AWS - CloudHSM Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Cloud HSM - це апаратний пристрій, що відповідає стандарту FIPS 140 рівня два для безпечного зберігання криптографічних ключів (зауважте, що CloudHSM є апаратним пристроєм, це не віртуалізована служба). Це пристрій SafeNetLuna 7000 з попередньо завантаженою версією 5.3.13. Є дві версії прошивки, і вибір залежить від ваших конкретних потреб. Одна з них призначена для відповідності FIPS 140-2, а інша - новіша, яку можна використовувати.
Незвичайною особливістю CloudHSM є те, що це фізичний пристрій, і тому він не ділиться з іншими клієнтами, або, як це зазвичай називають, багатокористувацький. Це спеціалізований пристрій для одного користувача, доступний виключно для ваших навантажень.
Зазвичай пристрій доступний протягом 15 хвилин, якщо є потужність, але в деяких зонах цього може не бути.
Оскільки це фізичний пристрій, присвячений вам, ключі зберігаються на пристрої. Ключі потрібно або реплікувати на інший пристрій, резервувати в офлайн-сховищі, або експортувати на резервний пристрій. Цей пристрій не підкріплений S3 або будь-якою іншою службою AWS, як KMS.
У CloudHSM ви повинні масштабувати службу самостійно. Вам потрібно надати достатню кількість пристроїв CloudHSM, щоб впоратися з вашими потребами в шифруванні, виходячи з алгоритмів шифрування, які ви вибрали для реалізації вашого рішення. Масштабування служби управління ключами виконується AWS і автоматично масштабується за запитом, тому, коли ваше використання зростає, може зрости і кількість необхідних пристроїв CloudHSM. Майте це на увазі, коли ви масштабуєте своє рішення, і якщо ваше рішення має автоматичне масштабування, переконайтеся, що ваш максимальний масштаб враховує достатню кількість пристроїв CloudHSM для обслуговування рішення.
Так само, як і масштабування, продуктивність залежить від вас у CloudHSM. Продуктивність варіюється в залежності від того, який алгоритм шифрування використовується, і від того, як часто вам потрібно отримувати або витягувати ключі для шифрування даних. Продуктивність служби управління ключами обробляється Amazon і автоматично масштабується відповідно до вимог. Продуктивність CloudHSM досягається шляхом додавання більшої кількості пристроїв, і якщо вам потрібна більша продуктивність, ви або додаєте пристрої, або змінюєте метод шифрування на алгоритм, який є швидшим.
Якщо ваше рішення є багато-регіональним, вам слід додати кілька пристроїв CloudHSM у другому регіоні та налагодити міжрегіональне з'єднання за допомогою приватного VPN-з'єднання або якимось методом, щоб забезпечити захист трафіку на кожному рівні з'єднання. Якщо у вас є багато-регіональне рішення, вам потрібно подумати про те, як реплікувати ключі та налаштувати додаткові пристрої CloudHSM у регіонах, де ви працюєте. Ви можете дуже швидко потрапити в ситуацію, коли у вас є шість або вісім пристроїв, розподілених по кількох регіонах, що забезпечує повну резервність ваших шифрувальних ключів.
CloudHSM - це сервіс класу підприємства для безпечного зберігання ключів і може використовуватися як корінь довіри для підприємства. Він може зберігати приватні ключі в PKI та ключі сертифікаційних центрів у реалізаціях X509. На додаток до симетричних ключів, що використовуються в симетричних алгоритмах, таких як AES, KMS зберігає та фізично захищає лише симетричні ключі (не може діяти як сертифікаційний центр), тому якщо вам потрібно зберігати ключі PKI та CA, один або два або три CloudHSM можуть бути вашим рішенням.
CloudHSM значно дорожчий за службу управління ключами. CloudHSM - це апаратний пристрій, тому у вас є фіксовані витрати на постачання пристрою CloudHSM, а потім погодинна плата за його експлуатацію, яка наразі становить $1.88 за годину роботи, або приблизно $1,373 на місяць.
Найпоширеніша причина використання CloudHSM - це стандарти відповідності, які ви повинні дотримуватися з регуляторних причин. KMS не пропонує підтримку даних для асиметричних ключів. CloudHSM дозволяє вам безпечно зберігати асиметричні ключі.
Публічний ключ встановлюється на пристрої HSM під час постачання, щоб ви могли отримати доступ до екземпляра CloudHSM через SSH.
Модуль апаратної безпеки (HSM) - це спеціалізований криптографічний пристрій, який використовується для генерації, зберігання та управління криптографічними ключами та захисту чутливих даних. Він призначений для забезпечення високого рівня безпеки шляхом фізичного та електронного ізолювання криптографічних функцій від решти системи.
Спосіб роботи HSM може варіюватися в залежності від конкретної моделі та виробника, але зазвичай відбуваються такі кроки:
Генерація ключа: HSM генерує випадковий криптографічний ключ за допомогою безпечного генератора випадкових чисел.
Зберігання ключа: Ключ надійно зберігається всередині HSM, де до нього можуть отримати доступ лише авторизовані користувачі або процеси.
Управління ключами: HSM надає ряд функцій управління ключами, включаючи ротацію ключів, резервне копіювання та відкликання.
Криптографічні операції: HSM виконує ряд криптографічних операцій, включаючи шифрування, розшифрування, цифровий підпис та обмін ключами. Ці операції виконуються в безпечному середовищі HSM, що захищає від несанкціонованого доступу та підробки.
Аудит журналювання: HSM реєструє всі криптографічні операції та спроби доступу, які можуть бути використані для цілей відповідності та безпеки.
HSM можуть використовуватися для широкого спектру застосувань, включаючи безпечні онлайн-транзакції, цифрові сертифікати, безпечні комунікації та шифрування даних. Вони часто використовуються в галузях, які вимагають високого рівня безпеки, таких як фінанси, охорона здоров'я та уряд.
В цілому, високий рівень безпеки, що забезпечується HSM, робить дуже складним витягування сирих ключів з них, і спроби зробити це часто вважаються порушенням безпеки. Однак можуть бути окремі сценарії, коли сирий ключ може бути витягнутий авторизованим персоналом для конкретних цілей, таких як у випадку процедури відновлення ключів.
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)