gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-08 19:30:51 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/README.md', 'src/banners/hacktricks-training.md', 'src/

Browse Source
This commit is contained in:
Translator
2024-12-31 20:42:16 +00:00
parent 4ecda9fe96
commit 92eaf7ce11
245 changed files with 9813 additions and 12533 deletions
Download Patch File Download Diff File Expand all files Collapse all files

76
src/pentesting-cloud/aws-security/aws-services/aws-cloudhsm-enum.md
View File

@@ -2,70 +2,64 @@
{{#include ../../../banners/hacktricks-training.md}}
## HSM - Hardware Security Module
## HSM - Модуль апаратної безпеки
Cloud HSM is a FIPS 140 level two validated **hardware device** for secure cryptographic key storage (note that CloudHSM is a hardware appliance, it is not a virtualized service). It is a SafeNetLuna 7000 appliance with 5.3.13 preloaded. There are two firmware versions and which one you pick is really based on your exact needs. One is for FIPS 140-2 compliance and there was a newer version that can be used.
Cloud HSM - це апаратний пристрій, що відповідає стандарту FIPS 140 рівня два для безпечного зберігання криптографічних ключів (зауважте, що CloudHSM є апаратним пристроєм, це не віртуалізована служба). Це пристрій SafeNetLuna 7000 з попередньо завантаженою версією 5.3.13. Є дві версії прошивки, і вибір залежить від ваших конкретних потреб. Одна з них призначена для відповідності FIPS 140-2, а інша - новіша версія, яку можна використовувати.
The unusual feature of CloudHSM is that it is a physical device, and thus it is **not shared with other customers**, or as it is commonly termed, multi-tenant. It is dedicated single tenant appliance exclusively made available to your workloads
Незвичайною особливістю CloudHSM є те, що це фізичний пристрій, і тому він **не ділиться з іншими клієнтами**, або, як це зазвичай називають, багатокористувацький. Це спеціалізований пристрій для одного користувача, доступний виключно для ваших навантажень.
Typically, a device is available within 15 minutes assuming there is capacity, but in some zones there could not be.
Зазвичай пристрій доступний протягом 15 хвилин, якщо є потужність, але в деяких зонах цього може не бути.
Since this is a physical device dedicated to you, **the keys are stored on the device**. Keys need to either be **replicated to another device**, backed up to offline storage, or exported to a standby appliance. **This device is not backed** by S3 or any other service at AWS like KMS.
Оскільки це фізичний пристрій, що призначений для вас, **ключі зберігаються на пристрої**. Ключі потрібно або **реплікувати на інший пристрій**, резервувати в офлайн-сховищі або експортувати на резервний пристрій. **Цей пристрій не підкріплений** S3 або будь-якою іншою службою AWS, як KMS.
In **CloudHSM**, you have to **scale the service yourself**. You have to provision enough CloudHSM devices to handle whatever your encryption needs are based on the encryption algorithms you have chosen to implement for your solution.\
Key Management Service scaling is performed by AWS and automatically scales on demand, so as your use grows, so might the number of CloudHSM appliances that are required. Keep this in mind as you scale your solution and if your solution has auto-scaling, make sure your maximum scale is accounted for with enough CloudHSM appliances to service the solution.
У **CloudHSM** ви повинні **масштабувати службу самостійно**. Вам потрібно надати достатню кількість пристроїв CloudHSM, щоб впоратися з вашими потребами в шифруванні на основі обраних вами алгоритмів шифрування для вашого рішення.\
Масштабування служби управління ключами виконується AWS і автоматично масштабується за запитом, тому, коли ваше використання зростає, може зрости і кількість необхідних пристроїв CloudHSM. Майте це на увазі, коли ви масштабуєте своє рішення, і якщо ваше рішення має автоматичне масштабування, переконайтеся, що ваш максимальний масштаб враховує достатню кількість пристроїв CloudHSM для обслуговування рішення.
Just like scaling, **performance is up to you with CloudHSM**. Performance varies based on which encryption algorithm is used and on how often you need to access or retrieve the keys to encrypt the data. Key management service performance is handled by Amazon and automatically scales as demand requires it. CloudHSM's performance is achieved by adding more appliances and if you need more performance you either add devices or alter the encryption method to the algorithm that is faster.
Так само, як і масштабування, **продуктивність залежить від вас у CloudHSM**. Продуктивність варіюється в залежності від того, який алгоритм шифрування використовується, і від того, як часто вам потрібно отримувати або витягувати ключі для шифрування даних. Продуктивність служби управління ключами обробляється Amazon і автоматично масштабується відповідно до вимог. Продуктивність CloudHSM досягається шляхом додавання більше пристроїв, і якщо вам потрібна більша продуктивність, ви або додаєте пристрої, або змінюєте метод шифрування на алгоритм, який є швидшим.
If your solution is **multi-region**, you should add several **CloudHSM appliances in the second region and work out the cross-region connectivity with a private VPN connection** or some method to ensure the traffic is always protected between the appliance at every layer of the connection. If you have a multi-region solution you need to think about how to **replicate keys and set up additional CloudHSM devices in the regions where you operate**. You can very quickly get into a scenario where you have six or eight devices spread across multiple regions, enabling full redundancy of your encryption keys.
Якщо ваше рішення є **багато-регіональним**, вам слід додати кілька **пристроїв CloudHSM у другому регіоні та налагодити міжрегіональне з'єднання за допомогою приватного VPN-з'єднання** або якимось чином забезпечити, щоб трафік завжди був захищений між пристроєм на кожному рівні з'єднання. Якщо у вас є багато-регіональне рішення, вам потрібно подумати про те, як **реплікувати ключі та налаштувати додаткові пристрої CloudHSM у регіонах, де ви працюєте**. Ви можете дуже швидко потрапити в ситуацію, коли у вас є шість або вісім пристроїв, розподілених по кількох регіонах, що забезпечує повну резервність ваших шифрувальних ключів.
**CloudHSM** is an enterprise class service for secured key storage and can be used as a **root of trust for an enterprise**. It can store private keys in PKI and certificate authority keys in X509 implementations. In addition to symmetric keys used in symmetric algorithms such as AES, **KMS stores and physically protects symmetric keys only (cannot act as a certificate authority)**, so if you need to store PKI and CA keys a CloudHSM or two or three could be your solution.
**CloudHSM** - це сервіс класу підприємства для безпечного зберігання ключів і може використовуватися як **корінь довіри для підприємства**. Він може зберігати приватні ключі в PKI та ключі сертифікаційних центрів у реалізаціях X509. На додаток до симетричних ключів, що використовуються в симетричних алгоритмах, таких як AES, **KMS зберігає та фізично захищає лише симетричні ключі (не може діяти як сертифікаційний центр)**, тому якщо вам потрібно зберігати ключі PKI та CA, один або два CloudHSM можуть бути вашим рішенням.
**CloudHSM is considerably more expensive than Key Management Service**. CloudHSM is a hardware appliance so you have fix costs to provision the CloudHSM device, then an hourly cost to run the appliance. The cost is multiplied by as many CloudHSM appliances that are required to achieve your specific requirements.\
Additionally, cross consideration must be made in the purchase of third party software such as SafeNet ProtectV software suites and integration time and effort. Key Management Service is a usage based and depends on the number of keys you have and the input and output operations. As key management provides seamless integration with many AWS services, integration costs should be significantly lower. Costs should be considered secondary factor in encryption solutions. Encryption is typically used for security and compliance.
**CloudHSM значно дорожчий за службу управління ключами**. CloudHSM - це апаратний пристрій, тому у вас є фіксовані витрати на надання пристрою CloudHSM, а потім погодинна плата за роботу пристрою. Вартість множиться на кількість пристроїв CloudHSM, які потрібні для досягнення ваших конкретних вимог.\
Крім того, слід врахувати витрати на придбання програмного забезпечення третьої сторони, такого як програмні комплекти SafeNet ProtectV, а також час і зусилля на інтеграцію. Служба управління ключами є платною за використання і залежить від кількості ключів, які у вас є, а також від операцій введення та виведення. Оскільки управління ключами забезпечує безшовну інтеграцію з багатьма службами AWS, витрати на інтеграцію повинні бути значно нижчими. Витрати слід вважати вторинним фактором у рішеннях щодо шифрування. Шифрування зазвичай використовується для безпеки та відповідності.
**With CloudHSM only you have access to the keys** and without going into too much detail, with CloudHSM you manage your own keys. **With KMS, you and Amazon co-manage your keys**. AWS does have many policy safeguards against abuse and **still cannot access your keys in either solution**. The main distinction is compliance as it pertains to key ownership and management, and with CloudHSM, this is a hardware appliance that you manage and maintain with exclusive access to you and only you.
**Тільки ви маєте доступ до ключів у CloudHSM** і без зайвих деталей, з CloudHSM ви керуєте своїми власними ключами. **З KMS ви та Amazon спільно керуєте вашими ключами**. AWS має багато політик безпеки проти зловживань і **все ще не може отримати доступ до ваших ключів в обох рішеннях**. Основна відмінність полягає в дотриманні вимог, що стосуються власності та управління ключами, і з CloudHSM це апаратний пристрій, яким ви керуєте та підтримуєте з виключним доступом тільки для вас.
### CloudHSM Suggestions
### Пропозиції щодо CloudHSM
1. Always deploy CloudHSM in an **HA setup** with at least two appliances in **separate availability zones**, and if possible, deploy a third either on premise or in another region at AWS.
2. Be careful when **initializing** a **CloudHSM**. This action **will destroy the keys**, so either have another copy of the keys or be absolutely sure you do not and never, ever will need these keys to decrypt any data.
3. CloudHSM only **supports certain versions of firmware** and software. Before performing any update, make sure the firmware and or software is supported by AWS. You can always contact AWS support to verify if the upgrade guide is unclear.
4. The **network configuration should never be changed.** Remember, it's in a AWS data center and AWS is monitoring base hardware for you. This means that if the hardware fails, they will replace it for you, but only if they know it failed.
5. The **SysLog forward should not be removed or changed**. You can always **add** a SysLog forwarder to direct the logs to your own collection tool.
6. The **SNMP** configuration has the same basic restrictions as the network and SysLog folder. This **should not be changed or removed**. An **additional** SNMP configuration is fine, just make sure you do not change the one that is already on the appliance.
7. Another interesting best practice from AWS is **not to change the NTP configuration**. It is not clear what would happen if you did, so keep in mind that if you don't use the same NTP configuration for the rest of your solution then you could have two time sources. Just be aware of this and know that the CloudHSM has to stay with the existing NTP source.
1. Завжди розгортайте CloudHSM у **HA налаштуванні** з принаймні двома пристроями в **окремих зонах доступності**, і, якщо можливо, розгорніть третій або на місці, або в іншому регіоні AWS.
2. Будьте обережні при **ініціалізації** **CloudHSM**. Ця дія **знищить ключі**, тому або майте іншу копію ключів, або будьте абсолютно впевнені, що вам не знадобляться ці ключі для розшифровки будь-яких даних.
3. CloudHSM підтримує лише **певні версії прошивки** та програмного забезпечення. Перед виконанням будь-якого оновлення переконайтеся, що прошивка та/або програмне забезпечення підтримуються AWS. Ви завжди можете звернутися до служби підтримки AWS, щоб перевірити, якщо посібник з оновлення неясний.
4. **Конфігурацію мережі ніколи не слід змінювати.** Пам'ятайте, що це в центрі обробки даних AWS, і AWS моніторить базове обладнання для вас. Це означає, що якщо обладнання вийде з ладу, вони замінять його для вас, але тільки якщо вони знають, що воно вийшло з ладу.
5. **Пересилання SysLog не слід видаляти або змінювати**. Ви завжди можете **додати** пересилання SysLog, щоб направити журнали до вашого власного інструменту збору.
6. Конфігурація **SNMP** має ті ж основні обмеження, що й мережа та папка SysLog. Це **не слід змінювати або видаляти**. Додаткова конфігурація SNMP є нормальною, просто переконайтеся, що ви не змінюєте ту, що вже є на пристрої.
7. Ще одна цікава найкраща практика від AWS - **не змінювати конфігурацію NTP**. Неясно, що станеться, якщо ви це зробите, тому пам'ятайте, що якщо ви не використовуєте ту ж конфігурацію NTP для решти вашого рішення, то у вас можуть бути два джерела часу. Просто будьте обережні з цим і знайте, що CloudHSM повинен залишатися з існуючим джерелом NTP.
The initial launch charge for CloudHSM is $5,000 to allocate the hardware appliance dedicated for your use, then there is an hourly charge associated with running CloudHSM that is currently at $1.88 per hour of operation, or approximately $1,373 per month.
Початкова плата за запуск CloudHSM становить 5,000 доларів США за виділення апаратного пристрою, призначеного для вашого використання, а потім є погодинна плата за роботу CloudHSM, яка наразі становить 1.88 доларів США за годину роботи, або приблизно 1,373 доларів США на місяць.
The most common reason to use CloudHSM is compliance standards that you must meet for regulatory reasons. **KMS does not offer data support for asymmetric keys. CloudHSM does let you store asymmetric keys securely**.
Найпоширеніша причина використання CloudHSM - це стандарти відповідності, які ви повинні дотримуватися з регуляторних причин. **KMS не пропонує підтримку даних для асиметричних ключів. CloudHSM дозволяє вам безпечно зберігати асиметричні ключі**.
The **public key is installed on the HSM appliance during provisioning** so you can access the CloudHSM instance via SSH.
**Публічний ключ встановлюється на пристрій HSM під час надання** так що ви можете отримати доступ до екземпляра CloudHSM через SSH.
### What is a Hardware Security Module
### Що таке модуль апаратної безпеки
A hardware security module (HSM) is a dedicated cryptographic device that is used to generate, store, and manage cryptographic keys and protect sensitive data. It is designed to provide a high level of security by physically and electronically isolating the cryptographic functions from the rest of the system.
Модуль апаратної безпеки (HSM) - це спеціалізований криптографічний пристрій, який використовується для генерації, зберігання та управління криптографічними ключами та захисту чутливих даних. Він призначений для забезпечення високого рівня безпеки шляхом фізичного та електронного ізолювання криптографічних функцій від решти системи.
The way an HSM works can vary depending on the specific model and manufacturer, but generally, the following steps occur:
Спосіб роботи HSM може варіюватися в залежності від конкретної моделі та виробника, але зазвичай відбуваються такі кроки:
1. **Key generation**: The HSM generates a random cryptographic key using a secure random number generator.
2. **Key storage**: The key is **stored securely within the HSM, where it can only be accessed by authorized users or processes**.
3. **Key management**: The HSM provides a range of key management functions, including key rotation, backup, and revocation.
4. **Cryptographic operations**: The HSM performs a range of cryptographic operations, including encryption, decryption, digital signature, and key exchange. These operations are **performed within the secure environment of the HSM**, which protects against unauthorized access and tampering.
5. **Audit logging**: The HSM logs all cryptographic operations and access attempts, which can be used for compliance and security auditing purposes.
1. **Генерація ключа**: HSM генерує випадковий криптографічний ключ за допомогою безпечного генератора випадкових чисел.
2. **Зберігання ключа**: Ключ **надійно зберігається всередині HSM, де до нього можуть отримати доступ лише авторизовані користувачі або процеси**.
3. **Управління ключами**: HSM надає ряд функцій управління ключами, включаючи ротацію ключів, резервне копіювання та відкликання.
4. **Криптографічні операції**: HSM виконує ряд криптографічних операцій, включаючи шифрування, розшифрування, цифровий підпис та обмін ключами. Ці операції **виконуються в безпечному середовищі HSM**, що захищає від несанкціонованого доступу та підробки.
5. **Аудит журналювання**: HSM реєструє всі криптографічні операції та спроби доступу, які можуть бути використані для цілей відповідності та аудиту безпеки.
HSMs can be used for a wide range of applications, including secure online transactions, digital certificates, secure communications, and data encryption. They are often used in industries that require a high level of security, such as finance, healthcare, and government.
HSM можуть використовуватися для широкого спектру застосувань, включаючи безпечні онлайн-транзакції, цифрові сертифікати, безпечні комунікації та шифрування даних. Вони часто використовуються в галузях, які вимагають високого рівня безпеки, таких як фінанси, охорона здоров'я та уряд.
Overall, the high level of security provided by HSMs makes it **very difficult to extract raw keys from them, and attempting to do so is often considered a breach of security**. However, there may be **certain scenarios** where a **raw key could be extracted** by authorized personnel for specific purposes, such as in the case of a key recovery procedure.
### Enumeration
В цілому, високий рівень безпеки, що забезпечується HSM, робить **дуже складним витягування сирих ключів з них, і спроби зробити це часто вважаються порушенням безпеки**. Однак можуть бути **певні сценарії**, коли **сирий ключ може бути витягнутий** уповноваженим персоналом для конкретних цілей, таких як у випадку процедури відновлення ключа.
### Перерахування
```
TODO
```
{{#include ../../../banners/hacktricks-training.md}}