Seguridad de las copias de seguridad del clúster - AWS CloudHSM

Seguridad de las copias de seguridad del clúster

Cuando AWS CloudHSM hace una copia de seguridad del HSM, el HSM cifra todos sus datos antes de enviarlos a AWS CloudHSM. Los datos nunca salen del HSM en formato de texto no cifrado. Además, AWS no puede descifrar las copias de seguridad, ya que AWS no tiene acceso a la clave utilizada para descifrar las copias de seguridad.

Para cifrar los datos, el HSM utiliza una clave de cifrado única y efímera, conocida como la clave de backup efímera (EBK). La EBK es una clave de cifrado AES de 256 bits que se genera en el HSM cuando AWS CloudHSM hace la copia de seguridad. El HSM genera la EBK y, a continuación, la utiliza para cifrar sus datos con un método de encapsulación de clave AES aprobado por FIPS que cumple la Publicación especial de NIST 800-38F. A continuación, el HSM ofrece los datos cifrados a AWS CloudHSM. Los datos cifrados contienen una copia cifrada de la EBK.

Para cifrar la EBK, el HSM utiliza otra clave de cifrado conocida como la clave de backup persistente (PBK). La PBK también es una clave de cifrado AES de 256 bits. Para generar la PBK, el HSM utiliza una función de derivación de clave (KDF) aprobada por FIPS en modo contador que cumple la Publicación especial de NIST 800-108. Los datos de entrada de esta KDF incluyen lo siguiente:

  • Una clave de backup de clave de fabricante (MKBK), integrada permanentemente en el hardware del HSM por parte del fabricante.

  • Una clave de copia de seguridad de claves de AWS (AKBK), instalada de forma segura en el HSM cuando AWS CloudHSM lo configuró inicialmente.

Los procesos de cifrado se resumen en la siguiente figura. La clave de cifrado de backup representa la clave de backup persistente (PBK) y la clave de backup efímera (EBK).

Resumen de las claves de cifrado que se utilizan para cifrar copias de seguridad de AWS CloudHSM.

AWS CloudHSM solo puede restaurar las copias de seguridad en los HSM que son propiedad de AWS y los ha creado el mismo fabricante. Dado que cada backup contiene todos los usuarios, claves y la configuración del HSM original, el HSM restaurado contiene las mismas protecciones y controles de acceso que el original. Los datos restaurados sobrescriben todos los demás datos que pudiera haber en el HSM antes de la restauración.

Un backup solo contiene datos cifrados. Antes de que el servicio almacene una copia de seguridad en Amazon S3, se vuelve a cifrar la copia de seguridad mediante AWS Key Management Service (AWS KMS).