Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Comment améliorer la sécurité de vos clés de ch...

WeScale
October 29, 2019

Comment améliorer la sécurité de vos clés de chiffrement sur AWS avec CloudHSM ? Par Aurélien Maury

Le service CloudHSM d’Amazon Web Services vous permet d’avoir votre hardware dédié de stockage de clé.

Nous verrons ensemble les fonctionnalités de ce service, les cas d’usages, la mise en place et comment l’intégrer avec vos usages courants de chiffrement KMS.

Quelques pré-requis pour profiter pleinement de ce rdv :

- Connaître les bases des concepts réseau sur AWS

Mais les #WeSpeakCloud by WeScale késako ?
La transmission et le partage des connaissances font intégralement partie de nos valeurs chez WeScale.
C’est pour cela que nous avons décidé d'organiser les #WeSpeakCloud "et si nous parlions Cloud ?", une série d'évènements gratuits où nous pourrons apprendre et discuter ensemble sur des sujets actuels qui constituent les technologies et l'environnement Cloud.

WeScale

October 29, 2019
Tweet

More Decks by WeScale

Other Decks in Technology

Transcript

  1. appareil considéré comme inviolable offrant des fonctions cryptographiques. [...] matériel

    électronique offrant un service de sécurité qui consiste à générer, stocker et protéger des clefs cryptographiques. Titre de la présentation “ “ cf : https://fr.wikipedia.org/wiki/Hardware_Security_Module
  2. En direct de la vitrine AWS Cloud HSM • HSM

    inviolable • Infrastructure gérée par AWS • Scalabilité • Pas de lock-in sur la gestion de vos clés
  3. En direct de la vitrine AWS Cloud HSM • API

    aux normes du secteur ◦ PKCS#11 ◦ Java Cryptography Extensions (JCE) ◦ Microsoft CryptoNG (CNG). • Authentification sécurisée (utilisateurs et MFA gérés par vous) • Intégration KMS pour faciliter l’utilisation
  4. Cas d’utilisation AWS Cloud HSM • Besoin de maîtrise du

    stockage de ses clés privées • Déchargement des opérations TLS
  5. Performances Opération Statistique connexion/vérification RSA 2048 octets 1100 /s Génération

    de clé RSA 2048 octets 500 ms Génération de nombre aléatoire (CSPRNG) 20 Mo/s AES 256 300 Mo/s chiffrement par lot en duplex intégral AWS Cloud HSM
  6. Limites AWS Cloud HSM • Lié à un VPC •

    Un cluster peut contenir entre 0 et 32 HSM • Tout cluster confondu, un compte peut avoir jusqu’à 28 HSM...
  7. Tarification Région Par heure pour 1 HSM Par mois pour

    2 HSM Paris 2.18 $ 3139.2 $ Irlande 1.47 $ 2116.8 $ Francfort 1.92 $ 2764.8 $ Londres 1.59 $ 2289.6 $ Stockholm 1.40 $ 2016 $ AWS Cloud HSM
  8. Intégration KMS AWS Cloud HSM • API unique de la

    Dev à la Prod • Hardware mutualisé Hors Prod • Hardware dédié en Prod • Grosses économies
  9. Les ingrédients • 1 VPC • au moins 2 subnets

    (AZ différentes) • Un cluster Cloud HSM • Autant de HSM que désiré • Un KMS Custom Key Store
  10. Création du cluster et du premier HSM AWS Cloud HSM

    VPC private subnet a private subnet b HSM cluster HSM 1
  11. Vérification de l’identité des HSM AWS Cloud HSM Manufacturer Root

    AWS Root AWS Hardware Manufacturer Hardware Get & verify
  12. Créer une instance de configuration AWS Cloud HSM VPC private

    subnet a private subnet b HSM cluster HSM 1 SSH HSM CLI
  13. Création d’un KMS Custom Keystore AWS Cloud HSM VPC private

    subnet a private subnet b HSM cluster HSM 1 KMS CKS SSH
  14. BONUS pour externes AWS Cloud HSM ACHIEVEMENT UNLOCKED OPS-FRIENDLY CEREMONIAL

    • Création d’une machine dans un VPC dédié • Installation des outils nécessaires • Synchronisation du workspace • Guidage audio pour la cérémonie d’initialisation
  15. Terraform AWS Cloud HSM • Pour la création de ressources

    AWS ◦ Création de l’espace réseau ◦ Création du cluster ◦ Création de l’instance de configuration ◦ Scale out des HSM • Découpage en stack distinctes mais interdépendantes • Réversibilité offerte by-design • À enrichir au fil des évolutions de support de certaines ressources
  16. AWS CLI AWS Cloud HSM • Pour toutes les opérations

    sur les ressources créées • Pour tout ce qui n’est pas encore couvert par Terraform ◦ Ressources KMS liées à un CKS • Standard AWS, inutile à recoder
  17. Ansible AWS Cloud HSM • Orchestration des actions : ◦

    Terraform ◦ AWS CLI ◦ SSH vers l’instance de configuration • Moteur de variable • Moteur de templating
  18. Durée de la cérémonie AWS Cloud HSM • make hsm-create

    - 12 minutes • make hsm-configure - 7 minutes • make hsm-upscale - 6 minutes • make kms-create-ks - 4 secondes... (+ 20 minutes d’attente) Soit environ 50 minutes pour tout mettre en place.
  19. Titre de la présentation 23 rue Taitbout 75009 Paris www.wescale.fr

    | blog.wescale.fr Ressources https://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/introduction.html https://gitlab.com/wescalefr-oss/aws-cloudhsm-builder
  20. Titre de la présentation 23 rue Taitbout 75009 Paris www.wescale.fr

    | blog.wescale.fr Aurélien Maury Directeur Technique [email protected] Merci de votre attention