AWS - CloudHSM Enum

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

HSM - Module de Sécurité Matérielle

Cloud HSM est un dispositif matĂ©riel validĂ© FIPS 140 niveau deux pour le stockage sĂ©curisĂ© des clĂ©s cryptographiques (notez que CloudHSM est un appareil matĂ©riel, ce n’est pas un service virtualisĂ©). C’est un appareil SafeNetLuna 7000 avec 5.3.13 prĂ©chargĂ©. Il existe deux versions de firmware et le choix dĂ©pend vraiment de vos besoins exacts. L’une est pour la conformitĂ© FIPS 140-2 et il y avait une version plus rĂ©cente qui peut ĂȘtre utilisĂ©e.

La caractĂ©ristique inhabituelle de CloudHSM est qu’il s’agit d’un dispositif physique, et donc il n’est pas partagĂ© avec d’autres clients, ou comme on l’appelle couramment, multi-locataire. C’est un appareil dĂ©diĂ© Ă  un seul locataire exclusivement mis Ă  disposition pour vos charges de travail.

Typiquement, un dispositif est disponible dans les 15 minutes, Ă  condition qu’il y ait de la capacitĂ©, mais dans certaines zones, cela pourrait ne pas ĂȘtre le cas.

Puisqu’il s’agit d’un dispositif physique dĂ©diĂ© Ă  vous, les clĂ©s sont stockĂ©es sur le dispositif. Les clĂ©s doivent soit ĂȘtre rĂ©pliquĂ©es sur un autre dispositif, sauvegardĂ©es sur un stockage hors ligne, ou exportĂ©es vers un appareil de secours. Ce dispositif n’est pas soutenu par S3 ou tout autre service chez AWS comme KMS.

Dans CloudHSM, vous devez scaler le service vous-mĂȘme. Vous devez provisionner suffisamment de dispositifs CloudHSM pour gĂ©rer vos besoins en cryptage en fonction des algorithmes de cryptage que vous avez choisis d’implĂ©menter pour votre solution.
Le service de gestion des clĂ©s est scalĂ© par AWS et s’ajuste automatiquement Ă  la demande, donc Ă  mesure que votre utilisation croĂźt, le nombre d’appareils CloudHSM requis peut Ă©galement augmenter. Gardez cela Ă  l’esprit lorsque vous scalez votre solution et si votre solution a un auto-scaling, assurez-vous que votre Ă©chelle maximale est prise en compte avec suffisamment d’appareils CloudHSM pour servir la solution.

Tout comme le scaling, la performance dĂ©pend de vous avec CloudHSM. La performance varie en fonction de l’algorithme de cryptage utilisĂ© et de la frĂ©quence Ă  laquelle vous devez accĂ©der ou rĂ©cupĂ©rer les clĂ©s pour chiffrer les donnĂ©es. La performance du service de gestion des clĂ©s est gĂ©rĂ©e par Amazon et s’ajuste automatiquement en fonction de la demande. La performance de CloudHSM est obtenue en ajoutant plus d’appareils et si vous avez besoin de plus de performance, vous ajoutez des dispositifs ou modifiez la mĂ©thode de cryptage vers l’algorithme qui est plus rapide.

Si votre solution est multi-rĂ©gion, vous devriez ajouter plusieurs appareils CloudHSM dans la deuxiĂšme rĂ©gion et Ă©tablir la connectivitĂ© inter-rĂ©gionale avec une connexion VPN privĂ©e ou une mĂ©thode pour garantir que le trafic est toujours protĂ©gĂ© entre l’appareil Ă  chaque couche de la connexion. Si vous avez une solution multi-rĂ©gion, vous devez rĂ©flĂ©chir Ă  la maniĂšre de rĂ©pliquer les clĂ©s et de configurer des dispositifs CloudHSM supplĂ©mentaires dans les rĂ©gions oĂč vous opĂ©rez. Vous pouvez rapidement vous retrouver dans un scĂ©nario oĂč vous avez six ou huit dispositifs rĂ©partis sur plusieurs rĂ©gions, permettant une redondance complĂšte de vos clĂ©s de cryptage.

CloudHSM est un service de classe entreprise pour le stockage sĂ©curisĂ© des clĂ©s et peut ĂȘtre utilisĂ© comme un racine de confiance pour une entreprise. Il peut stocker des clĂ©s privĂ©es dans PKI et des clĂ©s d’autoritĂ© de certification dans des implĂ©mentations X509. En plus des clĂ©s symĂ©triques utilisĂ©es dans des algorithmes symĂ©triques tels que AES, KMS stocke et protĂšge physiquement uniquement les clĂ©s symĂ©triques (ne peut pas agir en tant qu’autoritĂ© de certification), donc si vous devez stocker des clĂ©s PKI et CA, un ou deux ou trois CloudHSM pourraient ĂȘtre votre solution.

CloudHSM est considĂ©rablement plus coĂ»teux que le service de gestion des clĂ©s. CloudHSM est un appareil matĂ©riel, donc vous avez des coĂ»ts fixes pour provisionner le dispositif CloudHSM, puis un coĂ»t horaire pour faire fonctionner l’appareil. Le coĂ»t est multipliĂ© par le nombre d’appareils CloudHSM nĂ©cessaires pour atteindre vos exigences spĂ©cifiques.
De plus, une considĂ©ration croisĂ©e doit ĂȘtre faite lors de l’achat de logiciels tiers tels que les suites logicielles SafeNet ProtectV et le temps et l’effort d’intĂ©gration. Le service de gestion des clĂ©s est basĂ© sur l’utilisation et dĂ©pend du nombre de clĂ©s que vous avez et des opĂ©rations d’entrĂ©e et de sortie. Comme la gestion des clĂ©s fournit une intĂ©gration transparente avec de nombreux services AWS, les coĂ»ts d’intĂ©gration devraient ĂȘtre considĂ©rablement infĂ©rieurs. Les coĂ»ts doivent ĂȘtre considĂ©rĂ©s comme un facteur secondaire dans les solutions de cryptage. Le cryptage est gĂ©nĂ©ralement utilisĂ© pour la sĂ©curitĂ© et la conformitĂ©.

Avec CloudHSM, vous ĂȘtes le seul Ă  avoir accĂšs aux clĂ©s et sans entrer dans trop de dĂ©tails, avec CloudHSM, vous gĂ©rez vos propres clĂ©s. Avec KMS, vous et Amazon co-gestionez vos clĂ©s. AWS a de nombreuses protections politiques contre les abus et ne peut toujours pas accĂ©der Ă  vos clĂ©s dans l’une ou l’autre solution. La principale distinction est la conformitĂ© en ce qui concerne la propriĂ©tĂ© et la gestion des clĂ©s, et avec CloudHSM, il s’agit d’un appareil matĂ©riel que vous gĂ©rez et maintenez avec un accĂšs exclusif Ă  vous et seulement Ă  vous.

Suggestions CloudHSM

  1. Déployez toujours CloudHSM dans une configuration HA avec au moins deux appareils dans des zones de disponibilité séparées, et si possible, déployez un troisiÚme soit sur site soit dans une autre région chez AWS.
  2. Faites attention lors de l’initialisation d’un CloudHSM. Cette action dĂ©truira les clĂ©s, donc soit ayez une autre copie des clĂ©s, soit soyez absolument sĂ»r que vous n’en avez pas besoin et que vous n’en aurez jamais besoin pour dĂ©chiffrer des donnĂ©es.
  3. CloudHSM ne supporte que certaines versions de firmware et de logiciels. Avant d’effectuer une mise Ă  jour, assurez-vous que le firmware et/ou le logiciel est supportĂ© par AWS. Vous pouvez toujours contacter le support AWS pour vĂ©rifier si le guide de mise Ă  niveau n’est pas clair.
  4. La configuration rĂ©seau ne doit jamais ĂȘtre changĂ©e. Rappelez-vous, c’est dans un centre de donnĂ©es AWS et AWS surveille le matĂ©riel de base pour vous. Cela signifie que si le matĂ©riel Ă©choue, ils le remplaceront pour vous, mais seulement s’ils savent qu’il a Ă©chouĂ©.
  5. Le SysLog forward ne doit pas ĂȘtre supprimĂ© ou modifiĂ©. Vous pouvez toujours ajouter un forwarder SysLog pour diriger les journaux vers votre propre outil de collecte.
  6. La configuration SNMP a les mĂȘmes restrictions de base que le rĂ©seau et le dossier SysLog. Cela ne doit pas ĂȘtre changĂ© ou supprimĂ©. Une configuration SNMP supplĂ©mentaire est acceptable, assurez-vous simplement de ne pas changer celle qui est dĂ©jĂ  sur l’appareil.
  7. Une autre bonne pratique intĂ©ressante d’AWS est de ne pas changer la configuration NTP. Il n’est pas clair ce qui se passerait si vous le faisiez, donc gardez Ă  l’esprit que si vous n’utilisez pas la mĂȘme configuration NTP pour le reste de votre solution, vous pourriez avoir deux sources de temps. Soyez simplement conscient de cela et sachez que le CloudHSM doit rester avec la source NTP existante.

Le coĂ»t initial de lancement pour CloudHSM est de 5 000 $ pour allouer l’appareil matĂ©riel dĂ©diĂ© Ă  votre usage, puis il y a un coĂ»t horaire associĂ© Ă  l’exĂ©cution de CloudHSM qui est actuellement de 1,88 $ par heure d’opĂ©ration, ou environ 1 373 $ par mois.

La raison la plus courante d’utiliser CloudHSM est les normes de conformitĂ© que vous devez respecter pour des raisons rĂ©glementaires. KMS n’offre pas de support de donnĂ©es pour les clĂ©s asymĂ©triques. CloudHSM vous permet de stocker des clĂ©s asymĂ©triques en toute sĂ©curitĂ©.

La clĂ© publique est installĂ©e sur l’appareil HSM lors du provisionnement afin que vous puissiez accĂ©der Ă  l’instance CloudHSM via SSH.

Qu’est-ce qu’un Module de SĂ©curitĂ© MatĂ©rielle

Un module de sécurité matérielle (HSM) est un dispositif cryptographique dédié qui est utilisé pour générer, stocker et gérer des clés cryptographiques et protéger des données sensibles. Il est conçu pour fournir un niveau élevé de sécurité en isolant physiquement et électroniquement les fonctions cryptographiques du reste du systÚme.

Le fonctionnement d’un HSM peut varier en fonction du modĂšle et du fabricant spĂ©cifiques, mais gĂ©nĂ©ralement, les Ă©tapes suivantes se produisent :

  1. GĂ©nĂ©ration de clĂ©s : Le HSM gĂ©nĂšre une clĂ© cryptographique alĂ©atoire Ă  l’aide d’un gĂ©nĂ©rateur de nombres alĂ©atoires sĂ©curisĂ©.
  2. Stockage de clĂ©s : La clĂ© est stockĂ©e en toute sĂ©curitĂ© dans le HSM, oĂč elle ne peut ĂȘtre accessible que par des utilisateurs ou des processus autorisĂ©s.
  3. Gestion des clés : Le HSM fournit une gamme de fonctions de gestion des clés, y compris la rotation des clés, la sauvegarde et la révocation.
  4. OpĂ©rations cryptographiques : Le HSM effectue une gamme d’opĂ©rations cryptographiques, y compris le chiffrement, le dĂ©chiffrement, la signature numĂ©rique et l’échange de clĂ©s. Ces opĂ©rations sont effectuĂ©es dans l’environnement sĂ©curisĂ© du HSM, ce qui protĂšge contre l’accĂšs non autorisĂ© et la falsification.
  5. Journalisation des audits : Le HSM enregistre toutes les opĂ©rations cryptographiques et les tentatives d’accĂšs, qui peuvent ĂȘtre utilisĂ©es Ă  des fins de conformitĂ© et d’audit de sĂ©curitĂ©.

Les HSM peuvent ĂȘtre utilisĂ©s pour une large gamme d’applications, y compris les transactions en ligne sĂ©curisĂ©es, les certificats numĂ©riques, les communications sĂ©curisĂ©es et le chiffrement des donnĂ©es. Ils sont souvent utilisĂ©s dans des secteurs qui nĂ©cessitent un niveau Ă©levĂ© de sĂ©curitĂ©, tels que la finance, la santĂ© et le gouvernement.

Dans l’ensemble, le niveau Ă©levĂ© de sĂ©curitĂ© fourni par les HSM rend trĂšs difficile l’extraction de clĂ©s brutes, et tenter de le faire est souvent considĂ©rĂ© comme une violation de la sĂ©curitĂ©. Cependant, il peut y avoir certaines situations oĂč une clĂ© brute pourrait ĂȘtre extraite par du personnel autorisĂ© Ă  des fins spĂ©cifiques, comme dans le cas d’une procĂ©dure de rĂ©cupĂ©ration de clĂ©s.

ÉnumĂ©ration

TODO

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks