HSM - Модуль апаратного забезпечення безпеки

Cloud HSM - це апаратний пристрій, який підтверджено на рівні FIPS 140, для безпечного зберігання криптографічних ключів (зверніть увагу, що CloudHSM - це апаратний пристрій, це не віртуальний сервіс). Це пристрій SafeNetLuna 7000 з попередньо завантаженою версією 5.3.13. Є дві версії прошивки, і вибір однієї з них дійсно залежить від ваших конкретних потреб. Одна призначена для відповідності FIPS 140-2, і є новіша версія, яку можна використовувати.

Незвичайна особливість CloudHSM полягає в тому, що це фізичний пристрій, і тому він не ділиться з іншими клієнтами, або, як його часто називають, мультиарендою. Це пристрій для виключного користування одним арендарем, який доступний виключно для ваших завдань.

Зазвичай пристрій доступний протягом 15 хвилин за умови наявності місць, але в деяких зонах цього може не бути.

Оскільки це фізичний пристрій, призначений виключно для вас, ключі зберігаються на пристрої. Ключі потрібно або реплікувати на інший пристрій, робити резервні копії на офлайн-сховище або експортувати на резервний пристрій. Цей пристрій не підтримується S3 або будь-яким іншим сервісом AWS, таким як KMS.

У CloudHSM вам потрібно масштабувати сервіс самостійно. Вам потрібно надати достатньо пристроїв CloudHSM для обробки ваших потреб щодо шифрування на основі алгоритмів шифрування, які ви вибрали для реалізації вашого рішення. Масштабування служби управління ключами виконується AWS і автоматично масштабується за потребою, тому якщо ваше використання зростає, можливо, зросте і кількість пристроїв CloudHSM, які потрібні. Пам'ятайте про це при масштабуванні вашого рішення, і якщо ваше рішення має автоматичне масштабування, переконайтеся, що ваш максимальний масштаб врахований достатньо пристроїв CloudHSM для обслуговування рішення.

Так само, як і масштабування, продуктивність залежить від вас з CloudHSM. Продуктивність змінюється в залежності від використаного алгоритму шифрування та того, як часто вам потрібно отримувати доступ або витягувати ключі для шифрування даних. Продуктивність служби управління ключами обробляється Amazon і автоматично масштабується за потребою. Продуктивність CloudHSM досягається шляхом додавання додаткових пристроїв, і якщо вам потрібна більша продуктивність, ви або додаєте пристрої, або змінюєте метод шифрування на алгоритм, який працює швидше.

Якщо ваше рішення багаторегіональне, вам слід додати кілька пристроїв CloudHSM у другому регіоні та вирішити питання міжрегіонального зв'язку за допомогою приватного VPN-з'єднання або якимось методом, щоб забезпечити захист трафіку на кожному рівні з'єднання. Якщо у вас багаторегіональне рішення, вам потрібно подумати про те, як реплікувати ключі та налаштувати додаткові пристрої CloudHSM в регіонах, де ви працюєте. Ви дуже швидко можете опинитися в ситуації, коли у вас є шість або вісім пристроїв, розподілених по різних регіонах, що забезпечує повну резервність ваших ключів шифрування.

CloudHSM - це служба класу підприємства для безпечного зберігання ключів і може бути використана як корінь довіри для підприємства. Вона може зберігати приватні ключі в PKI та ключі центру сертифікації в реалізаціях X509. Крім симетричних ключів, які використовуються в симетричних алгоритмах, таких як AES, KMS зберігає та фізично захищає лише симетричні ключі (не може діяти як центр сертифікації), тому якщо вам потрібно зберігати ключі PKI та CA, CloudHSM або два або три можуть бути вашим рішенням.

CloudHSM значно дорожчий, ніж Служба управління ключами. CloudHSM - це апаратний пристрій, тому у вас є фіксовані витрати на надання пристрою CloudHSM, а потім погодинна оплата за його роботу. Вартість множиться на стільки пристроїв CloudHSM, скільки потрібно для досягнення ваших конкретних вимог. Крім того, потрібно враховувати витрати на придбання програмного забезпечення від сторонніх виробників, таких як набори програмного забезпечення SafeNet ProtectV та час та зусилля на інтеграцію. Служба управління ключами є витратами на основі використання і залежить від кількості ключів, які у вас є, та операцій введення та виведення. Оскільки управління ключами забезпечує безшовну інтеграцію з багатьма сервісами AWS, витрати на інтеграцію повинні бути значно нижчими. Витрати слід розглядати як другорядний фактор у рішеннях щодо шифрування. Шифрування зазвичай використовується для забезпечення безпеки та відповідності.

Тільки ви маєте доступ до ключів з CloudHSM і, не заходячи в деталі, з CloudHSM ви керуєте своїми власними ключами. З KMS ви та Amazon спільно керуєте вашими ключами. У AWS є багато політичних заходів проти зловживань і все ще не може отримати доступ до ваших ключів в жодному з рішень. Основна відмінність полягає в відповідності, оскільки вона стосується власності та управління ключами, і з CloudHSM це апаратний пристрій, який ви керуєте та підтримуєте з виключним доступом для вас і тільки для вас.

Рекомендації щодо CloudHSM

1. Завжди розгортайте CloudHSM в HA-налаштуванні з щонайменше двома пристроями в окремих зонах доступності, і, якщо це можливо, розгортайте третій або на місці, або в іншому регіоні AWS.

2. Будьте обережні при ініціалізації CloudHSM. Ця дія знищить ключі, тому маєте ще одну копію ключів або будьте абсолютно впевнені, що вам не потрібні ці ключі і ніколи, ніколи не будуть потрібні для розшифрування даних.

3. CloudHSM підтримує лише певні версії прошивки та програмного забезпечення. Перш ніж виконувати оновлення, переконайтеся, що прошивка або програмне забезпечення підтримується AWS. Ви завжди можете звернутися до підтримки AWS, щоб перевірити, якщо посібник з оновлення незрозумілий.

4. Мережеву конфігурацію не слід змінювати. Пам'ятайте, це в центрі обробки даних AWS, і AWS моніторить базове обладнання за вас. Це означає, що якщо обладнання вийде з ладу, вони замінять його за вас, але тільки якщо вони знають, що воно вийшло з ладу.

5. Пересилання SysLog не повинно бути видалено або змінено. Ви завжди можете додати пересилання SysLog, щоб направляти журнали до вашого власного засобу збору.

6. Конфігурація SNMP має ті ж самі основні обмеження, що і мережа та папка SysLog. Це не повинно бути змінено або видалено. Додаткова конфігурація SNMP прийнятна, просто переконайтеся, що ви не змінюєте ту, яка вже є на пристрої.

7. Ще одна цікава найкраща практика від AWS - не змінювати конфігурацію NTP. Не зовсім зрозум

Що таке модуль апаратного забезпечення для безпеки

Модуль апаратного забезпечення для безпеки (HSM) - це спеціалізований криптографічний пристрій, який використовується для генерації, зберігання та управління криптографічними ключами та захисту чутливих даних. Він призначений для забезпечення високого рівня безпеки шляхом фізичної та електронної ізоляції криптографічних функцій від решти системи.

Спосіб роботи HSM може відрізнятися в залежності від конкретної моделі та виробника, але загалом відбуваються наступні кроки:

1. Генерація ключа: HSM генерує випадковий криптографічний ключ за допомогою безпечного генератора випадкових чисел.

2. Зберігання ключа: Ключ зберігається безпечно всередині HSM, де до нього можуть мати доступ лише авторизовані користувачі або процеси.

3. Управління ключами: HSM надає ряд функцій управління ключами, включаючи обертання ключа, резервне копіювання та анулювання.

4. Криптографічні операції: HSM виконує ряд криптографічних операцій, включаючи шифрування, дешифрування, цифровий підпис та обмін ключами. Ці операції виконуються в безпечному середовищі HSM, яке захищає від несанкціонованого доступу та втручання.

5. Журналювання аудиту: HSM реєструє всі криптографічні операції та спроби доступу, які можуть використовуватися для виконання вимог в області відповідності та аудиту безпеки.

HSM можуть використовуватися для широкого спектру застосувань, включаючи безпечні онлайн-транзакції, цифрові сертифікати, захищені комунікації та шифрування даних. Їх часто використовують у галузях, які вимагають високого рівня безпеки, таких як фінанси, охорона здоров'я та уряд.

Загалом високий рівень безпеки, який забезпечують HSM, робить дуже складним вилучення сирого ключа з них, і спроба цього часто вважається порушенням безпеки. Однак можуть бути певні сценарії, де сирій ключ може бути вилучений авторизованим персоналом для конкретних цілей, наприклад, у разі процедури відновлення ключа.

Перелік

TODO