AWS - CloudHSM Enum
HSM - Donanım Güvenlik Modülü
Cloud HSM, güvenli şifreleme anahtar depolama için FIPS 140 seviye iki onaylı donanım cihazıdır (CloudHSM bir donanım cihazıdır, sanallaştırılmış bir hizmet değildir). 5.3.13 önceden yüklenmiş SafeNetLuna 7000 cihazıdır. İki firmware sürümü bulunmakta ve hangisini seçeceğiniz tamamen ihtiyaçlarınıza bağlıdır. Bir tanesi FIPS 140-2 uyumluluğu içindir ve daha yeni bir sürüm de kullanılabilir.
CloudHSM'nin olağandışı özelliği, fiziksel bir cihaz olması ve dolayısıyla diğer müşterilerle paylaşılmamasıdır, veya yaygın olarak ifade edildiği gibi çok kiracılı. Bu, yalnızca sizin iş yükleriniz için özel olarak sunulan tek kiracılı bir cihazdır.
Genellikle, kapasite mevcut ise cihaz 15 dakika içinde kullanıma hazır hale gelir, ancak bazı bölgelerde olmayabilir.
Bu fiziksel bir cihaz olduğundan, anahtarlar cihazda depolanır. Anahtarlar ya başka bir cihaza replike edilmeli, çevrimdışı depolamaya yedeklenmeli veya yedek bir cihaza aktarılmalıdır. Bu cihaz, S3 veya KMS gibi AWS'deki başka bir hizmet tarafından desteklenmez.
CloudHSM'de, hizmeti kendiniz ölçeklendirmeniz gerekir. Çözümünüz için uygulamayı seçtiğiniz şifreleme algoritmalarına dayanarak, şifreleme ihtiyaçlarınızı karşılamak için yeterli sayıda CloudHSM cihazı sağlamanız gerekir. Anahtar Yönetimi Servisi'nin ölçeklendirilmesi AWS tarafından gerçekleştirilir ve talebe göre otomatik olarak ölçeklenir, bu nedenle kullanımınız arttıkça gereken CloudHSM cihazlarının sayısı da artabilir. Çözümünüzü ölçeklendirirken bunu göz önünde bulundurun ve çözümünüz otomatik ölçeklendirme özelliğine sahipse, çözümüze hizmet verecek yeterli sayıda CloudHSM cihazının maksimum ölçeğini hesaba katın.
Ölçeklendirme gibi, performans CloudHSM ile size bağlıdır. Performans, kullanılan şifreleme algoritmasına ve verileri şifrelemek için anahtarları ne sıklıkta erişmeniz gerektiğine bağlı olarak değişir. Anahtar yönetimi servisi performansı Amazon tarafından yönetilir ve talep gerektirdiğinde otomatik olarak ölçeklenir. CloudHSM'nin performansı, daha fazla cihaz ekleyerek elde edilir ve daha fazla performans gerekiyorsa ya cihazlar eklenir ya da daha hızlı olan bir şifreleme yöntemine geçilir.
Çözümünüz çoklu bölge ise, ikinci bölgede birkaç CloudHSM cihazı eklemeli ve özel bir VPN bağlantısı ile çapraz bölge bağlantısını çalıştırmalısınız veya trafiğin bağlantının her katmanında her zaman korunduğundan emin olmak için başka bir yöntem kullanmalısınız. Çoklu bölge çözümünüz varsa, anahtarları replike etmeyi ve işlettiğiniz bölgelerde ek CloudHSM cihazları kurmayı düşünmelisiniz. Hızlıca birden fazla bölgeye yayılmış altı veya sekiz cihaza sahip bir senaryoya girebilirsiniz ve şifreleme anahtarlarınızın tam yedekliğini sağlayabilirsiniz.
CloudHSM, güvenli anahtar depolama için kurumsal sınıf bir hizmettir ve bir kuruluşun güven kökü olarak kullanılabilir. PKI'da özel anahtarları ve X509 uygulamalarında sertifika yetkilisi anahtarlarını depolayabilir. AES gibi simetrik algoritmalarında kullanılan simetrik anahtarları fiziksel olarak saklar ve korurken, KMS yalnızca simetrik anahtarları (sertifika yetkilisi olarak hareket edemez) saklar ve korur, bu nedenle PKI ve CA anahtarlarını saklamanız gerekiyorsa bir veya birkaç CloudHSM cihazı çözümünüz olabilir.
CloudHSM, Anahtar Yönetimi Servisinden önemli ölçüde daha pahalıdır. CloudHSM bir donanım cihazı olduğundan, CloudHSM cihazını sağlamak için sabit maliyetlere ve cihazı çalıştırmak için saatlik bir ücrete sahipsiniz. Maliyet, belirli gereksinimlerinizi karşılamak için gereken CloudHSM cihazı sayısına göre çarpılır. Ayrıca, SafeNet ProtectV yazılım paketleri gibi üçüncü taraf yazılımların satın alınması, entegrasyon süresi ve çabası göz önünde bulundurulmalıdır. Anahtar Yönetimi Servisi, kullanım tabanlı bir hizmettir ve sahip olduğunuz anahtar sayısına ve giriş/çıkış işlemlerine bağlıdır. Anahtar yönetimi, birçok AWS hizmetiyle sorunsuz entegrasyon sağladığından, entegrasyon maliyetleri önemli ölçüde daha düşük olmalıdır. Maliyetler, genellikle güvenlik ve uyumluluk için kullanılan şifreleme çözümlerinde ikincil bir faktör olarak düşünülmelidir.
CloudHSM ile yalnızca siz anahtarlara erişebilirsiniz ve çok fazla detaya girmeden, CloudHSM ile kendi anahtarlarınızı yönetirsiniz. KMS ile siz ve Amazon anahtarlarınızı birlikte yönetirsiniz. AWS'nin her iki çözümde de kötüye kullanıma karşı birçok politika koruması vardır ve her iki çözümde de anahtarlarınıza erişemez. Temel fark, anahtar sahipliği ve yönetimi açısından uyumluluktur ve CloudHSM ile, bu sizin ve yalnızca sizin özel erişiminizle yönettiğiniz bir donanım cihazıdır.
CloudHSM Önerileri
Her zaman en az iki cihazın farklı kullanılabilirlik bölgelerinde HA kurulumu ile CloudHSM dağıtın ve mümkünse üçüncü bir cihazı yerinde veya başka bir AWS bölgesinde dağıtın.
Bir CloudHSM'yi başlatırken dikkatli olun. Bu eylem anahtarları yok eder, bu nedenle anahtarların başka bir kopyasına sahip olun veya bu anahtarları hiçbir zaman ve asla verileri şifrelemek için bu anahtarlara ihtiyacınız olmayacağından emin olun.
CloudHSM yalnızca belirli firmware ve yazılım sürümlerini destekler. Herhangi bir güncelleme yapmadan önce, firmware'in veya yazılımın AWS tarafından desteklendiğinden emin olun. Güncelleme kılavuzunun anlaşılmaz olduğu durumlarda AWS destek ekibiyle iletişime geçebilirsiniz.
Ağ yapılandırması asla değiştirilmemelidir. Unutmayın, bu bir AWS veri merkezinde ve AWS, temel donanımı sizin için izliyor. Bu, donanım arızalandığında sadece arızalı donanımı değiştirecekleri anlamına gelir.
SysLog yönlendirmesi kaldırılmamalı veya değiştirilmemelidir. Logları kendi toplama aracınıza yönlendirmek için bir SysLog yönlendirici ekleyebilirsiniz.
SNMP yapılandırması, ağ ve SysLog klasörüyle aynı temel kısıtlamalara sahiptir. Bu değiştirilmemeli veya kaldırılmamalıdır. Ek bir SNMP yapılandırması sorun değil, sadece zaten cihazda bulunanı değiştirmemeniz gerektiğinden emin olun.
AWS'den başka bir ilginç en iyi uygulama, NTP yapılandırmasını değiştirmemeniz gerektiğidir. Eğer değiştirirseniz ne olacağı net değildir, bu nedenle çözümünüzün geri kalanı için aynı NTP yapılandırmasını kullanmıyorsanız iki zaman kaynağınız olabilir. Bu durumun farkında olun ve CloudHSM'nin mevcut NTP kaynağıyla kalması gerektiğini unutmayın.
CloudHSM için ilk başlatma ücreti, size özel ayrılmış donanım cihazını tahsis etmek için 5.000 $'dır, ardından CloudHSM'nin çalıştırılması için saatlik bir ücret vardır ve şu anda işletme başına saatte 1,88 $ veya yaklaşık olarak aylık 1.373 $'dır.
CloudHSM'yi kullanmanın en yaygın nedeni, düzenleyici gereksinimleri karşılamak zorunda olduğunuz uyumluluk standartlarıdır. KMS, asimetrik anahtarlar için veri desteği sunmaz. CloudHSM, asimetrik anahtarları güvenli bir şekilde depolamanıza izin verir.
Genel anahtar, HSM cihazına kurulum sırasında yüklenir böylece SSH aracılığıyla CloudHSM örneğine erişebilirsiniz.
Bir Donanım Güvenlik Modülü Nedir
Bir donanım güvenlik modülü (HSM), kriptografik anahtarları oluşturmak, depolamak ve yönetmek ve hassas verileri korumak için kullanılan özel bir cihazdır. Kriptografik işlevleri sistemden fiziksel ve elektronik olarak izole ederek yüksek düzeyde güvenlik sağlamak üzere tasarlanmıştır.
Bir HSM'nin çalışma şekli, belirli model ve üreticiye bağlı olarak değişebilir, ancak genellikle aşağıdaki adımlar gerçekleşir:
Anahtar oluşturma: HSM, güvenli rastgele sayı üreteci kullanarak rastgele bir kriptografik anahtar oluşturur.
Anahtar depolama: Anahtar, yalnızca yetkili kullanıcılar veya işlemler tarafından erişilebileceği şekilde HSM içinde güvenli bir şekilde depolanır.
Anahtar yönetimi: HSM, anahtar döndürme, yedekleme ve iptal gibi bir dizi anahtar yönetimi işlevi sağlar.
Kriptografik işlemler: HSM, şifreleme, şifre çözme, dijital imza ve anahtar değişimi de dahil olmak üzere çeşitli kriptografik işlemleri gerçekleştirir. Bu işlemler, HSM'nin güvenli ortamında gerçekleştirilir, bu da yetkisiz erişime ve müdahaleye karşı koruma sağlar.
Denetim günlüğü: HSM, tüm kriptografik işlemleri ve erişim girişimlerini kaydeder, bu da uyumluluk ve güvenlik denetimi amaçları için kullanılabilir.
HSM'ler, güvenli çevrimiçi işlemler, dijital sertifikalar, güvenli iletişim ve veri şifreleme dahil olmak üzere geniş bir uygulama yelpazesinde kullanılabilir. Genellikle yüksek düzeyde güvenlik gerektiren finans, sağlık ve hükümet gibi endüstrilerde kullanılırlar.
Genel olarak, HSM'ler tarafından sağlanan yüksek güvenlik seviyesi, onlardan ham anahtarların çıkarılmasını çok zor hale getirir ve bunu denemek genellikle bir güvenlik ihlali olarak kabul edilir. Bununla birlikte, belirli senaryolarda, örneğin bir anahtar kurtarma prosedüründe olduğu gibi, yetkili personel tarafından belirli amaçlar için ham bir anahtar çıkarılabilir.
Numaralandırma
Last updated