gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-28 13:43:24 -08:00
Code Issues Packages Projects Releases Wiki Activity
Files
6255ce60f2f304d7ceb1a58f972274b7d8984e17
hacktricks-cloud/src/pentesting-cloud/aws-security/aws-services/aws-cloudhsm-enum.md

9.9 KiB
Raw Blame History

AWS - CloudHSM Enum

{{#include ../../../banners/hacktricks-training.md}}

HSM - Módulo de Seguridad de Hardware

Cloud HSM es un dispositivo de hardware validado a nivel dos FIPS 140 para el almacenamiento seguro de claves criptográficas (tenga en cuenta que CloudHSM es un dispositivo de hardware, no es un servicio virtualizado). Es un dispositivo SafeNetLuna 7000 con 5.3.13 preinstalado. Hay dos versiones de firmware y cuál elija realmente depende de sus necesidades exactas. Una es para el cumplimiento de FIPS 140-2 y había una versión más nueva que se puede usar.

La característica inusual de CloudHSM es que es un dispositivo físico, y por lo tanto no se comparte con otros clientes, o como se denomina comúnmente, multi-tenant. Es un dispositivo de un solo inquilino dedicado exclusivamente a sus cargas de trabajo.

Típicamente, un dispositivo está disponible en 15 minutos asumiendo que hay capacidad, pero en algunas zonas podría no haber.

Dado que este es un dispositivo físico dedicado a usted, las claves se almacenan en el dispositivo. Las claves deben ser replicadas a otro dispositivo, respaldadas en almacenamiento fuera de línea, o exportadas a un dispositivo de reserva. Este dispositivo no está respaldado por S3 ni por ningún otro servicio en AWS como KMS.

En CloudHSM, tiene que escalar el servicio usted mismo. Debe aprovisionar suficientes dispositivos CloudHSM para manejar lo que sean sus necesidades de cifrado basadas en los algoritmos de cifrado que ha elegido implementar para su solución.
La escalabilidad del Servicio de Gestión de Claves es realizada por AWS y se escala automáticamente según la demanda, por lo que a medida que su uso crece, también podría crecer el número de dispositivos CloudHSM que se requieren. Tenga esto en cuenta a medida que escale su solución y si su solución tiene escalado automático, asegúrese de que su escala máxima esté contemplada con suficientes dispositivos CloudHSM para atender la solución.

Al igual que el escalado, el rendimiento depende de usted con CloudHSM. El rendimiento varía según el algoritmo de cifrado utilizado y con qué frecuencia necesita acceder o recuperar las claves para cifrar los datos. El rendimiento del servicio de gestión de claves es manejado por Amazon y se escala automáticamente según la demanda. El rendimiento de CloudHSM se logra agregando más dispositivos y si necesita más rendimiento, simplemente agrega dispositivos o altera el método de cifrado al algoritmo que es más rápido.

Si su solución es multi-región, debe agregar varios dispositivos CloudHSM en la segunda región y resolver la conectividad entre regiones con una conexión VPN privada o algún método para garantizar que el tráfico esté siempre protegido entre el dispositivo en cada capa de la conexión. Si tiene una solución multi-región, debe pensar en cómo replicar claves y configurar dispositivos CloudHSM adicionales en las regiones donde opera. Puede rápidamente entrar en un escenario donde tiene seis u ocho dispositivos distribuidos en múltiples regiones, habilitando la redundancia total de sus claves de cifrado.

CloudHSM es un servicio de clase empresarial para el almacenamiento seguro de claves y puede ser utilizado como un raíz de confianza para una empresa. Puede almacenar claves privadas en PKI y claves de autoridad de certificación en implementaciones X509. Además de claves simétricas utilizadas en algoritmos simétricos como AES, KMS almacena y protege físicamente solo claves simétricas (no puede actuar como una autoridad de certificación), por lo que si necesita almacenar claves de PKI y CA, uno o dos o tres CloudHSM podrían ser su solución.

CloudHSM es considerablemente más caro que el Servicio de Gestión de Claves. CloudHSM es un dispositivo de hardware, por lo que tiene costos fijos para aprovisionar el dispositivo CloudHSM, luego hay un costo por hora para operar el dispositivo. El costo se multiplica por la cantidad de dispositivos CloudHSM que se requieren para cumplir con sus requisitos específicos.
Además, se debe considerar la compra de software de terceros como las suites de software SafeNet ProtectV y el tiempo y esfuerzo de integración. El Servicio de Gestión de Claves es basado en uso y depende del número de claves que tiene y de las operaciones de entrada y salida. Dado que la gestión de claves proporciona integración sin problemas con muchos servicios de AWS, los costos de integración deberían ser significativamente más bajos. Los costos deben considerarse un factor secundario en las soluciones de cifrado. El cifrado se utiliza típicamente para seguridad y cumplimiento.

Con CloudHSM solo usted tiene acceso a las claves y sin entrar en demasiados detalles, con CloudHSM usted gestiona sus propias claves. Con KMS, usted y Amazon co-gestionan sus claves. AWS tiene muchas salvaguardias de políticas contra el abuso y aún no puede acceder a sus claves en ninguna de las soluciones. La principal distinción es el cumplimiento en lo que respecta a la propiedad y gestión de claves, y con CloudHSM, este es un dispositivo de hardware que usted gestiona y mantiene con acceso exclusivo para usted y solo para usted.

Sugerencias de CloudHSM

  1. Siempre implemente CloudHSM en una configuración HA con al menos dos dispositivos en zonas de disponibilidad separadas, y si es posible, implemente un tercero ya sea en las instalaciones o en otra región de AWS.
  2. Tenga cuidado al inicializar un CloudHSM. Esta acción destruirá las claves, así que tenga otra copia de las claves o esté absolutamente seguro de que no las necesita y nunca, jamás necesitará estas claves para descifrar datos.
  3. CloudHSM solo soporta ciertas versiones de firmware y software. Antes de realizar cualquier actualización, asegúrese de que el firmware y/o software sea compatible con AWS. Siempre puede contactar al soporte de AWS para verificar si la guía de actualización no está clara.
  4. La configuración de red nunca debe ser cambiada. Recuerde, está en un centro de datos de AWS y AWS está monitoreando el hardware base por usted. Esto significa que si el hardware falla, lo reemplazarán por usted, pero solo si saben que falló.
  5. El reenvío de SysLog no debe ser eliminado o cambiado. Siempre puede agregar un reenvío de SysLog para dirigir los registros a su propia herramienta de recopilación.
  6. La configuración de SNMP tiene las mismas restricciones básicas que la red y la carpeta SysLog. Esto no debe ser cambiado o eliminado. Una configuración de SNMP adicional está bien, solo asegúrese de no cambiar la que ya está en el dispositivo.
  7. Otra buena práctica interesante de AWS es no cambiar la configuración de NTP. No está claro qué sucedería si lo hiciera, así que tenga en cuenta que si no utiliza la misma configuración de NTP para el resto de su solución, podría tener dos fuentes de tiempo. Solo esté consciente de esto y sepa que el CloudHSM debe permanecer con la fuente NTP existente.

El cargo inicial por el lanzamiento de CloudHSM es de $5,000 para asignar el dispositivo de hardware dedicado para su uso, luego hay un cargo por hora asociado con la operación de CloudHSM que actualmente es de $1.88 por hora de operación, o aproximadamente $1,373 por mes.

La razón más común para usar CloudHSM son los estándares de cumplimiento que debe cumplir por razones regulatorias. KMS no ofrece soporte de datos para claves asimétricas. CloudHSM le permite almacenar claves asimétricas de forma segura.

La clave pública se instala en el dispositivo HSM durante el aprovisionamiento para que pueda acceder a la instancia de CloudHSM a través de SSH.

¿Qué es un Módulo de Seguridad de Hardware?

Un módulo de seguridad de hardware (HSM) es un dispositivo criptográfico dedicado que se utiliza para generar, almacenar y gestionar claves criptográficas y proteger datos sensibles. Está diseñado para proporcionar un alto nivel de seguridad al aislar física y electrónicamente las funciones criptográficas del resto del sistema.

La forma en que funciona un HSM puede variar según el modelo y fabricante específicos, pero generalmente, los siguientes pasos ocurren:

  1. Generación de claves: El HSM genera una clave criptográfica aleatoria utilizando un generador de números aleatorios seguro.
  2. Almacenamiento de claves: La clave se almacena de forma segura dentro del HSM, donde solo puede ser accedida por usuarios o procesos autorizados.
  3. Gestión de claves: El HSM proporciona una gama de funciones de gestión de claves, incluyendo rotación de claves, respaldo y revocación.
  4. Operaciones criptográficas: El HSM realiza una variedad de operaciones criptográficas, incluyendo cifrado, descifrado, firma digital e intercambio de claves. Estas operaciones se realizan dentro del entorno seguro del HSM, que protege contra el acceso no autorizado y la manipulación.
  5. Registro de auditoría: El HSM registra todas las operaciones criptográficas y los intentos de acceso, que pueden ser utilizados para fines de auditoría de cumplimiento y seguridad.

Los HSM pueden ser utilizados para una amplia gama de aplicaciones, incluyendo transacciones en línea seguras, certificados digitales, comunicaciones seguras y cifrado de datos. A menudo se utilizan en industrias que requieren un alto nivel de seguridad, como finanzas, salud y gobierno.

En general, el alto nivel de seguridad proporcionado por los HSM hace que sea muy difícil extraer claves en bruto de ellos, y intentar hacerlo a menudo se considera una violación de seguridad. Sin embargo, puede haber ciertos escenarios donde una clave en bruto podría ser extraída por personal autorizado para propósitos específicos, como en el caso de un procedimiento de recuperación de claves.

Enumeración

TODO

{{#include ../../../banners/hacktricks-training.md}}

Reference in New Issue View Git Blame Copy Permalink