Português - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

AWS - CloudHSM Enum

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras maneiras de apoiar o HackTricks:

HSM - Módulo de Segurança de Hardware

O Cloud HSM é um dispositivo de hardware validado no nível dois do FIPS 140 para armazenamento seguro de chaves criptográficas (observe que o CloudHSM é um dispositivo de hardware, não é um serviço virtualizado). É um dispositivo SafeNetLuna 7000 com a versão 5.3.13 pré-carregada. Existem duas versões de firmware e a escolha depende das suas necessidades específicas. Uma é para conformidade com o FIPS 140-2 e há uma versão mais recente que pode ser usada.

A característica incomum do CloudHSM é que é um dispositivo físico e, portanto, não é compartilhado com outros clientes, ou como é comumente chamado, multi-inquilino. É um dispositivo dedicado exclusivamente disponibilizado para suas cargas de trabalho.

Normalmente, um dispositivo está disponível em até 15 minutos, desde que haja capacidade, mas em algumas zonas pode não estar.

Como este é um dispositivo físico dedicado a você, as chaves são armazenadas no dispositivo. As chaves precisam ser replicadas para outro dispositivo, copiadas para armazenamento offline ou exportadas para um dispositivo de reserva. Este dispositivo não é suportado pelo S3 ou por qualquer outro serviço da AWS como o KMS.

No CloudHSM, você precisa dimensionar o serviço por conta própria. Você precisa provisionar dispositivos CloudHSM suficientes para lidar com suas necessidades de criptografia com base nos algoritmos de criptografia que você escolheu para implementar em sua solução. O dimensionamento do Key Management Service é realizado pela AWS e dimensiona automaticamente conforme a demanda, então, à medida que seu uso cresce, pode ser necessário um número maior de dispositivos CloudHSM. Tenha isso em mente ao dimensionar sua solução e, se sua solução tiver dimensionamento automático, certifique-se de que seu dimensionamento máximo seja considerado com dispositivos CloudHSM suficientes para atender à solução.

Assim como o dimensionamento, o desempenho depende de você com o CloudHSM. O desempenho varia com base no algoritmo de criptografia usado e na frequência com que você precisa acessar ou recuperar as chaves para criptografar os dados. O desempenho do serviço de gerenciamento de chaves é tratado pela Amazon e dimensiona automaticamente conforme a demanda. O desempenho do CloudHSM é alcançado adicionando mais dispositivos e, se precisar de mais desempenho, você adiciona dispositivos ou altera o método de criptografia para um algoritmo mais rápido.

Se sua solução for multi-região, você deve adicionar vários dispositivos CloudHSM na segunda região e configurar a conectividade entre regiões com uma conexão VPN privada ou algum método para garantir que o tráfego esteja sempre protegido entre os dispositivos em cada camada da conexão. Se você tiver uma solução multi-região, precisará pensar em como replicar chaves e configurar dispositivos CloudHSM adicionais nas regiões em que opera. Você pode rapidamente chegar a um cenário em que tem seis ou oito dispositivos distribuídos por várias regiões, permitindo a redundância total de suas chaves de criptografia.

CloudHSM é um serviço de classe empresarial para armazenamento seguro de chaves e pode ser usado como uma raiz de confiança para uma empresa. Ele pode armazenar chaves privadas em PKI e chaves de autoridade de certificação em implementações X509. Além das chaves simétricas usadas em algoritmos simétricos como AES, o KMS armazena e protege fisicamente apenas chaves simétricas (não pode atuar como uma autoridade de certificação), então, se você precisar armazenar chaves PKI e CA, um ou dois ou três CloudHSM podem ser sua solução.

O CloudHSM é consideravelmente mais caro do que o Key Management Service. O CloudHSM é um dispositivo de hardware, então você tem custos fixos para provisionar o dispositivo CloudHSM, e depois um custo por hora para executar o dispositivo. O custo é multiplicado pelo número de dispositivos CloudHSM necessários para atender aos seus requisitos específicos. Além disso, deve-se considerar a compra de software de terceiros, como os conjuntos de software SafeNet ProtectV, e o tempo e esforço de integração. O Key Management Service é baseado no uso e depende do número de chaves que você tem e das operações de entrada e saída. Como o gerenciamento de chaves oferece integração perfeita com muitos serviços da AWS, os custos de integração devem ser significativamente menores. Os custos devem ser considerados como fator secundário nas soluções de criptografia. A criptografia é tipicamente usada para segurança e conformidade.

Com o CloudHSM, apenas você tem acesso às chaves e, sem entrar em muitos detalhes, com o CloudHSM você gerencia suas próprias chaves. Com o KMS, você e a Amazon co-gerenciam suas chaves. A AWS possui muitas salvaguardas de políticas contra abusos e ainda não pode acessar suas chaves em nenhuma das soluções. A principal distinção é a conformidade no que diz respeito à propriedade e gerenciamento de chaves, e com o CloudHSM, este é um dispositivo de hardware que você gerencia e mantém com acesso exclusivo a você e somente a você.

Sugestões do CloudHSM

  1. Sempre implante o CloudHSM em uma configuração de alta disponibilidade com pelo menos dois dispositivos em zonas de disponibilidade separadas, e, se possível, implante um terceiro localmente ou em outra região na AWS.

  2. Tenha cuidado ao inicializar um CloudHSM. Esta ação irá destruir as chaves, então tenha outra cópia das chaves ou tenha absoluta certeza de que você não precisa e nunca precisará dessas chaves para descriptografar quaisquer dados.

  3. O CloudHSM suporta apenas certas versões de firmware e software. Antes de realizar qualquer atualização, certifique-se de que o firmware e/ou software são suportados pela AWS. Você sempre pode entrar em contato com o suporte da AWS para verificar se o guia de atualização não está claro.

  4. A configuração de rede nunca deve ser alterada. Lembre-se, está em um data center da AWS e a AWS está monitorando o hardware básico para você. Isso significa que, se o hardware falhar, eles o substituirão, mas somente se souberem que falhou.

  5. O encaminhamento do SysLog não deve ser removido ou alterado. Você sempre pode adicionar um encaminhador de SysLog para direcionar os logs para sua própria ferramenta de coleta.

  6. A configuração SNMP tem as mesmas restrições básicas da rede e da pasta SysLog. Isso não deve ser alterado ou removido. Uma configuração SNMP adicional é aceitável, apenas certifique-se de não alterar a que já está no dispositivo.

  7. Outra prática recomendada interessante da AWS é não alterar a configuração do NTP. Não está claro o que aconteceria se você o fizesse, então tenha em mente que se você não usar a mesma configuração de NTP para o restante de sua solução, poderá ter duas fontes de tempo. Apenas esteja ciente disso e saiba que o CloudHSM deve permanecer com a fonte de NTP existente.

A taxa de lançamento inicial para o CloudHSM é de $5.000 para alocar o dispositivo de hardware dedicado para seu uso, e depois há uma taxa por hora associada à execução do CloudHSM, que atualmente é de $1,88 por hora de operação, ou aproximadamente $1.373 por mês.

O motivo mais comum para usar o CloudHSM são os padrões de conformidade que você deve atender por motivos regulatórios. O KMS não oferece suporte de dados para chaves assimétricas. O CloudHSM permite que você armazene chaves assimétricas com segurança.

A chave pública é instalada no dispositivo HSM durante o provisionamento para que você possa acessar a instância do CloudHSM via SSH.

O que é um Módulo de Segurança de Hardware

Um módulo de segurança de hardware (HSM) é um dispositivo criptográfico dedicado usado para gerar, armazenar e gerenciar chaves criptográficas e proteger dados sensíveis. Ele é projetado para fornecer um alto nível de segurança ao isolar fisicamente e eletronicamente as funções criptográficas do restante do sistema.

A forma como um HSM funciona pode variar dependendo do modelo e fabricante específicos, mas geralmente, os seguintes passos ocorrem:

  1. Geração de chaves: O HSM gera uma chave criptográfica aleatória usando um gerador de números aleatórios seguro.

  2. Armazenamento de chaves: A chave é armazenada de forma segura dentro do HSM, onde só pode ser acessada por usuários ou processos autorizados.

  3. Gerenciamento de chaves: O HSM fornece uma variedade de funções de gerenciamento de chaves, incluindo rotação de chaves, backup e revogação.

  4. Operações criptográficas: O HSM realiza uma variedade de operações criptográficas, incluindo criptografia, descriptografia, assinatura digital e troca de chaves. Essas operações são realizadas dentro do ambiente seguro do HSM, que protege contra acesso não autorizado e adulteração.

  5. Registro de auditoria: O HSM registra todas as operações criptográficas e tentativas de acesso, que podem ser usadas para fins de conformidade e auditoria de segurança.

Os HSMs podem ser usados em uma ampla gama de aplicações, incluindo transações online seguras, certificados digitais, comunicações seguras e criptografia de dados. Eles são frequentemente usados em setores que exigem um alto nível de segurança, como finanças, saúde e governo.

No geral, o alto nível de segurança fornecido pelos HSMs torna muito difícil extrair chaves brutas deles, e tentar fazê-lo é frequentemente considerado uma violação de segurança. No entanto, pode haver certos cenários em que uma chave bruta poderia ser extraída por pessoal autorizado para fins específicos, como no caso de um procedimento de recuperação de chave.

Enumeração

TODO
Aprenda hacking na AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras maneiras de apoiar o HackTricks:

AnteriorAWS - CloudFormation & Codestar EnumSiguienteAWS - CloudFront Enum

Última actualización