HSM - Module de sécurité matérielle

Cloud HSM est un dispositif matériel validé de niveau deux FIPS 140 pour le stockage sécurisé de clés cryptographiques (notez que CloudHSM est un appareil matériel, ce n'est pas un service virtualisé). Il s'agit d'un appareil SafeNetLuna 7000 préchargé avec la version 5.3.13. Il existe deux versions de firmware et le choix dépend vraiment de vos besoins exacts. L'une est pour la conformité FIPS 140-2 et il y avait une version plus récente qui peut être utilisée.

La caractéristique inhabituelle de CloudHSM est qu'il s'agit d'un appareil physique, et donc il n'est pas partagé avec d'autres clients, ou comme on le dit communément, multi-locataire. Il s'agit d'un appareil dédié à un seul locataire exclusivement mis à la disposition de vos charges de travail.

Généralement, un appareil est disponible en 15 minutes si la capacité est disponible, mais dans certaines zones, cela pourrait ne pas être le cas.

Étant donné qu'il s'agit d'un appareil physique qui vous est dédié, les clés sont stockées sur l'appareil. Les clés doivent être soit répliquées sur un autre appareil, sauvegardées sur un stockage hors ligne, ou exportées vers un appareil de secours. Cet appareil n'est pas sauvegardé par S3 ou tout autre service chez AWS comme KMS.

Dans CloudHSM, vous devez mettre en place le service vous-même. Vous devez provisionner suffisamment d'appareils CloudHSM pour gérer vos besoins en matière de chiffrement en fonction des algorithmes de chiffrement que vous avez choisis pour mettre en œuvre votre solution. La mise à l'échelle du service de gestion des clés est effectuée par AWS et se met automatiquement à l'échelle en fonction de la demande, donc à mesure que votre utilisation augmente, le nombre d'appareils CloudHSM nécessaires pourrait également augmenter. Gardez cela à l'esprit lorsque vous mettez à l'échelle votre solution et si votre solution a un auto-scaling, assurez-vous que votre échelle maximale est prise en compte avec suffisamment d'appareils CloudHSM pour servir la solution.

Tout comme la mise à l'échelle, la performance dépend de vous avec CloudHSM. La performance varie en fonction de l'algorithme de chiffrement utilisé et de la fréquence à laquelle vous devez accéder ou récupérer les clés pour chiffrer les données. La performance du service de gestion des clés est gérée par Amazon et se met automatiquement à l'échelle en fonction des besoins. La performance de CloudHSM est obtenue en ajoutant plus d'appareils et si vous avez besoin de plus de performance, vous ajoutez soit des appareils, soit modifiez la méthode de chiffrement vers un algorithme plus rapide.

Si votre solution est multi-région, vous devriez ajouter plusieurs appareils CloudHSM dans la deuxième région et mettre en place la connectivité inter-régionale avec une connexion VPN privée ou une méthode pour garantir que le trafic est toujours protégé entre l'appareil à chaque couche de la connexion. Si vous avez une solution multi-région, vous devez réfléchir à la manière de répliquer les clés et configurer des appareils CloudHSM supplémentaires dans les régions où vous opérez. Vous pouvez rapidement vous retrouver dans une situation où vous avez six ou huit appareils répartis dans plusieurs régions, permettant une redondance complète de vos clés de chiffrement.

CloudHSM est un service de classe entreprise pour le stockage sécurisé des clés et peut être utilisé comme racine de confiance pour une entreprise. Il peut stocker des clés privées dans PKI et des clés d'autorité de certification dans des implémentations X509. En plus des clés symétriques utilisées dans des algorithmes symétriques tels que AES, KMS stocke et protège physiquement uniquement les clés symétriques (ne peut pas agir en tant qu'autorité de certification), donc si vous avez besoin de stocker des clés PKI et CA, un ou deux ou trois CloudHSM pourraient être votre solution.

CloudHSM est considérablement plus cher que le service de gestion des clés. CloudHSM est un appareil matériel, donc vous avez des coûts fixes pour provisionner l'appareil CloudHSM, puis un coût horaire pour exécuter l'appareil. Le coût est multiplié par autant d'appareils CloudHSM nécessaires pour répondre à vos besoins spécifiques. De plus, il faut tenir compte de l'achat de logiciels tiers tels que les suites logicielles SafeNet ProtectV et du temps et des efforts d'intégration. Le service de gestion des clés est basé sur l'utilisation et dépend du nombre de clés que vous avez et des opérations d'entrée et de sortie. Comme la gestion des clés offre une intégration transparente avec de nombreux services AWS, les coûts d'intégration devraient être nettement inférieurs. Les coûts devraient être considérés comme un facteur secondaire dans les solutions de chiffrement. Le chiffrement est généralement utilisé pour la sécurité et la conformité.

Avec CloudHSM, vous seul avez accès aux clés et sans entrer dans les détails, avec CloudHSM, vous gérez vos propres clés. Avec KMS, vous et Amazon gérez conjointement vos clés. AWS dispose de nombreuses sauvegardes de politique contre les abus et ne peut toujours pas accéder à vos clés dans l'une ou l'autre solution. La principale distinction réside dans la conformité en ce qui concerne la propriété et la gestion des clés, et avec CloudHSM, il s'agit d'un appareil matériel que vous gérez et entretenez avec un accès exclusif à vous et à vous seul.

Suggestions CloudHSM

1. Déployez toujours CloudHSM dans une configuration HA avec au moins deux appareils dans des zones de disponibilité distinctes, et si possible, déployez un troisième soit sur site, soit dans une autre région chez AWS.

2. Soyez prudent lors de l'initialisation d'un CloudHSM. Cette action détruira les clés, alors ayez une autre copie des clés ou soyez absolument sûr que vous n'avez pas besoin et ne devrez jamais avoir besoin de ces clés pour décrypter des données.

3. CloudHSM ne prend en charge que certaines versions de firmware et de logiciels. Avant d'effectuer une mise à jour, assurez-vous que le firmware et/ou le logiciel est pris en charge par AWS. Vous pouvez toujours contacter le support AWS pour vérifier si le guide de mise à niveau n'est pas clair.

4. La configuration réseau ne doit jamais être modifiée. Rappelez-vous, c'est dans un centre de données AWS et AWS surveille le matériel de base pour vous. Cela signifie que si le matériel tombe en panne, ils le remplaceront pour vous, mais seulement s'ils savent qu'il est défectueux.

5. Le transfert SysLog ne doit pas être supprimé ou modifié. Vous pouvez toujours ajouter un transmetteur SysLog pour diriger les journaux vers votre propre outil de collecte.

6. La configuration SNMP a les mêmes restrictions de base que le réseau et le transmetteur SysLog. Cela ne doit pas être modifié ou supprimé. Une configuration SNMP supplémentaire est acceptable, assurez-vous simplement de ne pas modifier celle qui est déjà sur l'appareil.

7. Une autre bonne pratique intéressante d'AWS est de ne pas modifier la configuration NTP. Il n'est pas clair ce qui se passerait si vous le faisiez, alors gardez à l'esprit que si vous n'utilisez pas la même configuration NTP pour le reste de votre solution, vous pourriez avoir deux sources de temps. Soyez simplement conscient de cela et sachez que le CloudHSM doit rester avec la source NTP existante.

Le coût initial de lancement de CloudHSM est de 5 000 $ pour allouer l'appareil matériel dédié à votre utilisation, puis il y a un coût horaire associé à l'exécution de CloudHSM qui est actuellement de 1,88 $ par heure d'opération, soit environ 1 373 $ par mois.

La raison la plus courante d'utiliser CloudHSM est les normes de conformité que vous devez respecter pour des raisons réglementaires. KMS n'offre pas de support de données pour les clés asymétriques. CloudHSM vous permet de stocker des clés asymétriques en toute sécurité.

La clé publique est installée sur l'appareil HSM lors de la provision afin que vous puissiez accéder à l'instance CloudHSM via SSH.

Qu'est-ce qu'un module de sécurité matérielle

Un module de sécurité matérielle (HSM) est un dispositif cryptographique dédié utilisé pour générer, stocker et gérer des clés cryptographiques et protéger des données sensibles. Il est conçu pour fournir un niveau élevé de sécurité en isolant physiquement et électroniquement les fonctions cryptographiques du reste du système.

La manière dont un HSM fonctionne peut varier en fonction du modèle et du fabricant spécifique, mais généralement, les étapes suivantes se produisent :

1. Génération de clé : L'HSM génère une clé cryptographique aléatoire à l'aide d'un générateur de nombres aléatoires sécurisé.

2. Stockage de clé : La clé est stockée de manière sécurisée à l'intérieur de l'HSM, où elle ne peut être accédée que par des utilisateurs ou des processus autorisés.

3. Gestion de clé : L'HSM fournit une gamme de fonctions de gestion de clés, y compris la rotation de clés, la sauvegarde et la révocation.

4. Opérations cryptographiques : L'HSM effectue une gamme d'opérations cryptographiques, y compris le chiffrement, le déchiffrement, la signature numérique et l'échange de clés. Ces opérations sont effectuées dans l'environnement sécurisé de l'HSM, ce qui protège contre les accès non autorisés et les manipulations.

5. Journalisation d'audit : L'HSM enregistre toutes les opérations cryptographiques et les tentatives d'accès, qui peuvent être utilisées à des fins d'audit de conformité et de sécurité.

Les HSM peuvent être utilisés pour une large gamme d'applications, y compris les transactions en ligne sécurisées, les certificats numériques, les communications sécurisées et le chiffrement des données. Ils sont souvent utilisés dans des secteurs qui exigent un niveau élevé de sécurité, tels que la finance, la santé et le gouvernement.

Dans l'ensemble, le niveau élevé de sécurité fourni par les HSM rend très difficile d'extraire des clés brutes d'entre eux, et tenter de le faire est souvent considéré comme une violation de la sécurité. Cependant, il peut y avoir certaines situations où une clé brute pourrait être extraite par du personnel autorisé à des fins spécifiques, comme dans le cas d'une procédure de récupération de clé.

Énumération

TODO