AWS - CloudHSM Enum
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Cloud HSM, güvenli kriptografik anahtar depolama için FIPS 140 seviye iki onaylı donanım cihazıdır (CloudHSM'nin bir donanım cihazı olduğunu unutmayın, sanallaştırılmış bir hizmet değildir). 5.3.13 önceden yüklenmiş SafeNetLuna 7000 cihazıdır. İki yazılım sürümü vardır ve hangisini seçeceğiniz tam olarak ihtiyaçlarınıza bağlıdır. Biri FIPS 140-2 uyumluluğu içindir ve kullanılabilecek daha yeni bir sürüm vardır.
CloudHSM'nin alışılmadık özelliği, fiziksel bir cihaz olmasıdır ve bu nedenle diğer müşterilerle paylaşılmaz, ya da yaygın olarak ifade edildiği gibi, çok kiracılı değildir. Sadece sizin iş yüklerinize özel olarak sunulan tek kiracılı bir cihazdır.
Genellikle, bir cihazın kapasite varsa 15 dakika içinde mevcut olması beklenir, ancak bazı bölgelerde bu mümkün olmayabilir.
Bu sizin için ayrılmış bir fiziksel cihaz olduğundan, anahtarlar cihazda saklanır. Anahtarlar ya başka bir cihaza çoğaltılmalı, çevrimdışı depolama alanına yedeklenmeli veya bir yedek cihazına aktarılmalıdır. Bu cihaz, S3 veya AWS'deki KMS gibi başka bir hizmetle desteklenmez.
CloudHSM'de, hizmeti kendiniz ölçeklendirmeniz gerekir. Çözümünüz için uygulamak istediğiniz şifreleme algoritmalarına dayalı olarak, şifreleme ihtiyaçlarınızı karşılayacak kadar CloudHSM cihazı sağlamanız gerekir. Anahtar Yönetim Hizmeti ölçeklendirmesi AWS tarafından gerçekleştirilir ve talep üzerine otomatik olarak ölçeklenir, bu nedenle kullanımınız arttıkça, gereken CloudHSM cihazlarının sayısı da artabilir. Çözümünüzü ölçeklendirirken bunu aklınızda bulundurun ve çözümünüz otomatik ölçeklendirme içeriyorsa, maksimum ölçeğinizin yeterli CloudHSM cihazları ile karşılandığından emin olun.
Ölçeklendirme gibi, performans CloudHSM ile size bağlıdır. Performans, hangi şifreleme algoritmasının kullanıldığına ve anahtarları şifrelemek için ne sıklıkla erişmeniz gerektiğine bağlı olarak değişir. Anahtar yönetim hizmetinin performansı Amazon tarafından yönetilir ve talep gerektikçe otomatik olarak ölçeklenir. CloudHSM'nin performansı daha fazla cihaz ekleyerek elde edilir ve daha fazla performansa ihtiyacınız varsa ya cihaz eklemelisiniz ya da daha hızlı bir algoritmaya şifreleme yöntemini değiştirmelisiniz.
Eğer çözümünüz çok bölgeli ise, ikinci bölgede birkaç CloudHSM cihazı eklemeli ve bağlantının her katmanında trafiğin her zaman korunduğundan emin olmak için özel bir VPN bağlantısı veya başka bir yöntemle bölge arası bağlantıyı sağlamalısınız. Çok bölgeli bir çözümünüz varsa, anahtarları çoğaltma ve faaliyet gösterdiğiniz bölgelerde ek CloudHSM cihazları kurma konusunda düşünmelisiniz. Çok hızlı bir şekilde, şifreleme anahtarlarınızın tam yedekliliğini sağlamak için birden fazla bölgede yayılmış altı veya sekiz cihazla bir senaryoya girebilirsiniz.
CloudHSM, güvenli anahtar depolama için kurumsal sınıf bir hizmettir ve bir işletme için güven kökü olarak kullanılabilir. PKI'de özel anahtarları ve X509 uygulamalarında sertifika otoritesi anahtarlarını depolayabilir. AES gibi simetrik algoritmalarda kullanılan simetrik anahtarların yanı sıra, KMS yalnızca simetrik anahtarları depolar ve fiziksel olarak korur (sertifika otoritesi olarak hareket edemez), bu nedenle PKI ve CA anahtarlarını depolamanız gerekiyorsa bir veya iki CloudHSM çözümünüz olabilir.
CloudHSM, Anahtar Yönetim Hizmetinden önemli ölçüde daha pahalıdır. CloudHSM bir donanım cihazıdır, bu nedenle CloudHSM cihazını sağlamak için sabit maliyetleriniz vardır, ardından cihazı çalıştırmak için saatlik bir maliyet vardır. Maliyet, belirli gereksinimlerinizi karşılamak için gereken CloudHSM cihazlarının sayısı ile çarpılır. Ayrıca, SafeNet ProtectV yazılım paketleri gibi üçüncü taraf yazılımların satın alınmasında ve entegrasyon süresi ve çabası açısından çapraz değerlendirme yapılmalıdır. Anahtar Yönetim Hizmeti, kullanım bazlıdır ve sahip olduğunuz anahtar sayısına ve giriş-çıkış işlemlerine bağlıdır. Anahtar yönetimi birçok AWS hizmeti ile sorunsuz entegrasyon sağladığından, entegrasyon maliyetleri önemli ölçüde daha düşük olmalıdır. Maliyetler, şifreleme çözümlerinde ikincil bir faktör olarak düşünülmelidir. Şifreleme genellikle güvenlik ve uyumluluk için kullanılır.
CloudHSM ile yalnızca siz anahtarlara erişim sağlarsınız ve fazla detaya girmeden, CloudHSM ile kendi anahtarlarınızı yönetirsiniz. KMS ile, anahtarlarınızı Amazon ile birlikte yönetirsiniz. AWS, kötüye kullanıma karşı birçok politika korumasına sahiptir ve her iki çözümde de anahtarlarınıza erişemez. Anahtar sahipliği ve yönetimi ile ilgili uyumluluk açısından ana ayrım, CloudHSM'nin sizin ve yalnızca sizin erişiminiz olan bir donanım cihazı olmasıdır.
CloudHSM'yi her zaman en az iki cihazla HA yapılandırmasında dağıtın ve mümkünse, AWS'de başka bir bölgede ya da yerel olarak üçüncü bir cihaz dağıtın.
CloudHSM'yi başlatırken dikkatli olun. Bu işlem anahtarları yok edecektir, bu nedenle ya anahtarların başka bir kopyasına sahip olun ya da bu anahtarlara asla ihtiyaç duymayacağınızdan kesinlikle emin olun.
CloudHSM yalnızca belirli yazılım sürümlerini ve yazılımları destekler. Herhangi bir güncelleme yapmadan önce, yazılımın ve/veya yazılımın AWS tarafından desteklendiğinden emin olun. Güncelleme kılavuzu belirsizse her zaman AWS desteği ile iletişime geçebilirsiniz.
Ağ yapılandırması asla değiştirilmemelidir. Unutmayın, bu bir AWS veri merkezindedir ve AWS sizin için temel donanımı izlemektedir. Bu, donanım arızalanırsa, sizin için değiştirecekleri anlamına gelir, ancak yalnızca arızalandığını bilirlerse.
SysLog yönlendirmesi kaldırılmamalı veya değiştirilmemelidir. Her zaman kendi toplama aracınıza yönlendirmek için bir SysLog yönlendirici ekleyebilirsiniz.
SNMP yapılandırması, ağ ve SysLog klasörü ile aynı temel kısıtlamalara sahiptir. Bu değiştirilmemeli veya kaldırılmamalıdır. Ek bir SNMP yapılandırması uygundur, yalnızca cihazda zaten bulunanı değiştirmediğinizden emin olun.
AWS'den başka bir ilginç en iyi uygulama, NTP yapılandırmasını değiştirmemektir. Ne olacağı belirsizdir, bu nedenle çözümünüzün geri kalanında aynı NTP yapılandırmasını kullanmazsanız iki zaman kaynağınız olabilir. Bunu aklınızda bulundurun ve CloudHSM'nin mevcut NTP kaynağı ile kalması gerektiğini bilin.
CloudHSM için başlangıçta tahsis edilen donanım cihazı ücreti 5,000$'dır, ardından CloudHSM'yi çalıştırmak için saatlik bir ücret vardır ve bu şu anda saatte 1.88$ veya aylık yaklaşık 1,373$'dır.
CloudHSM'yi kullanmanın en yaygın nedeni, uyum standartlarıdır ve bunları düzenleyici nedenlerle karşılamanız gerekir. KMS, asimetrik anahtarlar için veri desteği sunmaz. CloudHSM, asimetrik anahtarları güvenli bir şekilde depolamanıza izin verir.
Açık anahtar, CloudHSM örneğini SSH üzerinden erişebilmeniz için tahsis sırasında HSM cihazına yüklenir.
Donanım güvenlik modülü (HSM), kriptografik anahtarları oluşturmak, depolamak ve yönetmek ve hassas verileri korumak için kullanılan özel bir kriptografik cihazdır. Kriptografik işlevleri sistemin geri kalanından fiziksel ve elektronik olarak izole ederek yüksek bir güvenlik seviyesi sağlaması için tasarlanmıştır.
Bir HSM'nin çalışma şekli, belirli model ve üreticiye bağlı olarak değişebilir, ancak genel olarak aşağıdaki adımlar gerçekleşir:
Anahtar oluşturma: HSM, güvenli bir rastgele sayı üreteci kullanarak rastgele bir kriptografik anahtar oluşturur.
Anahtar depolama: Anahtar, yalnızca yetkili kullanıcılar veya süreçler tarafından erişilebilen HSM içinde güvenli bir şekilde saklanır.
Anahtar yönetimi: HSM, anahtar döngüsü, yedekleme ve iptal gibi bir dizi anahtar yönetim işlevi sağlar.
Kriptografik işlemler: HSM, şifreleme, şifre çözme, dijital imza ve anahtar değişimi gibi bir dizi kriptografik işlem gerçekleştirir. Bu işlemler, HSM'nin güvenli ortamında gerçekleştirilir, bu da yetkisiz erişim ve müdahaleye karşı koruma sağlar.
Denetim günlüğü: HSM, tüm kriptografik işlemleri ve erişim girişimlerini kaydeder, bu da uyum ve güvenlik denetimi amaçları için kullanılabilir.
HSM'ler, güvenli çevrimiçi işlemler, dijital sertifikalar, güvenli iletişim ve veri şifreleme gibi çok çeşitli uygulamalar için kullanılabilir. Genellikle finans, sağlık ve hükümet gibi yüksek güvenlik gerektiren endüstrilerde kullanılır.
Genel olarak, HSM'lerin sağladığı yüksek güvenlik seviyesi, ham anahtarların çıkarılmasını çok zor hale getirir ve bunu denemek genellikle bir güvenlik ihlali olarak kabul edilir. Ancak, belirli senaryolar olabilir ki ham bir anahtar, belirli amaçlar için yetkili personel tarafından çıkarılabilir, örneğin bir anahtar kurtarma prosedürü durumunda.
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)