Segurança dos backups do cluster - AWS CloudHSM

Segurança dos backups do cluster

Quando o AWS CloudHSM faz um backup do HSM, este criptografa todos os seus dados antes de os enviar ao AWS CloudHSM. Os dados nunca saem do HSM em formato de texto simples. Além disso, os backups não podem ser descriptografados pelo AWS porque a AWS não tem acesso à chave usada para descriptografar os backups.

Para criptografar os dados, o HSM usa uma chave de criptografia temporária exclusiva como chave de backup temporária (EBK). A EBK é uma chave de criptografia AES de 256 bits gerada dentro do HSM quando o AWS CloudHSM faz um backup. O HSM gera a EBK e, em seguida, a utiliza para criptografar os dados do HSM com um método de encapsulamento de chave AES aprovado pelo FIPS e que está em conformidade com a publicação especial do NIST 800-38F. Em seguida, o HSM fornece dados criptografados ao AWS CloudHSM. Esses dados criptografados incluem uma cópia criptografada da EBK.

Para criptografar a EBK, o HSM usa outra chave de criptografia conhecida como chave de backup persistente (PBK). A PBK também é uma chave de criptografia AES de 256 bits. Para gerar a PBK, o HSM usa uma função de derivação de chaves (KDF) aprovada pelo FIPS no modo de contador compatível com a publicação especial 800-108 do NIST. As entradas dessa KDF incluem o seguinte:

  • Uma chave de backup da chave de fabricante (MKBK), permanentemente incorporada no hardware do HSM pelo fabricante.

  • Uma chave de backup da chave da AWS (AKBK), instalada com segurança no HSM ao ser configurado inicialmente pelo AWS CloudHSM.

Os processos de criptografia estão resumidos na figura a seguir. A chave de criptografia de backup representa a chave de backup persistente (PBK) e a chave de backup efêmera (EBK).

Um resumo das chaves de criptografia usadas para criptografar backups do AWS CloudHSM.

O AWS CloudHSM pode restaurar backups apenas para HSMs pertencentes à AWS feitos pelo mesmo fabricante. Como cada backup contém todos os usuários, chaves e configuração do HSM original, o HSM restaurado contém as mesmas proteções e controles de acesso do original. Os dados restaurados substituem todos os outros dados que possam ter estado no HSM antes da restauração.

Um backup consiste apenas em dados criptografados. Antes do serviço armazenar um backup no Amazon S3, o serviço criptografa o backup novamente usando (AWS Key Management Service) AWS KMS.