AWS - CloudHSM Enum

Reading time: 9 minutes

HSM - Hardware Security Module

Cloud HSM ist ein FIPS 140 Level zwei validiertes Hardwaregerät zur sicheren Speicherung kryptografischer Schlüssel (beachten Sie, dass CloudHSM ein Hardwaregerät ist, es ist kein virtualisierter Dienst). Es handelt sich um ein SafeNetLuna 7000 Gerät mit vorinstallierter Version 5.3.13. Es gibt zwei Firmware-Versionen, und welche Sie wählen, hängt wirklich von Ihren genauen Bedürfnissen ab. Eine ist für die FIPS 140-2-Konformität und es gab eine neuere Version, die verwendet werden kann.

Das ungewöhnliche Merkmal von CloudHSM ist, dass es sich um ein physisches Gerät handelt, und daher nicht mit anderen Kunden geteilt wird, oder wie es allgemein genannt wird, multi-tenant. Es ist ein dediziertes Single-Tenant-Gerät, das ausschließlich für Ihre Workloads zur Verfügung steht.

Typischerweise ist ein Gerät innerhalb von 15 Minuten verfügbar, vorausgesetzt, es gibt Kapazität, aber in einigen Zonen könnte dies nicht der Fall sein.

Da dies ein physisches Gerät ist, das Ihnen gewidmet ist, werden die Schlüssel auf dem Gerät gespeichert. Schlüssel müssen entweder auf ein anderes Gerät repliziert, in Offline-Speicher gesichert oder auf ein Standby-Gerät exportiert werden. Dieses Gerät wird nicht durch S3 oder einen anderen Dienst bei AWS wie KMS unterstützt.

In CloudHSM müssen Sie den Dienst selbst skalieren. Sie müssen genügend CloudHSM-Geräte bereitstellen, um Ihre Verschlüsselungsbedürfnisse basierend auf den Verschlüsselungsalgorithmen, die Sie für Ihre Lösung implementieren möchten, zu erfüllen.
Die Skalierung des Key Management Service wird von AWS durchgeführt und skaliert automatisch nach Bedarf, sodass mit dem Wachstum Ihrer Nutzung auch die Anzahl der benötigten CloudHSM-Geräte steigen kann. Behalten Sie dies im Hinterkopf, während Sie Ihre Lösung skalieren, und wenn Ihre Lösung über Auto-Scaling verfügt, stellen Sie sicher, dass Ihre maximale Skalierung mit genügend CloudHSM-Geräten berücksichtigt wird, um die Lösung zu bedienen.

Genau wie bei der Skalierung liegt die Leistung bei Ihnen mit CloudHSM. Die Leistung variiert je nach verwendetem Verschlüsselungsalgorithmus und wie oft Sie auf die Schlüssel zugreifen oder sie abrufen müssen, um die Daten zu verschlüsseln. Die Leistung des Key Management Service wird von Amazon verwaltet und skaliert automatisch, wenn die Nachfrage es erfordert. Die Leistung von CloudHSM wird durch das Hinzufügen weiterer Geräte erreicht, und wenn Sie mehr Leistung benötigen, fügen Sie entweder Geräte hinzu oder ändern die Verschlüsselungsmethode auf den schnelleren Algorithmus.

Wenn Ihre Lösung multi-region ist, sollten Sie mehrere CloudHSM-Geräte in der zweiten Region hinzufügen und die interregionale Konnektivität mit einer privaten VPN-Verbindung oder einer anderen Methode sicherstellen, um den Datenverkehr auf jeder Ebene der Verbindung immer zu schützen. Wenn Sie eine Multi-Region-Lösung haben, müssen Sie darüber nachdenken, wie Sie Schlüssel replizieren und zusätzliche CloudHSM-Geräte in den Regionen einrichten, in denen Sie tätig sind. Sie können sehr schnell in ein Szenario geraten, in dem Sie sechs oder acht Geräte über mehrere Regionen verteilt haben, was eine vollständige Redundanz Ihrer Verschlüsselungsschlüssel ermöglicht.

CloudHSM ist ein Unternehmensdienst für die sichere Speicherung von Schlüsseln und kann als Root of Trust für ein Unternehmen verwendet werden. Es kann private Schlüssel in PKI und Schlüssel von Zertifizierungsstellen in X509-Implementierungen speichern. Neben symmetrischen Schlüsseln, die in symmetrischen Algorithmen wie AES verwendet werden, speichert KMS nur symmetrische Schlüssel und schützt sie physisch (kann nicht als Zertifizierungsstelle fungieren), sodass, wenn Sie PKI- und CA-Schlüssel speichern müssen, ein oder zwei oder drei CloudHSM Ihre Lösung sein könnten.

CloudHSM ist erheblich teurer als der Key Management Service. CloudHSM ist ein Hardwaregerät, sodass Sie feste Kosten für die Bereitstellung des CloudHSM-Geräts haben, dann fallen stündliche Kosten für den Betrieb des Geräts an. Die Kosten werden mit der Anzahl der CloudHSM-Geräte multipliziert, die erforderlich sind, um Ihre spezifischen Anforderungen zu erfüllen.
Zusätzlich müssen auch die Kosten für den Kauf von Drittanbietersoftware wie SafeNet ProtectV-Software-Suiten sowie Integrationszeit und -aufwand berücksichtigt werden. Der Key Management Service basiert auf der Nutzung und hängt von der Anzahl der Schlüssel ab, die Sie haben, sowie von den Eingabe- und Ausgabeoperationen. Da das Key Management eine nahtlose Integration mit vielen AWS-Diensten bietet, sollten die Integrationskosten erheblich niedriger sein. Kosten sollten als sekundärer Faktor in Verschlüsselungslösungen betrachtet werden. Verschlüsselung wird typischerweise für Sicherheit und Compliance verwendet.

Mit CloudHSM haben nur Sie Zugriff auf die Schlüssel und ohne zu sehr ins Detail zu gehen, verwalten Sie mit CloudHSM Ihre eigenen Schlüssel. Mit KMS verwalten Sie und Amazon Ihre Schlüssel gemeinsam. AWS hat viele Richtlinien-Schutzmaßnahmen gegen Missbrauch und kann dennoch in keiner der beiden Lösungen auf Ihre Schlüssel zugreifen. Der Hauptunterschied besteht in der Compliance in Bezug auf den Schlüsselbesitz und die Verwaltung, und mit CloudHSM handelt es sich um ein Hardwaregerät, das Sie verwalten und warten, mit exklusivem Zugriff nur für Sie.

CloudHSM Vorschläge

1. Setzen Sie CloudHSM immer in einem HA-Setup mit mindestens zwei Geräten in getrennten Verfügbarkeitszonen ein, und wenn möglich, setzen Sie ein drittes entweder vor Ort oder in einer anderen Region bei AWS ein.
2. Seien Sie vorsichtig, wenn Sie CloudHSM initialisieren. Diese Aktion wird die Schlüssel zerstören, also haben Sie entweder eine andere Kopie der Schlüssel oder seien Sie sich absolut sicher, dass Sie diese Schlüssel nicht benötigen und niemals benötigen werden, um Daten zu entschlüsseln.
3. CloudHSM unterstützt nur bestimmte Firmware- und Softwareversionen. Stellen Sie vor einem Update sicher, dass die Firmware und/oder Software von AWS unterstützt wird. Sie können immer den AWS-Support kontaktieren, um zu überprüfen, ob der Upgrade-Leitfaden unklar ist.
4. Die Netzwerkkonfiguration sollte niemals geändert werden. Denken Sie daran, dass es sich in einem AWS-Rechenzentrum befindet und AWS die Basis-Hardware für Sie überwacht. Das bedeutet, dass sie die Hardware für Sie ersetzen, wenn sie ausfällt, aber nur, wenn sie wissen, dass sie ausgefallen ist.
5. Der SysLog-Forwarder sollte nicht entfernt oder geändert werden. Sie können immer einen SysLog-Forwarder hinzufügen, um die Protokolle an Ihr eigenes Sammlungstool weiterzuleiten.
6. Die SNMP-Konfiguration hat die gleichen grundlegenden Einschränkungen wie das Netzwerk und den SysLog-Ordner. Diese sollte nicht geändert oder entfernt werden. Eine zusätzliche SNMP-Konfiguration ist in Ordnung, stellen Sie nur sicher, dass Sie die bereits auf dem Gerät vorhandene nicht ändern.
7. Eine weitere interessante Best Practice von AWS ist, die NTP-Konfiguration nicht zu ändern. Es ist unklar, was passieren würde, wenn Sie dies tun, also denken Sie daran, dass, wenn Sie nicht dieselbe NTP-Konfiguration für den Rest Ihrer Lösung verwenden, Sie zwei Zeitquellen haben könnten. Seien Sie sich dessen bewusst und wissen Sie, dass das CloudHSM bei der bestehenden NTP-Quelle bleiben muss.

Die anfängliche Startgebühr für CloudHSM beträgt 5.000 USD, um das Hardwaregerät für Ihre Nutzung bereitzustellen, dann gibt es eine stündliche Gebühr für den Betrieb von CloudHSM, die derzeit bei 1,88 USD pro Betriebsstunde liegt, oder etwa 1.373 USD pro Monat.

Der häufigste Grund für die Nutzung von CloudHSM sind Compliance-Standards, die Sie aus regulatorischen Gründen erfüllen müssen. KMS bietet keinen Datensupport für asymmetrische Schlüssel. CloudHSM ermöglicht es Ihnen, asymmetrische Schlüssel sicher zu speichern.

Der öffentliche Schlüssel wird während der Bereitstellung auf dem HSM-Gerät installiert, sodass Sie über SSH auf die CloudHSM-Instanz zugreifen können.

Was ist ein Hardware Security Module

Ein Hardware-Sicherheitsmodul (HSM) ist ein dediziertes kryptografisches Gerät, das zur Generierung, Speicherung und Verwaltung kryptografischer Schlüssel sowie zum Schutz sensibler Daten verwendet wird. Es ist so konzipiert, dass es ein hohes Maß an Sicherheit bietet, indem es die kryptografischen Funktionen physisch und elektronisch vom Rest des Systems isoliert.

Die Funktionsweise eines HSM kann je nach spezifischem Modell und Hersteller variieren, aber im Allgemeinen treten die folgenden Schritte auf:

1. Schlüsselgenerierung: Das HSM generiert einen zufälligen kryptografischen Schlüssel mit einem sicheren Zufallszahlengenerator.
2. Schlüsselspeicherung: Der Schlüssel wird sicher innerhalb des HSM gespeichert, wo er nur von autorisierten Benutzern oder Prozessen abgerufen werden kann.
3. Schlüsselverwaltung: Das HSM bietet eine Reihe von Funktionen zur Schlüsselverwaltung, einschließlich Schlüsselrotation, Backup und Widerruf.
4. Kryptografische Operationen: Das HSM führt eine Reihe von kryptografischen Operationen durch, einschließlich Verschlüsselung, Entschlüsselung, digitale Signatur und Schlüsselaustausch. Diese Operationen werden innerhalb der sicheren Umgebung des HSM durchgeführt, die unbefugten Zugriff und Manipulation schützt.
5. Audit-Protokollierung: Das HSM protokolliert alle kryptografischen Operationen und Zugriffsversuche, die für Compliance- und Sicherheitsprüfungszwecke verwendet werden können.

HSMs können für eine Vielzahl von Anwendungen verwendet werden, einschließlich sicherer Online-Transaktionen, digitaler Zertifikate, sicherer Kommunikation und Datenverschlüsselung. Sie werden häufig in Branchen eingesetzt, die ein hohes Maß an Sicherheit erfordern, wie z.B. Finanzwesen, Gesundheitswesen und Regierung.

Insgesamt macht das hohe Maß an Sicherheit, das HSMs bieten, es sehr schwierig, rohe Schlüssel von ihnen zu extrahieren, und der Versuch, dies zu tun, wird oft als Sicherheitsverletzung angesehen. Es kann jedoch bestimmte Szenarien geben, in denen ein roher Schlüssel von autorisiertem Personal für spezifische Zwecke extrahiert werden könnte, z.B. im Falle eines Schlüsselwiederherstellungsverfahrens.

Enumeration

TODO