AWS - CloudHSM Enum

从零开始学习 AWS 黑客技术，成为专家 htARTE（HackTricks AWS 红队专家）！

支持 HackTricks 的其他方式：

如果您想看到您的公司在 HackTricks 中做广告或下载 PDF 版的 HackTricks，请查看订阅计划!
获取官方 PEASS & HackTricks 商品
探索PEASS 家族，我们的独家NFT收藏品
加入 💬 Discord 群组 或 电报群组 或在 Twitter 🐦 @hacktricks_live** 上关注我们**。
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享您的黑客技巧。

HSM - 硬件安全模块

Cloud HSM 是一个经过 FIPS 140 二级验证的硬件设备，用于安全的加密密钥存储（请注意，CloudHSM 是一个硬件设备，不是虚拟化服务）。它是一个预装了 5.3.13 版本的 SafeNetLuna 7000 设备。有两个固件版本，你选择哪一个取决于你的确切需求。一个是用于 FIPS 140-2 合规性的，还有一个可以使用的更新版本。

CloudHSM 的不同之处在于它是一个物理设备，因此不与其他客户共享，或者通常所说的多租户。它是专门为您的工作负载提供的专用单租户设备。

通常，如果有足够的容量，设备在 15 分钟内可用，但在某些区域可能不可用。

由于这是一个专门为您提供的物理设备，密钥存储在设备上。密钥需要被复制到另一个设备，备份到离线存储，或者导出到备用设备。此设备不受 S3 或 AWS 的任何其他服务（如 KMS）支持。

在 CloudHSM 中，您必须自行扩展服务。您必须提供足够的 CloudHSM 设备来处理您根据您选择为解决方案实施的加密算法确定的加密需求。密钥管理服务的扩展由 AWS 执行，并根据需求自动扩展，因此随着您的使用量增长，所需的 CloudHSM 设备数量也可能增加。在扩展解决方案时，请记住这一点，如果您的解决方案具有自动扩展功能，请确保您的最大扩展量考虑到了足够的 CloudHSM 设备来服务解决方案。

与扩展类似，CloudHSM 的性能取决于您。性能根据使用的加密算法以及您需要多频繁访问或检索密钥以加密数据而变化。密钥管理服务的性能由亚马逊处理，并根据需求自动扩展。通过添加更多设备来实现 CloudHSM 的性能，并且如果需要更多性能，则可以添加设备或更改加密方法以使用更快的算法。

如果您的解决方案是多区域的，您应该在第二区域添加几个CloudHSM 设备，并通过私人 VPN 连接或某种方法解决跨区域连接，以确保流量始终在每个连接层保护。如果您有多区域解决方案，您需要考虑如何复制密钥并在您运营的区域设置额外的 CloudHSM 设备。您很快就会发现自己在多个区域分布了六个或八个设备的情况，从而实现对加密密钥的完全冗余。

CloudHSM 是一个用于安全密钥存储的企业级服务，可用作企业的信任根。它可以在 PKI 中存储私钥和在 X509 实现中存储证书颁发机构密钥。除了对称算法中使用的对称密钥（如 AES）外，KMS 仅存储和物理保护对称密钥（无法充当证书颁发机构），因此，如果您需要存储 PKI 和 CA 密钥，一个、两个或三个 CloudHSM 可能是您的解决方案。

CloudHSM 的成本比密钥管理服务高得多。CloudHSM 是一个硬件设备，因此您需要固定成本来提供 CloudHSM 设备，然后需要按小时计费来运行设备。成本将乘以所需的 CloudHSM 设备数量来实现您的特定需求。此外，必须在购买第三方软件（如 SafeNet ProtectV 软件套件）和集成时间和精力方面进行交叉考虑。密钥管理服务是基于使用量的，取决于您拥有的密钥数量以及输入和输出操作。由于密钥管理与许多 AWS 服务实现了无缝集成，集成成本应该明显较低。成本应该被视为加密解决方案的次要因素。加密通常用于安全性和合规性。

只有您可以访问 CloudHSM 中的密钥，而不详细介绍，使用 CloudHSM，您管理自己的密钥。使用 KMS，您和亚马逊共同管理您的密钥。AWS 在任何解决方案中都有许多针对滥用的策略保障，并且仍然无法访问您的密钥。主要区别在于与密钥所有权和管理相关的合规性，以及对于 CloudHSM，这是一个硬件设备，您独立访问并维护，只有您可以访问。

CloudHSM 建议

始终在HA 设置中部署 CloudHSM，至少有两个设备在不同的可用区，如果可能的话，在本地或 AWS 的另一个区域部署第三个设备。
在初始化 CloudHSM 时要小心。此操作将销毁密钥，因此要么有另一个密钥的副本，要么确保您绝对不需要这些密钥来解密任何数据。
CloudHSM 仅支持特定版本的固件和软件。在执行任何更新之前，请确保固件和/或软件受 AWS 支持。您可以随时联系 AWS 支持以验证升级指南是否不清晰。
网络配置不应更改。请记住，它位于 AWS 数据中心，AWS 正在为您监控基础硬件。这意味着如果硬件出现故障，他们将为您更换，但前提是他们知道它出现故障。
SysLog 转发不应被移除或更改。您可以始终添加一个 SysLog 转发器将日志定向到您自己的收集工具。
SNMP 配置与网络和 SysLog 文件夹具有相同的基本限制。这不应更改或删除。添加额外的 SNMP 配置是可以的，只需确保您不更改已在设备上的配置。
AWS 的另一个有趣的最佳实践是不更改 NTP 配置。如果更改了，不清楚会发生什么，因此请记住，如果您不为解决方案的其余部分使用相同的 NTP 配置，则可能会有两个时间源。只需注意这一点，并知道 CloudHSM 必须保持现有的 NTP 源。

CloudHSM 的初始启动费用为 5,000 美元，用于分配专门为您使用的硬件设备，然后有与运行 CloudHSM 相关的按小时计费，目前为每小时 1.88 美元的运行费用，或大约每月 1,373 美元。

使用 CloudHSM 的最常见原因是您必须满足监管要求的合规标准。KMS 不支持对称密钥的数据支持。CloudHSM 可让您安全存储非对称密钥。

公钥在初始化期间安装在 HSM 设备上，因此您可以通过 SSH 访问 CloudHSM 实例。

什么是硬件安全模块

硬件安全模块（HSM）是一种专用的加密设备，用于生成、存储和管理加密密钥并保护敏感数据。它旨在通过将加密功能在物理和电子上与系统的其余部分隔离来提供高级别的安全性。

HSM的工作方式可能因特定型号和制造商而异，但通常会发生以下步骤：

密钥生成：HSM使用安全的随机数生成器生成随机的加密密钥。
密钥存储：密钥被安全地存储在HSM内部，只有经授权的用户或进程才能访问。
密钥管理：HSM提供一系列密钥管理功能，包括密钥轮换、备份和吊销。
加密操作：HSM执行一系列加密操作，包括加密、解密、数字签名和密钥交换。这些操作是在HSM的安全环境中执行，可防止未经授权的访问和篡改。
审计日志记录：HSM记录所有加密操作和访问尝试，可用于合规性和安全审计目的。

HSM可用于各种应用程序，包括安全在线交易、数字证书、安全通信和数据加密。它们通常用于需要高级别安全性的行业，如金融、医疗保健和政府。

总的来说，HSM提供的高级别安全性使得从中提取原始密钥非常困难，而尝试这样做通常被视为安全漏洞。但是，可能存在某些情况，经授权人员可以提取原始密钥以用于特定目的，例如在密钥恢复过程中。

枚举

TODO

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS红队专家）！

其他支持HackTricks的方式：

如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks，请查看订阅计划!
获取官方PEASS & HackTricks周边产品
探索PEASS家族，我们的独家NFTs
加入 💬 Discord群 或 电报群 或关注我们的Twitter 🐦 @hacktricks_live。
通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。

PreviousAWS - CloudFormation & Codestar Enum NextAWS - CloudFront Enum

Last updated 6 months ago