Polish - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

AWS - CloudHSM Enum

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

HSM - Moduł Bezpieczeństwa Sprzętowego

Cloud HSM to urządzenie sprzętowe zatwierdzone na poziomie FIPS 140 drugiego poziomu do bezpiecznego przechowywania kluczy kryptograficznych (należy zauważyć, że CloudHSM to urządzenie sprzętowe, nie jest to usługa wirtualizowana). Jest to urządzenie SafeNetLuna 7000 z wersją 5.3.13 preinstalowaną. Istnieją dwie wersje oprogramowania układowego, a wybór zależy od dokładnych potrzeb. Jedna jest zgodna z FIPS 140-2, a istnieje nowsza wersja, która może być używana.

Nietypową cechą CloudHSM jest to, że jest to urządzenie fizyczne i dlatego nie jest współdzielone z innymi klientami, czyli, jak to się powszechnie nazywa, wieloosobowe. Jest to dedykowane urządzenie dla jednego najemcy, dostępne wyłącznie dla twoich obciążeń roboczych.

Zazwyczaj urządzenie jest dostępne w ciągu 15 minut, zakładając, że jest dostępna pojemność, ale w niektórych strefach może jej nie być.

Ponieważ jest to urządzenie fizyczne dedykowane tobie, klucze są przechowywane na urządzeniu. Klucze muszą być albo replikowane na inne urządzenie, zapisywane na nośnikach offline, albo eksportowane do zapasowego urządzenia. To urządzenie nie jest wspierane przez S3 ani żadną inną usługę w AWS, taką jak KMS.

W CloudHSM musisz skalować usługę samodzielnie. Musisz dostarczyć wystarczającą liczbę urządzeń CloudHSM, aby obsłużyć swoje potrzeby szyfrowania na podstawie algorytmów szyfrowania, które wybrałeś do wdrożenia w swoim rozwiązaniu. Skalowanie usługi zarządzania kluczami jest wykonywane przez AWS i automatycznie dostosowuje się do zapotrzebowania, więc w miarę wzrostu użytkowania może być wymagana większa liczba urządzeń CloudHSM. Pamiętaj o tym, gdy skalujesz swoje rozwiązanie, i jeśli twoje rozwiązanie ma automatyczne skalowanie, upewnij się, że maksymalna skala jest uwzględniona z wystarczającą liczbą urządzeń CloudHSM do obsługi rozwiązania.

Tak jak ze skalowaniem, wydajność zależy od ciebie z CloudHSM. Wydajność zależy od użytego algorytmu szyfrowania i od tego, jak często musisz uzyskać dostęp lub odzyskać klucze do szyfrowania danych. Wydajność usługi zarządzania kluczami jest obsługiwana przez Amazon i automatycznie dostosowuje się do wymagań popytu. Wydajność CloudHSM jest osiągana poprzez dodawanie kolejnych urządzeń, a jeśli potrzebujesz większej wydajności, dodajesz urządzenia lub zmieniasz metodę szyfrowania na algorytm, który działa szybciej.

Jeśli twoje rozwiązanie jest wielostrefowe, powinieneś dodać kilka urządzeń CloudHSM w drugiej strefie i ustalić łączność międzyregionową za pomocą prywatnego połączenia VPN lub jakiejś metody, aby zapewnić, że ruch zawsze jest chroniony między urządzeniem na każdym poziomie połączenia. Jeśli masz rozwiązanie wieloregionowe, musisz zastanowić się, jak replikować klucze i skonfigurować dodatkowe urządzenia CloudHSM w regionach, w których działasz. Możesz bardzo szybko znaleźć się w sytuacji, w której masz sześć lub osiem urządzeń rozproszonych w różnych regionach, umożliwiając pełną redundancję twoich kluczy szyfrowania.

CloudHSM to usługa klasy enterprise do bezpiecznego przechowywania kluczy i może być używana jako podstawa zaufania dla przedsiębiorstwa. Może przechowywać klucze prywatne w PKI i klucze certyfikatu w implementacjach X509. Oprócz kluczy symetrycznych używanych w algorytmach symetrycznych, takich jak AES, KMS przechowuje i fizycznie chroni tylko klucze symetryczne (nie może działać jako urządzenie certyfikujące), więc jeśli potrzebujesz przechowywać klucze PKI i CA, CloudHSM lub dwa lub trzy mogą być twoim rozwiązaniem.

CloudHSM jest znacznie droższy niż Key Management Service. CloudHSM to urządzenie sprzętowe, więc masz stałe koszty na dostarczenie urządzenia CloudHSM, a następnie koszt godzinowy za jego działanie. Koszt jest mnożony przez liczbę urządzeń CloudHSM wymaganych do spełnienia twoich konkretnych wymagań. Dodatkowo, należy uwzględnić zakup oprogramowania firm trzecich, takiego jak zestawy oprogramowania SafeNet ProtectV oraz czas i wysiłek integracji. Usługa zarządzania kluczami jest oparta na użyciu i zależy od liczby kluczy, jakie posiadasz, oraz operacji wejścia i wyjścia. Ponieważ zarządzanie kluczami zapewnia bezproblemową integrację z wieloma usługami AWS, koszty integracji powinny być znacznie niższe. Koszty powinny być rozważane jako drugorzędny czynnik w rozwiązaniach szyfrowania. Szyfrowanie jest zazwyczaj stosowane ze względów bezpieczeństwa i zgodności.

Tylko ty masz dostęp do kluczy z CloudHSM i bez zagłębiania się w szczegóły, z CloudHSM zarządzasz swoimi własnymi kluczami. Z KMS, ty i Amazon wspólnie zarządzacie kluczami. AWS ma wiele zabezpieczeń polityki przeciwko nadużyciom i nadal nie ma dostępu do twoich kluczy w żadnym z rozwiązań. Główną różnicą jest zgodność w odniesieniu do własności i zarządzania kluczami, a z CloudHSM jest to urządzenie sprzętowe, które zarządzasz i utrzymujesz z wyłącznym dostępem dla ciebie i tylko dla ciebie.

Sugestie dotyczące CloudHSM

  1. Zawsze wdrażaj CloudHSM w konfiguracji HA z co najmniej dwoma urządzeniami w oddzielnych strefach dostępności, a jeśli to możliwe, wdroż trzecie urządzenie albo lokalnie, albo w innym regionie w AWS.

  2. Bądź ostrożny podczas inicjalizacji CloudHSM. Ta czynność zniszczy klucze, więc miej kopię kluczy lub bądź absolutnie pewien, że nie potrzebujesz i nigdy nie będziesz potrzebować tych kluczy do odszyfrowania żadnych danych.

  3. CloudHSM obsługuje tylko pewne wersje oprogramowania układowego i oprogramowania. Przed wykonaniem aktualizacji upewnij się, że oprogramowanie układowe i/lub oprogramowanie jest obsługiwane przez AWS. Zawsze możesz skontaktować się z pomocą techniczną AWS, aby sprawdzić, czy przewodnik aktualizacji jest niejasny.

  4. Konfiguracja sieciowa nie powinna być zmieniana. Pamiętaj, że znajduje się w centrum danych AWS, a AWS monitoruje podstawowy sprzęt dla ciebie. Oznacza to, że jeśli sprzęt ulegnie awarii, zastąpią go, ale tylko jeśli będą wiedzieli, że uległ awarii.

  5. Przekierowanie SysLog nie powinno być usuwane ani zmieniane. Zawsze możesz dodać przekierowanie SysLog, aby kierować logi do własnego narzędzia zbierania.

  6. Konfiguracja SNMP ma te same podstawowe ograniczenia co sieć i przekierownik SysLog. Nie powinno być zmieniane ani usuwane. Dodatkowa konfiguracja SNMP jest w porządku, po prostu upewnij się, że nie zmieniasz tej, która już jest na urządzeniu.

  7. Kolejną interesującą praktyką zalecaną przez AWS jest niezmienianie konfiguracji NTP. Nie jest jasne, co by się stało, gdybyś to zrobił, więc pamiętaj, że jeśli nie używasz tej samej konfiguracji NTP dla reszty swojego rozwiązania, to mogą być dwa źródła czasu. Bądź tego świadomy i wiedz, że CloudHSM musi pozostać z istniejącym źródłem NTP.

Początkowa opłata za uruchomienie CloudHSM wynosi 5000 USD na przydzielenie dedykowanego urządzenia sprzętowego dla twojego użytku, a następnie jest opłata godzinowa za działanie CloudHSM, która obecnie wynosi 1,88 USD za godzinę działania, czyli około 1373 USD miesięcznie.

Najczęstszym powodem użycia CloudHSM są standardy zgodności, które musisz spełnić z przyczyn regulacyjnych. KMS nie oferuje wsparcia danych dla kluczy asymetrycznych. CloudHSM pozwala na bezpieczne przechowywanie kluczy asymetrycznych.

Klucz publiczny jest zainstalowany na urządzeniu HSM podczas wdrażania, dzięki czemu możesz uzyskać dostęp do instancji CloudHSM za pomocą SSH.

Co to jest moduł bezpieczeństwa sprzętowego

Moduł bezpieczeństwa sprzętowego (HSM) to dedykowane urządzenie kryptograficzne, które służy do generowania, przechowywania i zarządzania kluczami kryptograficznymi oraz ochrony danych poufnych. Zaprojektowany jest w celu zapewnienia wysokiego poziomu bezpieczeństwa poprzez fizyczne i elektroniczne izolowanie funkcji kryptograficznych od reszty systemu.

Sposób działania HSM może się różnić w zależności od konkretnego modelu i producenta, ale ogólnie zachodzą następujące kroki:

  1. Generowanie klucza: HSM generuje losowy klucz kryptograficzny za pomocą bezpiecznego generatora liczb losowych.

  2. Przechowywanie klucza: Klucz jest przechowywany bezpiecznie wewnątrz HSM, gdzie może być dostępny tylko dla autoryzowanych użytkowników lub procesów.

  3. Zarządzanie kluczem: HSM zapewnia szereg funkcji zarządzania kluczami, w tym rotację kluczy, tworzenie kopii zapasowych i wycofywanie kluczy.

  4. Operacje kryptograficzne: HSM wykonuje szereg operacji kryptograficznych, w tym szyfrowanie, deszyfrowanie, podpisywanie cyfrowe i wymianę kluczy. Te operacje są wykonywane w bezpiecznym środowisku HSM, które chroni przed nieautoryzowanym dostępem i manipulacją.

  5. Rejestracja audytowa: HSM rejestruje wszystkie operacje kryptograficzne i próby dostępu, które mogą być wykorzystane do celów audytu zgodności i bezpieczeństwa.

HSM-y mogą być wykorzystywane w szerokim zakresie zastosowań, w tym w bezpiecznych transakcjach online, certyfikatach cyfrowych, bezpiecznej komunikacji i szyfrowaniu danych. Są często stosowane w branżach, które wymagają wysokiego poziomu bezpieczeństwa, takich jak finanse, opieka zdrowotna i sektor publiczny.

Ogólnie rzecz biorąc, wysoki poziom bezpieczeństwa zapewniany przez HSM-y sprawia, że bardzo trudno jest wydobyć z nich surowe klucze, a próba tego jest często uważana za naruszenie bezpieczeństwa. Istnieją jednak pewne scenariusze, w których autoryzowany personel mógłby wydobyć surowy klucz w celach określonych, na przykład w przypadku procedury odzyskiwania klucza.

Wyliczanie

TODO
Nauka hakowania AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

PreviousAWS - CloudFormation & Codestar EnumNextAWS - CloudFront Enum

Last updated