AWS - CloudHSM Enum

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

HSM - Donanım Güvenlik Modülü

Cloud HSM, güvenli kriptografik anahtar depolama için FIPS 140 seviye iki onaylı donanım cihazıdır (CloudHSM’nin bir donanım cihazı olduğunu unutmayın, sanallaştırılmış bir hizmet değildir). 5.3.13 önceden yüklenmiş SafeNetLuna 7000 cihazıdır. İki yazılım sürümü vardır ve hangisini seçeceğiniz tam olarak ihtiyaçlarınıza bağlıdır. Biri FIPS 140-2 uyumluluğu içindir ve kullanılabilecek daha yeni bir sürüm vardır.

CloudHSM’nin alışılmadık özelliği, fiziksel bir cihaz olmasıdır ve bu nedenle diğer müşterilerle paylaşılmaz, ya da yaygın olarak ifade edildiği gibi, çok kiracılı değildir. Sadece sizin iş yüklerinize özel olarak sunulan tek kiracı cihazdır.

Tipik olarak, bir cihaz 15 dakika içinde mevcut olur, kapasite varsa, ancak bazı bölgelerde bu mümkün olmayabilir.

Bu, size özel bir fiziksel cihaz olduğundan, anahtarlar cihazda depolanır. Anahtarlar ya başka bir cihaza kopyalanmalı, çevrimdışı depolama alanına yedeklenmeli veya bir yedek cihazına aktarılmalıdır. Bu cihaz, S3 veya KMS gibi AWS’deki herhangi bir hizmetle desteklenmez.

CloudHSM’de, hizmeti kendiniz ölçeklendirmeniz gerekir. Çözümünüz için uygulamak istediğiniz şifreleme algoritmalarına dayalı olarak, şifreleme ihtiyaçlarınızı karşılamak için yeterli CloudHSM cihazı sağlamanız gerekir.
Anahtar Yönetim Hizmeti ölçeklendirmesi AWS tarafından gerçekleştirilir ve talep üzerine otomatik olarak ölçeklenir, bu nedenle kullanımınız arttıkça, gereken CloudHSM cihazlarının sayısı da artabilir. Çözümünüzü ölçeklendirirken bunu aklınızda bulundurun ve çözümünüz otomatik ölçeklendirme içeriyorsa, maksimum ölçeğinizin çözümü hizmet verecek kadar CloudHSM cihazı ile hesaplandığından emin olun.

Ölçeklendirme gibi, performans CloudHSM ile size bağlıdır. Performans, hangi şifreleme algoritmasının kullanıldığına ve anahtarları şifrelemek için ne sıklıkla erişmeniz veya geri almanız gerektiğine bağlı olarak değişir. Anahtar yönetim hizmetinin performansı Amazon tarafından yönetilir ve talep gerektikçe otomatik olarak ölçeklenir. CloudHSM’nin performansı daha fazla cihaz ekleyerek elde edilir ve daha fazla performansa ihtiyacınız varsa ya cihaz ekler ya da daha hızlı bir algoritmaya şifreleme yöntemini değiştirirsiniz.

Eğer çözümünüz çok bölgeli ise, ikinci bölgede birkaç CloudHSM cihazı eklemeli ve özel bir VPN bağlantısı ile bölge arası bağlantıyı sağlamalısınız veya cihazlar arasındaki trafiğin her katmanda her zaman korunduğundan emin olmalısınız. Çok bölgeli bir çözümünüz varsa, anahtarları nasıl çoğaltacağınızı ve faaliyet gösterdiğiniz bölgelerde ek CloudHSM cihazları kurmayı düşünmelisiniz. Çok hızlı bir şekilde, altı veya sekiz cihazın birden fazla bölgeye yayılmış olduğu bir senaryoya girebilirsiniz ve bu, şifreleme anahtarlarınızın tam yedekliliğini sağlar.

CloudHSM, güvenli anahtar depolama için kurumsal sınıf bir hizmettir ve bir işletme için güvenilirlik kökü olarak kullanılabilir. PKI’de özel anahtarları ve X509 uygulamalarında sertifika otoritesi anahtarlarını depolayabilir. AES gibi simetrik algoritmalarda kullanılan simetrik anahtarların yanı sıra, KMS yalnızca simetrik anahtarları depolar ve fiziksel olarak korur (sertifika otoritesi olarak hareket edemez), bu nedenle PKI ve CA anahtarlarını depolamanız gerekiyorsa bir veya iki CloudHSM çözümünüz olabilir.

CloudHSM, Anahtar Yönetim Hizmetinden önemli ölçüde daha pahalıdır. CloudHSM bir donanım cihazıdır, bu nedenle CloudHSM cihazını sağlamak için sabit maliyetleriniz vardır, ardından cihazı çalıştırmak için saatlik bir maliyet vardır. Maliyet, belirli gereksinimlerinizi karşılamak için gereken CloudHSM cihazlarının sayısı ile çarpılır.
Ayrıca, SafeNet ProtectV yazılım paketleri gibi üçüncü taraf yazılımların satın alınmasında ve entegrasyon süresi ve çabasında çapraz değerlendirme yapılmalıdır. Anahtar Yönetim Hizmeti, kullanım bazlıdır ve sahip olduğunuz anahtar sayısına ve giriş-çıkış işlemlerine bağlıdır. Anahtar yönetimi, birçok AWS hizmeti ile sorunsuz entegrasyon sağladığından, entegrasyon maliyetleri önemli ölçüde daha düşük olmalıdır. Maliyetler, şifreleme çözümlerinde ikincil bir faktör olarak düşünülmelidir. Şifreleme genellikle güvenlik ve uyumluluk için kullanılır.

CloudHSM ile yalnızca siz anahtarlara erişim sağlarsınız ve fazla detaya girmeden, CloudHSM ile kendi anahtarlarınızı yönetirsiniz. KMS ile, anahtarlarınızı siz ve Amazon birlikte yönetirsiniz. AWS, kötüye kullanıma karşı birçok politika korumasına sahiptir ve her iki çözümde de anahtarlarınıza erişemez. Anahtar sahipliği ve yönetimi ile ilgili uyumluluk açısından ana ayrım, CloudHSM’nin sizin ve yalnızca sizin erişiminiz olan bir donanım cihazı olmasıdır.

CloudHSM Önerileri

  1. Her zaman CloudHSM’yi en az iki cihazla HA yapılandırmasında dağıtın ve mümkünse, AWS’de başka bir bölgede ya da yerel olarak üçüncü bir cihaz dağıtın.
  2. CloudHSM’yi başlatırken dikkatli olun. Bu işlem anahtarları yok edecektir, bu nedenle ya anahtarların başka bir kopyasına sahip olun ya da bu anahtarları herhangi bir veriyi şifrelemek için asla, asla kullanmayacağınızdan emin olun.
  3. CloudHSM yalnızca belirli yazılım sürümlerini ve yazılımları destekler. Herhangi bir güncelleme yapmadan önce, yazılımın ve/veya yazılımın AWS tarafından desteklendiğinden emin olun. Güncelleme kılavuzu belirsizse her zaman AWS desteği ile iletişime geçebilirsiniz.
  4. Ağ yapılandırması asla değiştirilmemelidir. Unutmayın, bu bir AWS veri merkezindedir ve AWS sizin için temel donanımı izlemektedir. Bu, donanım arızalanırsa, sizin için değiştirecekleri anlamına gelir, ancak yalnızca arızalandığını bilirlerse.
  5. SysLog yönlendirmesi kaldırılmamalı veya değiştirilmemelidir. Her zaman SysLog yönlendiricisi ekleyebilir ve günlükleri kendi toplama aracınıza yönlendirebilirsiniz.
  6. SNMP yapılandırması, ağ ve SysLog klasörü ile aynı temel kısıtlamalara sahiptir. Bu değiştirilmemeli veya kaldırılmamalıdır. Ek bir SNMP yapılandırması uygundur, yalnızca cihazda zaten bulunanı değiştirmediğinizden emin olun.
  7. AWS’den başka bir ilginç en iyi uygulama, NTP yapılandırmasını değiştirmemektir. Ne olacağı belirsizdir, bu nedenle çözümünüzün geri kalanında aynı NTP yapılandırmasını kullanmazsanız iki zaman kaynağınız olabilir. Bunu aklınızda bulundurun ve CloudHSM’nin mevcut NTP kaynağı ile kalması gerektiğini bilin.

CloudHSM için başlangıçta donanım cihazını tahsis etmek için 5,000 $ ücret alınır, ardından CloudHSM’yi çalıştırmak için saatlik bir ücret vardır, bu da şu anda saat başına 1.88 $ veya aylık yaklaşık 1,373 $’dır.

CloudHSM’yi kullanmanın en yaygın nedeni, uyum standartlarıdır ve bu standartlara uymanız gerekmektedir. KMS, asimetrik anahtarlar için veri desteği sunmaz. CloudHSM, asimetrik anahtarları güvenli bir şekilde depolamanıza olanak tanır.

Açık anahtar, sağlama sırasında HSM cihazına yüklenir böylece CloudHSM örneğine SSH ile erişebilirsiniz.

Donanım Güvenlik Modülü Nedir

Donanım güvenlik modülü (HSM), kriptografik anahtarları oluşturmak, depolamak ve yönetmek ve hassas verileri korumak için kullanılan özel bir kriptografik cihazdır. Kriptografik işlevleri sistemin geri kalanından fiziksel ve elektronik olarak izole ederek yüksek düzeyde güvenlik sağlaması için tasarlanmıştır.

Bir HSM’nin çalışma şekli, belirli model ve üreticiye bağlı olarak değişebilir, ancak genel olarak aşağıdaki adımlar gerçekleşir:

  1. Anahtar oluşturma: HSM, güvenli bir rastgele sayı üreteci kullanarak rastgele bir kriptografik anahtar oluşturur.
  2. Anahtar depolama: Anahtar, yalnızca yetkili kullanıcılar veya süreçler tarafından erişilebilen HSM içinde güvenli bir şekilde depolanır.
  3. Anahtar yönetimi: HSM, anahtar döngüsü, yedekleme ve iptal gibi bir dizi anahtar yönetim işlevi sağlar.
  4. Kriptografik işlemler: HSM, şifreleme, şifre çözme, dijital imza ve anahtar değişimi gibi bir dizi kriptografik işlem gerçekleştirir. Bu işlemler, HSM’nin güvenli ortamında gerçekleştirilir, bu da yetkisiz erişim ve müdahaleye karşı koruma sağlar.
  5. Denetim kaydı: HSM, tüm kriptografik işlemleri ve erişim girişimlerini kaydeder, bu da uyum ve güvenlik denetimi amaçları için kullanılabilir.

HSM’ler, güvenli çevrimiçi işlemler, dijital sertifikalar, güvenli iletişim ve veri şifreleme gibi çok çeşitli uygulamalar için kullanılabilir. Genellikle finans, sağlık ve hükümet gibi yüksek güvenlik gerektiren endüstrilerde kullanılır.

Genel olarak, HSM’lerin sağladığı yüksek güvenlik seviyesi, ham anahtarların onlardan çıkarılmasını çok zor hale getirir ve bunu denemek genellikle bir güvenlik ihlali olarak kabul edilir. Ancak, belirli senaryolar altında, ham bir anahtarın belirli amaçlar için yetkili personel tarafından çıkarılması mümkün olabilir, örneğin bir anahtar kurtarma prosedürü durumunda.

Sayım

TODO

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin