Italian - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

AWS - CloudHSM Enum

Impara l'hacking di AWS da zero a eroe con htARTE (Esperto Red Team di HackTricks AWS)!

Altri modi per supportare HackTricks:

HSM - Modulo di Sicurezza Hardware

Cloud HSM è un dispositivo hardware convalidato a livello FIPS 140-2 per la memorizzazione sicura delle chiavi crittografiche (nota che CloudHSM è un dispositivo hardware, non è un servizio virtualizzato). Si tratta di un dispositivo SafeNetLuna 7000 con preinstallato il firmware 5.3.13. Ci sono due versioni del firmware e la scelta dipende dalle esigenze specifiche. Una è per la conformità FIPS 140-2 e c'era una versione più recente che può essere utilizzata.

La caratteristica insolita di CloudHSM è che si tratta di un dispositivo fisico e quindi non è condiviso con altri clienti, o come comunemente definito, multi-tenant. Si tratta di un dispositivo dedicato a un singolo tenant reso disponibile esclusivamente per i tuoi carichi di lavoro.

Di solito, un dispositivo è disponibile entro 15 minuti a condizione che ci sia capacità, ma in alcune zone potrebbe non esserci.

Poiché si tratta di un dispositivo fisico dedicato a te, le chiavi sono memorizzate sul dispositivo. Le chiavi devono essere replicate su un altro dispositivo, salvate su un supporto di archiviazione offline o esportate su un dispositivo di riserva. Questo dispositivo non è supportato da S3 o da altri servizi AWS come KMS.

In CloudHSM, devi scalare il servizio da solo. Devi fornire abbastanza dispositivi CloudHSM per gestire le esigenze di crittografia in base agli algoritmi di crittografia che hai scelto di implementare per la tua soluzione. La scalabilità del Key Management Service è gestita da AWS e si adatta automaticamente alla domanda, quindi man mano che aumenta l'utilizzo, potrebbe essere necessario un numero maggiore di dispositivi CloudHSM. Tieni presente questo mentre scalate la tua soluzione e se la tua soluzione ha il ridimensionamento automatico, assicurati che il massimo scalabilità sia considerato con abbastanza dispositivi CloudHSM per servire la soluzione.

Come la scalabilità, le prestazioni dipendono da te con CloudHSM. Le prestazioni variano in base all'algoritmo di crittografia utilizzato e a quanto spesso è necessario accedere o recuperare le chiavi per crittografare i dati. Le prestazioni del servizio di gestione delle chiavi sono gestite da Amazon e si adattano automaticamente in base alle esigenze della domanda. Le prestazioni di CloudHSM sono ottenute aggiungendo più dispositivi e se hai bisogno di più prestazioni, aggiungi dispositivi o modifica il metodo di crittografia con un algoritmo più veloce.

Se la tua soluzione è multi-regionale, dovresti aggiungere diversi dispositivi CloudHSM nella seconda regione e stabilire la connettività cross-regionale con una connessione VPN privata o un qualche metodo per garantire che il traffico sia sempre protetto tra i dispositivi ad ogni livello della connessione. Se hai una soluzione multi-regionale, devi pensare a come replicare le chiavi e configurare ulteriori dispositivi CloudHSM nelle regioni in cui operi. Potresti trovarti rapidamente in una situazione in cui hai sei o otto dispositivi distribuiti su più regioni, consentendo la piena ridondanza delle tue chiavi di crittografia.

CloudHSM è un servizio di classe enterprise per la memorizzazione sicura delle chiavi e può essere utilizzato come radice di fiducia per un'azienda. Può memorizzare chiavi private in PKI e chiavi di autorità di certificazione nelle implementazioni X509. Oltre alle chiavi simmetriche utilizzate negli algoritmi simmetrici come AES, KMS memorizza e protegge fisicamente solo le chiavi simmetriche (non può agire come autorità di certificazione), quindi se hai bisogno di memorizzare chiavi PKI e CA, uno, due o tre CloudHSM potrebbero essere la tua soluzione.

CloudHSM è considerevolmente più costoso di Key Management Service. CloudHSM è un dispositivo hardware quindi hai costi fissi per la fornitura del dispositivo CloudHSM, quindi un costo orario per eseguire il dispositivo. Il costo è moltiplicato per quanti dispositivi CloudHSM sono necessari per soddisfare le tue esigenze specifiche. Inoltre, devono essere considerati i costi relativi all'acquisto di software di terze parti come i pacchetti software SafeNet ProtectV e il tempo e lo sforzo di integrazione. Key Management Service è basato sull'utilizzo e dipende dal numero di chiavi che possiedi e dalle operazioni di input e output. Poiché il servizio di gestione delle chiavi offre un'integrazione senza soluzione di continuità con molti servizi AWS, i costi di integrazione dovrebbero essere significativamente inferiori. I costi dovrebbero essere considerati un fattore secondario nelle soluzioni di crittografia. La crittografia è tipicamente utilizzata per motivi di sicurezza e conformità.

Con CloudHSM solo tu hai accesso alle chiavi e senza entrare troppo nei dettagli, con CloudHSM gestisci le tue chiavi. Con KMS, tu e Amazon gestite congiuntamente le chiavi. AWS ha molte politiche di salvaguardia contro gli abusi e non può comunque accedere alle tue chiavi in nessuna delle due soluzioni. La distinzione principale riguarda la conformità per quanto riguarda la proprietà e la gestione delle chiavi e con CloudHSM, si tratta di un dispositivo hardware che gestisci e mantieni con accesso esclusivo a te e solo a te.

Suggerimenti su CloudHSM

  1. Implementa sempre CloudHSM in un setup ad alta disponibilità con almeno due dispositivi in zone di disponibilità separate, e se possibile, implementa un terzo dispositivo in locale o in un'altra regione su AWS.

  2. Fai attenzione quando inizializzi un CloudHSM. Questa azione distruggerà le chiavi, quindi assicurati di avere un'altra copia delle chiavi o essere assolutamente sicuro che non hai e non avrai mai bisogno di queste chiavi per decrittografare dati.

  3. CloudHSM supporta solo alcune versioni di firmware e software. Prima di eseguire un aggiornamento, assicurati che il firmware e/o il software siano supportati da AWS. Puoi sempre contattare il supporto AWS per verificare se la guida all'aggiornamento non è chiara.

  4. La configurazione di rete non dovrebbe mai essere modificata. Ricorda, si trova in un data center AWS e AWS monitora l'hardware di base per te. Ciò significa che se l'hardware fallisce, lo sostituiranno per te, ma solo se sanno che è fallito.

  5. Il forward di SysLog non dovrebbe essere rimosso o modificato. Puoi sempre aggiungere un inoltratore di SysLog per indirizzare i log al tuo strumento di raccolta personale.

  6. La configurazione SNMP ha le stesse restrizioni di base della rete e della cartella SysLog. Questa non dovrebbe essere modificata o rimossa. Una configurazione SNMP aggiuntiva va bene, assicurati solo di non modificare quella già presente sul dispositivo.

  7. Un'altra pratica consigliata interessante da AWS è non modificare la configurazione NTP. Non è chiaro cosa succederebbe se lo facessi, quindi tieni presente che se non utilizzi la stessa configurazione NTP per il resto della tua soluzione, potresti avere due fonti di tempo. Sii consapevole di questo e sappi che il CloudHSM deve rimanere con la sorgente NTP esistente.

Il costo iniziale per il lancio di CloudHSM è di $5.000 per allocare il dispositivo hardware dedicato al tuo utilizzo, quindi c'è un costo orario associato all'esecuzione di CloudHSM attualmente di $1,88 all'ora di funzionamento, o approssimativamente $1.373 al mese.

Il motivo più comune per utilizzare CloudHSM sono gli standard di conformità che devi rispettare per motivi normativi. KMS non offre supporto dati per chiavi asimmetriche. CloudHSM ti consente di memorizzare in modo sicuro chiavi asimmetriche.

La chiave pubblica è installata sul dispositivo HSM durante la fornitura in modo da poter accedere all'istanza CloudHSM tramite SSH.

Cos'è un modulo di sicurezza hardware

Un modulo di sicurezza hardware (HSM) è un dispositivo crittografico dedicato utilizzato per generare, memorizzare e gestire chiavi crittografiche e proteggere dati sensibili. È progettato per fornire un alto livello di sicurezza isolando fisicamente ed elettronicamente le funzioni crittografiche dal resto del sistema.

Il funzionamento di un HSM può variare a seconda del modello e del produttore specifico, ma generalmente si verificano i seguenti passaggi:

  1. Generazione chiave: L'HSM genera una chiave crittografica casuale utilizzando un generatore di numeri casuali sicuro.

  2. Memorizzazione chiave: La chiave è memorizzata in modo sicuro all'interno dell'HSM, dove può essere accessibile solo da utenti o processi autorizzati.

  3. Gestione chiave: L'HSM fornisce una serie di funzioni di gestione chiave, inclusa rotazione, backup e revoca delle chiavi.

  4. Operazioni crittografiche: L'HSM esegue una serie di operazioni crittografiche, inclusa crittografia, decrittografia, firma digitale e scambio di chiavi. Queste operazioni sono eseguite all'interno dell'ambiente sicuro dell'HSM, che protegge contro accessi non autorizzati e manomissioni.

  5. Registrazione audit: L'HSM registra tutte le operazioni crittografiche e i tentativi di accesso, che possono essere utilizzati per fini di conformità e audit di sicurezza.

Gli HSM possono essere utilizzati per una vasta gamma di applicazioni, inclusi transazioni online sicure, certificati digitali, comunicazioni sicure e crittografia dei dati. Sono spesso utilizzati in settori che richiedono un alto livello di sicurezza, come finanza, sanità e governo.

Complessivamente, l'alto livello di sicurezza fornito dagli HSM rende molto difficile estrarre chiavi grezze da essi, e tentare di farlo è spesso considerato una violazione della sicurezza. Tuttavia, potrebbero esserci certi scenari in cui una chiave grezza potrebbe essere estratta da personale autorizzato per scopi specifici, come nel caso di una procedura di recupero chiave.

Enumerazione

TODO
Impara l'hacking AWS da zero a eroe con htARTE (Esperto Red Team AWS di HackTricks)!

Altri modi per supportare HackTricks:

PreviousAWS - CloudFormation & Codestar EnumNextAWS - CloudFront Enum

Last updated