AWS - CloudHSM Enum

HSM - Модуль апаратної безпеки

Cloud HSM - це апаратний пристрій, що відповідає стандарту FIPS 140 рівня два для безпечного зберігання криптографічних ключів (зауважте, що CloudHSM є апаратним пристроєм, це не віртуалізована служба). Це пристрій SafeNetLuna 7000 з попередньо завантаженою версією 5.3.13. Є дві версії прошивки, і вибір залежить від ваших конкретних потреб. Одна з них призначена для відповідності FIPS 140-2, а інша - новіша, яку можна використовувати.

Незвичайною особливістю CloudHSM є те, що це фізичний пристрій, і тому він не ділиться з іншими клієнтами, або, як це зазвичай називають, багатокористувацький. Це спеціалізований пристрій для одного користувача, доступний виключно для ваших навантажень.

Зазвичай пристрій доступний протягом 15 хвилин, якщо є потужність, але в деяких зонах це може бути не так.

Оскільки це фізичний пристрій, присвячений вам, ключі зберігаються на пристрої. Ключі потрібно або реплікувати на інший пристрій, резервувати в офлайн-сховищі, або експортувати на резервний пристрій. Цей пристрій не підтримується S3 або будь-якою іншою службою AWS, такою як KMS.

У CloudHSM ви повинні масштабувати службу самостійно. Вам потрібно надати достатню кількість пристроїв CloudHSM, щоб впоратися з вашими потребами в шифруванні на основі обраних вами алгоритмів шифрування для вашого рішення. Масштабування служби управління ключами виконується AWS і автоматично масштабується за запитом, тому, коли ваше використання зростає, може зростати і кількість необхідних пристроїв CloudHSM. Майте це на увазі, коли ви масштабуєте своє рішення, і якщо ваше рішення має автоматичне масштабування, переконайтеся, що ваш максимальний масштаб враховує достатню кількість пристроїв CloudHSM для обслуговування рішення.

Так само, як і масштабування, продуктивність залежить від вас у CloudHSM. Продуктивність варіюється в залежності від того, який алгоритм шифрування використовується, і від того, як часто вам потрібно отримувати або витягувати ключі для шифрування даних. Продуктивність служби управління ключами обробляється Amazon і автоматично масштабується відповідно до вимог. Продуктивність CloudHSM досягається шляхом додавання більше пристроїв, і якщо вам потрібна більша продуктивність, ви або додаєте пристрої, або змінюєте метод шифрування на алгоритм, який є швидшим.

Якщо ваше рішення є багато-регіональним, вам слід додати кілька пристроїв CloudHSM у другому регіоні та налагодити міжрегіональне з'єднання за допомогою приватного VPN-з'єднання або якимось способом, щоб забезпечити захист трафіку на кожному рівні з'єднання. Якщо у вас є багато-регіональне рішення, вам потрібно подумати про те, як реплікувати ключі та налаштувати додаткові пристрої CloudHSM у регіонах, де ви працюєте. Ви можете дуже швидко потрапити в ситуацію, коли у вас є шість або вісім пристроїв, розподілених по кількох регіонах, що забезпечує повну резервність ваших шифрувальних ключів.

CloudHSM - це сервіс класу підприємства для безпечного зберігання ключів і може використовуватися як корінь довіри для підприємства. Він може зберігати приватні ключі в PKI та ключі сертифікаційних центрів у реалізаціях X509. На додаток до симетричних ключів, що використовуються в симетричних алгоритмах, таких як AES, KMS зберігає та фізично захищає лише симетричні ключі (не може діяти як сертифікаційний центр), тому якщо вам потрібно зберігати ключі PKI та CA, один або два або три CloudHSM можуть бути вашим рішенням.

CloudHSM значно дорожчий за службу управління ключами. CloudHSM - це апаратний пристрій, тому у вас є фіксовані витрати на надання пристрою CloudHSM, а потім погодинна плата за роботу пристрою. Вартість множиться на кількість пристроїв CloudHSM, які потрібні для досягнення ваших конкретних вимог. Крім того, слід врахувати витрати на придбання програмного забезпечення сторонніх виробників, такого як програмні комплекти SafeNet ProtectV, а також час і зусилля на інтеграцію. Служба управління ключами є заснованою на використанні і залежить від кількості ключів, які у вас є, та операцій введення та виведення. Оскільки управління ключами забезпечує безшовну інтеграцію з багатьма службами AWS, витрати на інтеграцію повинні бути значно нижчими. Витрати слід вважати вторинним фактором у рішеннях щодо шифрування. Шифрування зазвичай використовується для безпеки та відповідності.

Тільки ви маєте доступ до ключів у CloudHSM і без зайвих деталей, з CloudHSM ви керуєте своїми власними ключами. З KMS ви та Amazon спільно керуєте вашими ключами. AWS має багато політик безпеки проти зловживань і все ще не може отримати доступ до ваших ключів у жодному з рішень. Основна відмінність полягає в дотриманні вимог, що стосуються власності та управління ключами, і з CloudHSM це апаратний пристрій, яким ви керуєте та підтримуєте з виключним доступом тільки для вас.

Рекомендації щодо CloudHSM

1. Завжди розгортайте CloudHSM у HA налаштуванні з принаймні двома пристроями в окремих зонах доступності, і якщо можливо, розгорніть третій або на місці, або в іншому регіоні AWS.

2. Будьте обережні при ініціалізації CloudHSM. Ця дія знищить ключі, тому або майте іншу копію ключів, або будьте абсолютно впевнені, що вам не знадобляться ці ключі для розшифрування будь-яких даних.

3. CloudHSM підтримує лише певні версії прошивки та програмного забезпечення. Перед виконанням будь-якого оновлення переконайтеся, що прошивка та/або програмне забезпечення підтримуються AWS. Ви завжди можете звернутися до служби підтримки AWS, щоб перевірити, якщо посібник з оновлення неясний.

4. Конфігурацію мережі ніколи не слід змінювати. Пам'ятайте, що це в центрі обробки даних AWS, і AWS моніторить базове обладнання для вас. Це означає, що якщо обладнання вийде з ладу, вони замінять його для вас, але тільки якщо вони знають, що воно вийшло з ладу.

5. Пересилання SysLog не слід видаляти або змінювати. Ви завжди можете додати пересилання SysLog, щоб направити журнали до вашого власного інструменту збору.

6. Конфігурація SNMP має ті ж основні обмеження, що й мережа та папка SysLog. Це не слід змінювати або видаляти. Додаткова конфігурація SNMP є нормальною, просто переконайтеся, що ви не змінюєте ту, що вже є на пристрої.

7. Ще одна цікава найкраща практика від AWS - не змінювати конфігурацію NTP. Неясно, що станеться, якщо ви це зробите, тому пам'ятайте, що якщо ви не використовуєте ту ж конфігурацію NTP для решти вашого рішення, то у вас можуть бути два джерела часу. Просто будьте обережні з цим і знайте, що CloudHSM повинен залишатися з існуючим джерелом NTP.

Початкова плата за запуск CloudHSM становить 5,000 доларів США за виділення апаратного пристрою, призначеного для вашого використання, а потім є погодинна плата за роботу CloudHSM, яка наразі становить 1.88 доларів США за годину роботи, або приблизно 1,373 доларів США на місяць.

Найпоширеніша причина використання CloudHSM - це стандарти відповідності, які ви повинні дотримуватися з регуляторних причин. KMS не пропонує підтримку даних для асиметричних ключів. CloudHSM дозволяє вам безпечно зберігати асиметричні ключі.

Публічний ключ встановлюється на пристрої HSM під час надання так що ви можете отримати доступ до екземпляра CloudHSM через SSH.

Що таке модуль апаратної безпеки

Модуль апаратної безпеки (HSM) - це спеціалізований криптографічний пристрій, який використовується для генерації, зберігання та управління криптографічними ключами та захисту чутливих даних. Він призначений для забезпечення високого рівня безпеки шляхом фізичного та електронного ізолювання криптографічних функцій від решти системи.

Спосіб роботи HSM може варіюватися в залежності від конкретної моделі та виробника, але зазвичай відбуваються такі кроки:

1. Генерація ключа: HSM генерує випадковий криптографічний ключ за допомогою безпечного генератора випадкових чисел.

2. Зберігання ключа: Ключ надійно зберігається всередині HSM, де до нього можуть отримати доступ лише авторизовані користувачі або процеси.

3. Управління ключами: HSM надає ряд функцій управління ключами, включаючи ротацію ключів, резервне копіювання та відкликання.

4. Криптографічні операції: HSM виконує ряд криптографічних операцій, включаючи шифрування, розшифрування, цифровий підпис та обмін ключами. Ці операції виконуються в безпечному середовищі HSM, що захищає від несанкціонованого доступу та підробки.

5. Журналювання аудиту: HSM реєструє всі криптографічні операції та спроби доступу, які можуть бути використані для цілей відповідності та аудиту безпеки.

HSM можуть використовуватися для широкого спектру застосувань, включаючи безпечні онлайн-транзакції, цифрові сертифікати, безпечні комунікації та шифрування даних. Вони часто використовуються в галузях, які вимагають високого рівня безпеки, таких як фінанси, охорона здоров'я та уряд.

В цілому, високий рівень безпеки, що забезпечується HSM, робить дуже складним витягування сирих ключів з них, і спроби зробити це часто вважаються порушенням безпеки. Однак можуть бути певні сценарії, коли сирий ключ може бути витягнутий авторизованим персоналом для конкретних цілей, таких як у випадку процедури відновлення ключів.

Перерахування

TODO