Comment améliorer la sécurité de vos clés de chiffrement sur AWS avec CloudHSM ? Par Aurélien Maury

Transcript

1. Comment améliorer la sécurité de vos clés de chiffrement sur

   AWS avec CloudHSM ?

2. Public Cloud as a DevOps accelerator

3. Je m’appelle... Aurélien Maury

4. Je travaille chez...

5. En tant que... CTO

6. J’ai accompagné...

7. On va parler de : AWS Cloud HSM

8. Agenda • Concepts • Service • Mise en oeuvre •

   Automatisation AWS Cloud HSM

9. Concepts

10. C’est quoi un HSM ?

11. appareil considéré comme inviolable offrant des fonctions cryptographiques. [...] matériel

    électronique offrant un service de sécurité qui consiste à générer, stocker et protéger des clefs cryptographiques. Titre de la présentation “ “ cf : https://fr.wikipedia.org/wiki/Hardware_Security_Module

12. Service

13. En direct de la vitrine AWS Cloud HSM • HSM

    inviolable • Infrastructure gérée par AWS • Scalabilité • Pas de lock-in sur la gestion de vos clés

14. En direct de la vitrine AWS Cloud HSM • API

    aux normes du secteur ◦ PKCS#11 ◦ Java Cryptography Extensions (JCE) ◦ Microsoft CryptoNG (CNG). • Authentification sécurisée (utilisateurs et MFA gérés par vous) • Intégration KMS pour faciliter l’utilisation

15. Conformité AWS Cloud HSM

16. Cas d’utilisation AWS Cloud HSM • Besoin de maîtrise du

    stockage de ses clés privées • Déchargement des opérations TLS

17. Performances Opération Statistique connexion/vérification RSA 2048 octets 1100 /s Génération

    de clé RSA 2048 octets 500 ms Génération de nombre aléatoire (CSPRNG) 20 Mo/s AES 256 300 Mo/s chiffrement par lot en duplex intégral AWS Cloud HSM

18. Capacité AWS Cloud HSM • Environ 3300 clés

19. Limites AWS Cloud HSM • Lié à un VPC •

    Un cluster peut contenir entre 0 et 32 HSM • Tout cluster confondu, un compte peut avoir jusqu’à 28 HSM...

20. Tarification Région Par heure pour 1 HSM Par mois pour

    2 HSM Paris 2.18 $ 3139.2 $ Irlande 1.47 $ 2116.8 $ Francfort 1.92 $ 2764.8 $ Londres 1.59 $ 2289.6 $ Stockholm 1.40 $ 2016 $ AWS Cloud HSM

21. Intégration KMS AWS Cloud HSM • API unique de la

    Dev à la Prod • Hardware mutualisé Hors Prod • Hardware dédié en Prod • Grosses économies

22. Mise en oeuvre

23. Limites AWS Cloud HSM Recette locale

24. Les ingrédients • 1 VPC • au moins 2 subnets

    (AZ différentes) • Un cluster Cloud HSM • Autant de HSM que désiré • Un KMS Custom Key Store

25. Création d’un espace réseau AWS Cloud HSM VPC private subnet

    a private subnet b

26. Création du cluster et du premier HSM AWS Cloud HSM

    VPC private subnet a private subnet b HSM cluster HSM 1

27. Vérification de l’identité des HSM AWS Cloud HSM Manufacturer Root

    AWS Root AWS Hardware Manufacturer Hardware Get & verify

28. Signer le cluster AWS Cloud HSM HSM Cluster Sign CA

29. Renvoyer le certificat signé à AWS AWS Cloud HSM ACHIEVEMENT

    UNLOCKED CLUSTER INITIALISÉ

30. Créer une instance de configuration AWS Cloud HSM VPC private

    subnet a private subnet b HSM cluster HSM 1 SSH HSM CLI

31. Changer le password par défaut AWS Cloud HSM ACHIEVEMENT UNLOCKED

    CLUSTER ACTIVÉ

32. Créer un utilisateur “kmsuser” AWS Cloud HSM ACHIEVEMENT UNLOCKED INTÉGRATION

    KMS POSSIBLE

33. Nettoyage AWS Cloud HSM VPC private subnet a private subnet

    b HSM cluster HSM 1 KMS CKS

34. Création d’un KMS Custom Keystore AWS Cloud HSM VPC private

    subnet a private subnet b HSM cluster HSM 1 KMS CKS SSH

35. Création d’un KMS Custom Keystore AWS Cloud HSM ACHIEVEMENT UNLOCKED

    INTÉGRATION KMS EFFECTIVE

36. Redondance AWS Cloud HSM VPC private subnet a private subnet

    b HSM cluster HSM 1 HSM 2 KMS CKS

37. Ligne d’arrivée AWS Cloud HSM ACHIEVEMENT UNLOCKED FAULT-TOLERANT HSM BACKED

    KMS

38. BONUS pour externes AWS Cloud HSM ACHIEVEMENT UNLOCKED OPS-FRIENDLY CEREMONIAL

    • Création d’une machine dans un VPC dédié • Installation des outils nécessaires • Synchronisation du workspace • Guidage audio pour la cérémonie d’initialisation

39. Automatisation

40. Toolkit AWS Cloud HSM https://gitlab.com/wescalefr-oss/aws-cloudhsm-builder

41. Terraform AWS Cloud HSM • Pour la création de ressources

    AWS ◦ Création de l’espace réseau ◦ Création du cluster ◦ Création de l’instance de configuration ◦ Scale out des HSM • Découpage en stack distinctes mais interdépendantes • Réversibilité offerte by-design • À enrichir au fil des évolutions de support de certaines ressources

42. AWS CLI AWS Cloud HSM • Pour toutes les opérations

    sur les ressources créées • Pour tout ce qui n’est pas encore couvert par Terraform ◦ Ressources KMS liées à un CKS • Standard AWS, inutile à recoder

43. Ansible AWS Cloud HSM • Orchestration des actions : ◦

    Terraform ◦ AWS CLI ◦ SSH vers l’instance de configuration • Moteur de variable • Moteur de templating

44. The Truth is in The Code AWS Cloud HSM

45. Durée de la cérémonie AWS Cloud HSM • make hsm-create

    - 12 minutes • make hsm-configure - 7 minutes • make hsm-upscale - 6 minutes • make kms-create-ks - 4 secondes... (+ 20 minutes d’attente) Soit environ 50 minutes pour tout mettre en place.

46. Titre de la présentation 23 rue Taitbout 75009 Paris www.wescale.fr

    | blog.wescale.fr Ressources https://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/introduction.html https://gitlab.com/wescalefr-oss/aws-cloudhsm-builder

47. Titre de la présentation Questions ?

48. Titre de la présentation 23 rue Taitbout 75009 Paris www.wescale.fr

    | blog.wescale.fr Aurélien Maury Directeur Technique [email protected] Merci de votre attention