Español - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

AWS - CloudHSM Enum

Aprende hacking en AWS desde cero hasta experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

HSM - Módulo de Seguridad de Hardware

Cloud HSM es un dispositivo de hardware validado a nivel FIPS 140 para el almacenamiento seguro de claves criptográficas (ten en cuenta que CloudHSM es un dispositivo de hardware, no es un servicio virtualizado). Es un dispositivo SafeNetLuna 7000 con la versión 5.3.13 precargada. Hay dos versiones de firmware y la elección depende de tus necesidades exactas. Una es para cumplir con FIPS 140-2 y hay una versión más nueva que se puede utilizar.

La característica inusual de CloudHSM es que es un dispositivo físico y, por lo tanto, no se comparte con otros clientes, o como comúnmente se denomina, multiinquilino. Es un dispositivo exclusivo de un solo inquilino dedicado exclusivamente a tus cargas de trabajo.

Por lo general, un dispositivo está disponible en 15 minutos, suponiendo que haya capacidad, pero en algunas zonas podría no estarlo.

Dado que este es un dispositivo físico dedicado a ti, las claves se almacenan en el dispositivo. Las claves deben ser replicadas a otro dispositivo, respaldadas en almacenamiento sin conexión o exportadas a un dispositivo en espera. Este dispositivo no está respaldado por S3 ni por ningún otro servicio en AWS como KMS.

En CloudHSM, debes escalar el servicio tú mismo. Debes aprovisionar suficientes dispositivos CloudHSM para manejar tus necesidades de cifrado basadas en los algoritmos de cifrado que hayas elegido para implementar en tu solución. El escalado del Servicio de Gestión de Claves lo realiza AWS y se escala automáticamente según la demanda, por lo que a medida que crece tu uso, también puede aumentar el número de dispositivos CloudHSM necesarios. Ten esto en cuenta al escalar tu solución y si tu solución tiene autoescalado, asegúrate de que tu escala máxima esté considerada con suficientes dispositivos CloudHSM para atender la solución.

Al igual que con el escalado, el rendimiento depende de ti con CloudHSM. El rendimiento varía según el algoritmo de cifrado utilizado y con qué frecuencia necesitas acceder o recuperar las claves para cifrar los datos. El rendimiento del servicio de gestión de claves es manejado por Amazon y se escala automáticamente según lo requiera la demanda. El rendimiento de CloudHSM se logra agregando más dispositivos y si necesitas más rendimiento, debes agregar dispositivos o modificar el método de cifrado al algoritmo que sea más rápido.

Si tu solución es multi-región, debes agregar varios dispositivos CloudHSM en la segunda región y establecer la conectividad entre regiones con una conexión VPN privada o algún método para garantizar que el tráfico esté siempre protegido entre los dispositivos en cada capa de la conexión. Si tienes una solución multi-región, debes pensar en cómo replicar claves y configurar dispositivos CloudHSM adicionales en las regiones donde operas. Rápidamente puedes encontrarte en un escenario donde tengas seis u ocho dispositivos distribuidos en múltiples regiones, permitiendo una redundancia completa de tus claves de cifrado.

CloudHSM es un servicio de clase empresarial para el almacenamiento seguro de claves y puede utilizarse como una raíz de confianza para una empresa. Puede almacenar claves privadas en PKI y claves de autoridad de certificación en implementaciones X509. Además de las claves simétricas utilizadas en algoritmos simétricos como AES, KMS almacena y protege físicamente solo claves simétricas (no puede actuar como una autoridad de certificación), por lo que si necesitas almacenar claves PKI y CA, un CloudHSM o dos o tres podrían ser tu solución.

CloudHSM es considerablemente más caro que el Servicio de Gestión de Claves. CloudHSM es un dispositivo de hardware, por lo que tienes costos fijos para aprovisionar el dispositivo CloudHSM, luego un costo por hora para ejecutar el dispositivo. El costo se multiplica por la cantidad de dispositivos CloudHSM necesarios para cumplir con tus requisitos específicos. Además, se debe considerar la compra de software de terceros como las suites de software SafeNet ProtectV y el tiempo y esfuerzo de integración. El Servicio de Gestión de Claves se basa en el uso y depende de la cantidad de claves que tengas y de las operaciones de entrada y salida. Dado que la gestión de claves proporciona una integración perfecta con muchos servicios de AWS, los costos de integración deberían ser significativamente más bajos. Los costos deben considerarse como un factor secundario en las soluciones de cifrado. El cifrado se utiliza típicamente por seguridad y cumplimiento normativo.

Con CloudHSM solo tú tienes acceso a las claves y sin entrar en demasiados detalles, con CloudHSM gestionas tus propias claves. Con KMS, tú y Amazon co-gestionan tus claves. AWS tiene muchas salvaguardias de políticas contra el abuso y aún no puede acceder a tus claves en ninguna de las soluciones. La principal distinción es el cumplimiento en lo que respecta a la propiedad y gestión de claves, y con CloudHSM, este es un dispositivo de hardware que gestionas y mantienes con acceso exclusivo para ti y solo para ti.

Sugerencias de CloudHSM

  1. Siempre despliega CloudHSM en una configuración de alta disponibilidad con al menos dos dispositivos en zonas de disponibilidad separadas, y si es posible, despliega un tercero ya sea en las instalaciones o en otra región en AWS.

  2. Ten cuidado al inicializar un CloudHSM. Esta acción destruirá las claves, así que asegúrate de tener otra copia de las claves o estar absolutamente seguro de que no necesitas y nunca, jamás necesitarás estas claves para descifrar ningún dato.

  3. CloudHSM solo admite ciertas versiones de firmware y software. Antes de realizar cualquier actualización, asegúrate de que el firmware y/o software sea compatible con AWS. Si la guía de actualización no es clara, siempre puedes contactar al soporte de AWS para verificar.

  4. La configuración de red nunca debe cambiarse. Recuerda, está en un centro de datos de AWS y AWS está monitoreando el hardware base por ti. Esto significa que si el hardware falla, lo reemplazarán por ti, pero solo si saben que falló.

  5. El reenvío de SysLog no debe eliminarse ni cambiarse. Siempre puedes agregar un reenviador de SysLog para dirigir los registros a tu propia herramienta de recopilación.

  6. La configuración de SNMP tiene las mismas restricciones básicas que la red y la carpeta de SysLog. Esto no debe cambiarse ni eliminarse. Una configuración SNMP adicional está bien, solo asegúrate de no cambiar la que ya está en el dispositivo.

  7. Otra práctica recomendada interesante de AWS es no cambiar la configuración de NTP. No está claro qué sucedería si lo hicieras, así que ten en cuenta que si no usas la misma configuración de NTP para el resto de tu solución, podrías tener dos fuentes de tiempo. Solo ten en cuenta esto y sabe que el CloudHSM debe permanecer con la fuente de NTP existente.

El cargo inicial por el lanzamiento de CloudHSM es de $5,000 para asignar el dispositivo de hardware dedicado para tu uso, luego hay un cargo por hora asociado con la ejecución de CloudHSM que actualmente es de $1.88 por hora de operación, o aproximadamente $1,373 por mes.

La razón más común para usar CloudHSM son los estándares de cumplimiento que debes cumplir por razones regulatorias. KMS no ofrece soporte de datos para claves asimétricas. CloudHSM te permite almacenar claves asimétricas de forma segura.

La clave pública se instala en el dispositivo HSM durante la provisión para que puedas acceder a la instancia de CloudHSM a través de SSH.

¿Qué es un Módulo de Seguridad de Hardware?

Un módulo de seguridad de hardware (HSM) es un dispositivo criptográfico dedicado que se utiliza para generar, almacenar y gestionar claves criptográficas y proteger datos sensibles. Está diseñado para proporcionar un alto nivel de seguridad al aislar física y electrónicamente las funciones criptográficas del resto del sistema.

La forma en que funciona un HSM puede variar dependiendo del modelo y fabricante específico, pero generalmente, ocurren los siguientes pasos:

  1. Generación de claves: El HSM genera una clave criptográfica aleatoria utilizando un generador de números aleatorios seguro.

  2. Almacenamiento de claves: La clave se almacena de forma segura dentro del HSM, donde solo puede ser accedida por usuarios o procesos autorizados.

  3. Gestión de claves: El HSM proporciona una variedad de funciones de gestión de claves, incluida la rotación de claves, copias de seguridad y revocación.

  4. Operaciones criptográficas: El HSM realiza una variedad de operaciones criptográficas, incluido cifrado, descifrado, firma digital e intercambio de claves. Estas operaciones se realizan dentro del entorno seguro del HSM, que protege contra accesos no autorizados y manipulaciones.

  5. Registro de auditoría: El HSM registra todas las operaciones criptográficas y intentos de acceso, que pueden ser utilizados con fines de auditoría de cumplimiento y seguridad.

Los HSM se pueden utilizar para una amplia gama de aplicaciones, incluidas transacciones en línea seguras, certificados digitales, comunicaciones seguras y cifrado de datos. A menudo se utilizan en industrias que requieren un alto nivel de seguridad, como finanzas, atención médica y gobierno.

En general, el alto nivel de seguridad proporcionado por los HSM hace que sea muy difícil extraer claves en bruto de ellos, y intentar hacerlo a menudo se considera una violación de la seguridad. Sin embargo, puede haber ciertos escenarios donde una clave en bruto podría ser extraída por personal autorizado para fines específicos, como en el caso de un procedimiento de recuperación de claves.

Enumeración

TODO
Aprende hacking en AWS de cero a héroe con htARTE (Experto en Red Team de HackTricks AWS)!

Otras formas de apoyar a HackTricks:

AnteriorAWS - CloudFormation & Codestar EnumSiguienteAWS - CloudFront Enum

Última actualización