HSM - Hardware-Sicherheitsmodul

Cloud HSM ist ein FIPS 140 Level Two validiertes Hardwaregerät zur sicheren Speicherung kryptografischer Schlüssel (beachten Sie, dass CloudHSM ein Hardwaregerät ist, kein virtualisierter Dienst). Es handelt sich um ein SafeNetLuna 7000-Gerät mit vorinstallierter Version 5.3.13. Es gibt zwei Firmware-Versionen, und welche Sie wählen, hängt wirklich von Ihren genauen Anforderungen ab. Eine ist für die FIPS 140-2-Konformität und es gab eine neuere Version, die verwendet werden kann.

Das Ungewöhnliche an CloudHSM ist, dass es ein physisches Gerät ist und daher nicht mit anderen Kunden geteilt wird, oder wie es allgemein genannt wird, Multi-Tenant. Es handelt sich um ein dediziertes Single-Tenant-Gerät, das ausschließlich für Ihre Workloads zur Verfügung steht.

In der Regel ist ein Gerät innerhalb von 15 Minuten verfügbar, vorausgesetzt, es gibt Kapazitäten, aber in einigen Zonen könnte dies nicht der Fall sein.

Da es sich um ein physisches Gerät handelt, das Ihnen gewidmet ist, werden die Schlüssel auf dem Gerät gespeichert. Schlüssel müssen entweder auf ein anderes Gerät repliziert, auf offline gespeichert oder auf ein Standby-Gerät exportiert werden. Dieses Gerät wird nicht von S3 oder einem anderen Dienst bei AWS wie KMS unterstützt.

Bei CloudHSM müssen Sie den Dienst selbst skalieren. Sie müssen genügend CloudHSM-Geräte bereitstellen, um die Anforderungen Ihrer Verschlüsselung basierend auf den von Ihnen gewählten Verschlüsselungsalgorithmen zu bewältigen. Das Skalieren des Key Management Service wird von AWS durchgeführt und skaliert automatisch bei Bedarf, sodass mit zunehmender Nutzung auch die Anzahl der erforderlichen CloudHSM-Geräte steigt. Behalten Sie dies im Hinterkopf, während Sie Ihre Lösung skalieren, und stellen Sie sicher, dass Ihre maximale Skalierung mit ausreichend CloudHSM-Geräten für die Lösung berücksichtigt wird.

Wie beim Skalieren liegt die Leistung bei CloudHSM in Ihrer Verantwortung. Die Leistung variiert je nach verwendeten Verschlüsselungsalgorithmus und wie oft Sie auf die Schlüssel zugreifen oder die Schlüssel abrufen müssen, um die Daten zu verschlüsseln. Die Leistung des Key Management Service wird von Amazon verwaltet und skaliert automatisch, wenn die Nachfrage es erfordert. Die Leistung von CloudHSM wird durch Hinzufügen weiterer Geräte erreicht, und wenn Sie mehr Leistung benötigen, fügen Sie entweder Geräte hinzu oder ändern Sie die Verschlüsselungsmethode in einen schnelleren Algorithmus.

Wenn Ihre Lösung multi-regional ist, sollten Sie mehrere CloudHSM-Geräte in der zweiten Region hinzufügen und die Cross-Region-Konnektivität mit einer privaten VPN-Verbindung oder einer Methode sicherstellen, um sicherzustellen, dass der Datenverkehr zwischen den Geräten auf jeder Ebene der Verbindung immer geschützt ist. Wenn Sie eine Lösung mit mehreren Regionen haben, müssen Sie darüber nachdenken, wie Sie Schlüssel replizieren und zusätzliche CloudHSM-Geräte in den Regionen einrichten, in denen Sie tätig sind. Sie könnten schnell in eine Situation geraten, in der Sie sechs oder acht Geräte über mehrere Regionen verteilt haben, um eine vollständige Redundanz Ihrer Verschlüsselungsschlüssel zu ermöglichen.

CloudHSM ist ein Enterprise-Class-Service für die sichere Schlüsselspeicherung und kann als Vertrauensanker für ein Unternehmen verwendet werden. Es kann private Schlüssel in PKI und Zertifizierungsstellen-Schlüssel in X509-Implementierungen speichern. Neben symmetrischen Schlüsseln, die in symmetrischen Algorithmen wie AES verwendet werden, speichert und schützt KMS nur symmetrische Schlüssel physisch (kann nicht als Zertifizierungsstelle fungieren), daher könnte CloudHSM oder zwei oder drei Ihre Lösung sein, wenn Sie PKI- und CA-Schlüssel speichern müssen.

CloudHSM ist wesentlich teurer als der Key Management Service. CloudHSM ist ein Hardwaregerät, sodass Sie Fixkosten für die Bereitstellung des CloudHSM-Geräts haben, dann einen stündlichen Betrag für den Betrieb des Geräts zahlen müssen. Die Kosten werden mit der Anzahl der erforderlichen CloudHSM-Geräte multipliziert, um Ihre spezifischen Anforderungen zu erfüllen. Zusätzlich müssen bei der Anschaffung von Drittanbietersoftware wie SafeNet ProtectV-Softwarepaketen und Integrationszeit und -aufwand berücksichtigt werden. Der Key Management Service basiert auf der Nutzung und hängt von der Anzahl der Schlüssel ab, die Sie haben, sowie von den Ein- und Ausgabeoperationen. Da das Schlüsselmanagement nahtlose Integration mit vielen AWS-Diensten bietet, sollten die Integrationskosten erheblich geringer sein. Kosten sollten als sekundärer Faktor bei Verschlüsselungslösungen betrachtet werden. Verschlüsselung wird typischerweise für Sicherheit und Compliance verwendet.

Mit CloudHSM haben nur Sie Zugriff auf die Schlüssel und ohne zu sehr ins Detail zu gehen, verwalten Sie mit CloudHSM Ihre eigenen Schlüssel. Mit KMS verwalten Sie und Amazon gemeinsam Ihre Schlüssel. AWS hat viele Richtlinienschutzmaßnahmen gegen Missbrauch und kann in keiner der Lösungen auf Ihre Schlüssel zugreifen. Der Hauptunterschied besteht in der Compliance in Bezug auf den Schlüsselbesitz und das Management, und bei CloudHSM handelt es sich um ein Hardwaregerät, das Sie exklusiv verwalten und warten, mit ausschließlichem Zugriff für Sie und nur Sie.

CloudHSM-Empfehlungen

1. Implementieren Sie CloudHSM immer in einem HA-Setup mit mindestens zwei Geräten in getrennten Verfügbarkeitszonen und wenn möglich, implementieren Sie ein drittes entweder lokal oder in einer anderen Region bei AWS.

2. Seien Sie vorsichtig beim Initialisieren eines CloudHSM. Diese Aktion zerstört die Schlüssel, also haben Sie entweder eine Kopie der Schlüssel oder seien Sie absolut sicher, dass Sie diese Schlüssel nicht benötigen und niemals benötigen werden, um Daten zu entschlüsseln.

3. CloudHSM unterstützt nur bestimmte Versionen von Firmware und Software. Bevor Sie ein Update durchführen, stellen Sie sicher, dass die Firmware und/oder Software von AWS unterstützt wird. Sie können sich jederzeit an den AWS-Support wenden, um zu überprüfen, ob der Aktualisierungsleitfaden unklar ist.

4. Die Netzwerkkonfiguration sollte niemals geändert werden. Denken Sie daran, es befindet sich in einem AWS-Rechenzentrum, und AWS überwacht die Basishardware für Sie. Das bedeutet, dass sie es für Sie ersetzen, wenn die Hardware ausfällt, aber nur, wenn sie wissen, dass sie ausgefallen ist.

5. Der SysLog-Weiterleitung sollte nicht entfernt oder geändert werden. Sie können immer einen SysLog-Weiterleiter hinzufügen, um die Protokolle an Ihr eigenes Sammelwerkzeug zu leiten.

6. Die **SNMP-Konfiguration hat die gleichen grundlegenden Einschränkungen wie das Netzwerk und der SysLog-Ordner. Diese sollte nicht geändert oder entfernt werden. Eine zusätzliche SNMP-Konfiguration ist in Ordnung, stellen Sie nur sicher, dass Sie die vorhandene Konfiguration auf dem Gerät nicht ändern.

7. Eine weitere interessante bewährte Praxis von AWS ist es, die NTP-Konfiguration nicht zu ändern. Es ist nicht klar, was passieren würde, wenn Sie es tun würden, also denken Sie daran, dass, wenn Sie nicht dieselbe NTP-Konfiguration für den Rest Ihrer Lösung verwenden, Sie zwei Zeitquellen haben könnten. Seien Sie sich dessen bewusst und wissen Sie, dass das CloudHSM mit der bestehenden NTP-Quelle bleiben muss.

Die anfängliche Startgebühr für CloudHSM beträgt 5.000 USD, um das dedizierte Hardwaregerät für Ihren Gebrauch zuzuweisen, dann fällt eine stündliche Gebühr für den Betrieb von CloudHSM an, die derzeit bei 1,88 USD pro Betriebsstunde liegt oder etwa 1.373 USD pro Monat beträgt.

Der häufigste Grund für die Verwendung von CloudHSM sind Compliance-Standards, die Sie aus regulatorischen Gründen einhalten müssen. KMS bietet keine Datenunterstützung für asymmetrische Schlüssel. CloudHSM ermöglicht es Ihnen, asymmetrische Schlüssel sicher zu speichern.

Der öffentliche Schlüssel wird beim Bereitstellen auf dem HSM-Gerät installiert, sodass Sie über SSH auf die CloudHSM-Instanz zugreifen können.

Was ist ein Hardware-Sicherheitsmodul

Ein Hardware-Sicherheitsmodul (HSM) ist ein dediziertes kryptografisches Gerät, das zur Generierung, Speicherung und Verwaltung kryptografischer Schlüssel und zum Schutz sensibler Daten verwendet wird. Es ist darauf ausgelegt, ein hohes Maß an Sicherheit zu bieten, indem die kryptografischen Funktionen physisch und elektronisch vom Rest des Systems isoliert werden.

Die Funktionsweise eines HSM kann je nach spezifischem Modell und Hersteller variieren, aber im Allgemeinen treten die folgenden Schritte auf:

1. Schlüsselgenerierung: Das HSM generiert einen zufälligen kryptografischen Schlüssel mithilfe eines sicheren Zufallszahlengenerators.

2. Schlüsselspeicherung: Der Schlüssel wird sicher im HSM gespeichert, wo er nur von autorisierten Benutzern oder Prozessen abgerufen werden kann.

3. Schlüsselverwaltung: Das HSM bietet eine Reihe von Schlüsselverwaltungsfunktionen, einschließlich Schlüsselrotation, Backup und Widerruf.

4. Kryptografische Operationen: Das HSM führt eine Reihe von kryptografischen Operationen durch, einschließlich Verschlüsselung, Entschlüsselung, digitale Signatur und Schlüsselaustausch. Diese Operationen werden innerhalb der sicheren Umgebung des HSM durchgeführt, die vor unbefugtem Zugriff und Manipulation schützt.

5. Audit-Protokollierung: Das HSM protokolliert alle kryptografischen Operationen und Zugriffsversuche, die für Compliance- und Sicherheitsprüfungszwecke verwendet werden können.

HSMs können für eine Vielzahl von Anwendungen verwendet werden, darunter sichere Online-Transaktionen, digitale Zertifikate, sichere Kommunikation und Datenverschlüsselung. Sie werden häufig in Branchen eingesetzt, die ein hohes Maß an Sicherheit erfordern, wie Finanzwesen, Gesundheitswesen und Regierung.

Insgesamt macht das hohe Sicherheitsniveau, das von HSMs bereitgestellt wird, es sehr schwierig, Rohschlüssel daraus zu extrahieren, und der Versuch, dies zu tun, wird oft als Sicherheitsverstoß angesehen. Es kann jedoch bestimmte Szenarien geben, in denen ein Rohschlüssel von autorisiertem Personal für spezifische Zwecke extrahiert werden könnte, wie z. B. im Fall eines Schlüsselwiederherstellungsverfahrens.

Enumeration

TODO