gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-30 22:50:43 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/banners/hacktricks-training.md', 'src/pentesting-ci-cd/

Browse Source
This commit is contained in:
Translator
2025-01-02 01:13:27 +00:00
parent 599a50fbec
commit c14d2efa43
215 changed files with 1670 additions and 1679 deletions
Download Patch File Download Diff File Expand all files Collapse all files

16
src/pentesting-cloud/aws-security/aws-services/aws-cloudhsm-enum.md
View File

@@ -8,32 +8,32 @@ Cloud HSM es un **dispositivo de hardware** validado a nivel dos FIPS 140 para e
La característica inusual de CloudHSM es que es un dispositivo físico, y por lo tanto **no se comparte con otros clientes**, o como se denomina comúnmente, multi-tenant. Es un dispositivo de un solo inquilino dedicado exclusivamente a sus cargas de trabajo.
Típicamente, un dispositivo está disponible en 15 minutos, asumiendo que hay capacidad, pero en algunas zonas podría no haberla.
Típicamente, un dispositivo está disponible en 15 minutos asumiendo que hay capacidad, pero en algunas zonas podría no haber.
Dado que este es un dispositivo físico dedicado a usted, **las claves se almacenan en el dispositivo**. Las claves deben ser **replicadas a otro dispositivo**, respaldadas en almacenamiento fuera de línea, o exportadas a un dispositivo de reserva. **Este dispositivo no está respaldado** por S3 ni por ningún otro servicio en AWS como KMS.
En **CloudHSM**, debe **escalar el servicio usted mismo**. Debe aprovisionar suficientes dispositivos CloudHSM para manejar sus necesidades de cifrado basadas en los algoritmos de cifrado que ha elegido implementar para su solución.\
El escalado del Servicio de Gestión de Claves es realizado por AWS y se escala automáticamente según la demanda, por lo que a medida que su uso crece, también podría aumentar el número de dispositivos CloudHSM que se requieren. Tenga esto en cuenta a medida que escale su solución y si su solución tiene escalado automático, asegúrese de que su escala máxima esté contemplada con suficientes dispositivos CloudHSM para atender la solución.
En **CloudHSM**, tiene que **escalar el servicio usted mismo**. Debe aprovisionar suficientes dispositivos CloudHSM para manejar lo que sean sus necesidades de cifrado basadas en los algoritmos de cifrado que ha elegido implementar para su solución.\
La escalabilidad del Servicio de Gestión de Claves es realizada por AWS y se escala automáticamente según la demanda, por lo que a medida que su uso crece, también podría crecer el número de dispositivos CloudHSM que se requieren. Tenga esto en cuenta a medida que escale su solución y si su solución tiene escalado automático, asegúrese de que su escala máxima esté contemplada con suficientes dispositivos CloudHSM para atender la solución.
Al igual que el escalado, **el rendimiento depende de usted con CloudHSM**. El rendimiento varía según el algoritmo de cifrado utilizado y con qué frecuencia necesita acceder o recuperar las claves para cifrar los datos. El rendimiento del servicio de gestión de claves es manejado por Amazon y se escala automáticamente según la demanda. El rendimiento de CloudHSM se logra agregando más dispositivos y si necesita más rendimiento, simplemente agrega dispositivos o altera el método de cifrado al algoritmo que es más rápido.
Si su solución es **multi-región**, debe agregar varios **dispositivos CloudHSM en la segunda región y resolver la conectividad entre regiones con una conexión VPN privada** o algún método para garantizar que el tráfico esté siempre protegido entre el dispositivo en cada capa de la conexión. Si tiene una solución multi-región, debe pensar en cómo **replicar claves y configurar dispositivos CloudHSM adicionales en las regiones donde opera**. Puede rápidamente entrar en un escenario donde tiene seis u ocho dispositivos distribuidos en múltiples regiones, habilitando la redundancia total de sus claves de cifrado.
**CloudHSM** es un servicio de clase empresarial para el almacenamiento seguro de claves y puede ser utilizado como un **raíz de confianza para una empresa**. Puede almacenar claves privadas en PKI y claves de autoridad de certificación en implementaciones X509. Además de las claves simétricas utilizadas en algoritmos simétricos como AES, **KMS almacena y protege físicamente solo claves simétricas (no puede actuar como una autoridad de certificación)**, por lo que si necesita almacenar claves de PKI y CA, uno o dos o tres CloudHSM podrían ser su solución.
**CloudHSM** es un servicio de clase empresarial para el almacenamiento seguro de claves y puede ser utilizado como un **raíz de confianza para una empresa**. Puede almacenar claves privadas en PKI y claves de autoridad de certificación en implementaciones X509. Además de claves simétricas utilizadas en algoritmos simétricos como AES, **KMS almacena y protege físicamente solo claves simétricas (no puede actuar como una autoridad de certificación)**, por lo que si necesita almacenar claves de PKI y CA, uno o dos o tres CloudHSM podrían ser su solución.
**CloudHSM es considerablemente más caro que el Servicio de Gestión de Claves**. CloudHSM es un dispositivo de hardware, por lo que tiene costos fijos para aprovisionar el dispositivo CloudHSM, luego hay un costo por hora para operar el dispositivo. El costo se multiplica por la cantidad de dispositivos CloudHSM que se requieren para cumplir con sus requisitos específicos.\
Además, se debe considerar la compra de software de terceros como las suites de software SafeNet ProtectV y el tiempo y esfuerzo de integración. El Servicio de Gestión de Claves es basado en uso y depende del número de claves que tiene y de las operaciones de entrada y salida. Dado que la gestión de claves proporciona integración sin problemas con muchos servicios de AWS, los costos de integración deberían ser significativamente más bajos. Los costos deben considerarse un factor secundario en las soluciones de cifrado. El cifrado se utiliza típicamente para seguridad y cumplimiento.
**Con CloudHSM, solo usted tiene acceso a las claves** y sin entrar en demasiados detalles, con CloudHSM usted gestiona sus propias claves. **Con KMS, usted y Amazon co-gestionan sus claves**. AWS tiene muchas salvaguardias de políticas contra el abuso y **aún no puede acceder a sus claves en ninguna de las soluciones**. La principal distinción es el cumplimiento en lo que respecta a la propiedad y gestión de claves, y con CloudHSM, este es un dispositivo de hardware que usted gestiona y mantiene con acceso exclusivo para usted y solo para usted.
**Con CloudHSM solo usted tiene acceso a las claves** y sin entrar en demasiados detalles, con CloudHSM usted gestiona sus propias claves. **Con KMS, usted y Amazon co-gestionan sus claves**. AWS tiene muchas salvaguardias de políticas contra el abuso y **aún no puede acceder a sus claves en ninguna de las soluciones**. La principal distinción es el cumplimiento en lo que respecta a la propiedad y gestión de claves, y con CloudHSM, este es un dispositivo de hardware que usted gestiona y mantiene con acceso exclusivo para usted y solo para usted.
### Sugerencias de CloudHSM
1. Siempre implemente CloudHSM en una **configuración HA** con al menos dos dispositivos en **zonas de disponibilidad separadas**, y si es posible, implemente un tercero ya sea en las instalaciones o en otra región de AWS.
2. Tenga cuidado al **inicializar** un **CloudHSM**. Esta acción **destruirá las claves**, así que tenga otra copia de las claves o esté absolutamente seguro de que no las necesita y nunca, jamás necesitará estas claves para descifrar datos.
3. CloudHSM solo **soporta ciertas versiones de firmware** y software. Antes de realizar cualquier actualización, asegúrese de que el firmware y/o software sea compatible con AWS. Siempre puede contactar al soporte de AWS para verificar si la guía de actualización no está clara.
4. La **configuración de red nunca debe ser cambiada.** Recuerde, está en un centro de datos de AWS y AWS está monitoreando el hardware base por usted. Esto significa que si el hardware falla, lo reemplazarán por usted, pero solo si saben que ha fallado.
4. La **configuración de red nunca debe ser cambiada.** Recuerde, está en un centro de datos de AWS y AWS está monitoreando el hardware base por usted. Esto significa que si el hardware falla, lo reemplazarán por usted, pero solo si saben que falló.
5. El **reenvío de SysLog no debe ser eliminado o cambiado**. Siempre puede **agregar** un reenvío de SysLog para dirigir los registros a su propia herramienta de recopilación.
6. La configuración de **SNMP** tiene las mismas restricciones básicas que la red y la carpeta de SysLog. Esto **no debe ser cambiado o eliminado**. Una configuración adicional de SNMP está bien, solo asegúrese de no cambiar la que ya está en el dispositivo.
6. La configuración de **SNMP** tiene las mismas restricciones básicas que la red y la carpeta SysLog. Esto **no debe ser cambiado o eliminado**. Una configuración de SNMP **adicional** está bien, solo asegúrese de no cambiar la que ya está en el dispositivo.
7. Otra buena práctica interesante de AWS es **no cambiar la configuración de NTP**. No está claro qué sucedería si lo hiciera, así que tenga en cuenta que si no utiliza la misma configuración de NTP para el resto de su solución, podría tener dos fuentes de tiempo. Solo esté consciente de esto y sepa que el CloudHSM debe permanecer con la fuente NTP existente.
El cargo inicial por el lanzamiento de CloudHSM es de $5,000 para asignar el dispositivo de hardware dedicado para su uso, luego hay un cargo por hora asociado con la operación de CloudHSM que actualmente es de $1.88 por hora de operación, o aproximadamente $1,373 por mes.
@@ -46,7 +46,7 @@ La **clave pública se instala en el dispositivo HSM durante el aprovisionamient
Un módulo de seguridad de hardware (HSM) es un dispositivo criptográfico dedicado que se utiliza para generar, almacenar y gestionar claves criptográficas y proteger datos sensibles. Está diseñado para proporcionar un alto nivel de seguridad al aislar física y electrónicamente las funciones criptográficas del resto del sistema.
La forma en que funciona un HSM puede variar según el modelo y fabricante específicos, pero generalmente, ocurren los siguientes pasos:
La forma en que funciona un HSM puede variar según el modelo y fabricante específicos, pero generalmente, los siguientes pasos ocurren:
1. **Generación de claves**: El HSM genera una clave criptográfica aleatoria utilizando un generador de números aleatorios seguro.
2. **Almacenamiento de claves**: La clave se **almacena de forma segura dentro del HSM, donde solo puede ser accedida por usuarios o procesos autorizados**.