtandaoni, vyeti vya dijitali, mawasiliano salama, na usimbuaji wa data. Mara nyingi hutumiwa katika sekta zinazohitaji kiwango cha juu cha usalama, kama vile fedha, huduma za afya, na serikali.
Kwa ujumla, kiwango cha juu cha usalama kinachotolewa na HSM kinaufanya kuwa vigumu sana kutoa funguo za asili kutoka kwao, na kujaribu kufanya hivyo mara nyingi kunachukuliwa kama uvunjaji wa usalama. Hata hivyo, kunaweza kuwa na hali fulani ambapo funguo za asili zinaweza kutolewa na wafanyakazi walioidhinishwa kwa madhumuni maalum, kama katika kesi ya utaratibu wa urejeleaji wa funguo.
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)