Comment améliorer la sécurité de vos clés de chiffrement sur AWS avec CloudHSM ? Par Aurélien Maury

78605f82de8b2ea497603533d022f1e0?s=47 WeScale
October 29, 2019

Comment améliorer la sécurité de vos clés de chiffrement sur AWS avec CloudHSM ? Par Aurélien Maury

Le service CloudHSM d’Amazon Web Services vous permet d’avoir votre hardware dédié de stockage de clé.

Nous verrons ensemble les fonctionnalités de ce service, les cas d’usages, la mise en place et comment l’intégrer avec vos usages courants de chiffrement KMS.

Quelques pré-requis pour profiter pleinement de ce rdv :

- Connaître les bases des concepts réseau sur AWS

Mais les #WeSpeakCloud by WeScale késako ?
La transmission et le partage des connaissances font intégralement partie de nos valeurs chez WeScale.
C’est pour cela que nous avons décidé d'organiser les #WeSpeakCloud "et si nous parlions Cloud ?", une série d'évènements gratuits où nous pourrons apprendre et discuter ensemble sur des sujets actuels qui constituent les technologies et l'environnement Cloud.

78605f82de8b2ea497603533d022f1e0?s=128

WeScale

October 29, 2019
Tweet

Transcript

  1. Comment améliorer la sécurité de vos clés de chiffrement sur

    AWS avec CloudHSM ?
  2. Public Cloud as a DevOps accelerator

  3. Je m’appelle... Aurélien Maury

  4. Je travaille chez...

  5. En tant que... CTO

  6. J’ai accompagné...

  7. On va parler de : AWS Cloud HSM

  8. Agenda • Concepts • Service • Mise en oeuvre •

    Automatisation AWS Cloud HSM
  9. Concepts

  10. C’est quoi un HSM ?

  11. appareil considéré comme inviolable offrant des fonctions cryptographiques. [...] matériel

    électronique offrant un service de sécurité qui consiste à générer, stocker et protéger des clefs cryptographiques. Titre de la présentation “ “ cf : https://fr.wikipedia.org/wiki/Hardware_Security_Module
  12. Service

  13. En direct de la vitrine AWS Cloud HSM • HSM

    inviolable • Infrastructure gérée par AWS • Scalabilité • Pas de lock-in sur la gestion de vos clés
  14. En direct de la vitrine AWS Cloud HSM • API

    aux normes du secteur ◦ PKCS#11 ◦ Java Cryptography Extensions (JCE) ◦ Microsoft CryptoNG (CNG). • Authentification sécurisée (utilisateurs et MFA gérés par vous) • Intégration KMS pour faciliter l’utilisation
  15. Conformité AWS Cloud HSM

  16. Cas d’utilisation AWS Cloud HSM • Besoin de maîtrise du

    stockage de ses clés privées • Déchargement des opérations TLS
  17. Performances Opération Statistique connexion/vérification RSA 2048 octets 1100 /s Génération

    de clé RSA 2048 octets 500 ms Génération de nombre aléatoire (CSPRNG) 20 Mo/s AES 256 300 Mo/s chiffrement par lot en duplex intégral AWS Cloud HSM
  18. Capacité AWS Cloud HSM • Environ 3300 clés

  19. Limites AWS Cloud HSM • Lié à un VPC •

    Un cluster peut contenir entre 0 et 32 HSM • Tout cluster confondu, un compte peut avoir jusqu’à 28 HSM...
  20. Tarification Région Par heure pour 1 HSM Par mois pour

    2 HSM Paris 2.18 $ 3139.2 $ Irlande 1.47 $ 2116.8 $ Francfort 1.92 $ 2764.8 $ Londres 1.59 $ 2289.6 $ Stockholm 1.40 $ 2016 $ AWS Cloud HSM
  21. Intégration KMS AWS Cloud HSM • API unique de la

    Dev à la Prod • Hardware mutualisé Hors Prod • Hardware dédié en Prod • Grosses économies
  22. Mise en oeuvre

  23. Limites AWS Cloud HSM Recette locale

  24. Les ingrédients • 1 VPC • au moins 2 subnets

    (AZ différentes) • Un cluster Cloud HSM • Autant de HSM que désiré • Un KMS Custom Key Store
  25. Création d’un espace réseau AWS Cloud HSM VPC private subnet

    a private subnet b
  26. Création du cluster et du premier HSM AWS Cloud HSM

    VPC private subnet a private subnet b HSM cluster HSM 1
  27. Vérification de l’identité des HSM AWS Cloud HSM Manufacturer Root

    AWS Root AWS Hardware Manufacturer Hardware Get & verify
  28. Signer le cluster AWS Cloud HSM HSM Cluster Sign CA

  29. Renvoyer le certificat signé à AWS AWS Cloud HSM ACHIEVEMENT

    UNLOCKED CLUSTER INITIALISÉ
  30. Créer une instance de configuration AWS Cloud HSM VPC private

    subnet a private subnet b HSM cluster HSM 1 SSH HSM CLI
  31. Changer le password par défaut AWS Cloud HSM ACHIEVEMENT UNLOCKED

    CLUSTER ACTIVÉ
  32. Créer un utilisateur “kmsuser” AWS Cloud HSM ACHIEVEMENT UNLOCKED INTÉGRATION

    KMS POSSIBLE
  33. Nettoyage AWS Cloud HSM VPC private subnet a private subnet

    b HSM cluster HSM 1 KMS CKS
  34. Création d’un KMS Custom Keystore AWS Cloud HSM VPC private

    subnet a private subnet b HSM cluster HSM 1 KMS CKS SSH
  35. Création d’un KMS Custom Keystore AWS Cloud HSM ACHIEVEMENT UNLOCKED

    INTÉGRATION KMS EFFECTIVE
  36. Redondance AWS Cloud HSM VPC private subnet a private subnet

    b HSM cluster HSM 1 HSM 2 KMS CKS
  37. Ligne d’arrivée AWS Cloud HSM ACHIEVEMENT UNLOCKED FAULT-TOLERANT HSM BACKED

    KMS
  38. BONUS pour externes AWS Cloud HSM ACHIEVEMENT UNLOCKED OPS-FRIENDLY CEREMONIAL

    • Création d’une machine dans un VPC dédié • Installation des outils nécessaires • Synchronisation du workspace • Guidage audio pour la cérémonie d’initialisation
  39. Automatisation

  40. Toolkit AWS Cloud HSM https://gitlab.com/wescalefr-oss/aws-cloudhsm-builder

  41. Terraform AWS Cloud HSM • Pour la création de ressources

    AWS ◦ Création de l’espace réseau ◦ Création du cluster ◦ Création de l’instance de configuration ◦ Scale out des HSM • Découpage en stack distinctes mais interdépendantes • Réversibilité offerte by-design • À enrichir au fil des évolutions de support de certaines ressources
  42. AWS CLI AWS Cloud HSM • Pour toutes les opérations

    sur les ressources créées • Pour tout ce qui n’est pas encore couvert par Terraform ◦ Ressources KMS liées à un CKS • Standard AWS, inutile à recoder
  43. Ansible AWS Cloud HSM • Orchestration des actions : ◦

    Terraform ◦ AWS CLI ◦ SSH vers l’instance de configuration • Moteur de variable • Moteur de templating
  44. The Truth is in The Code AWS Cloud HSM

  45. Durée de la cérémonie AWS Cloud HSM • make hsm-create

    - 12 minutes • make hsm-configure - 7 minutes • make hsm-upscale - 6 minutes • make kms-create-ks - 4 secondes... (+ 20 minutes d’attente) Soit environ 50 minutes pour tout mettre en place.
  46. Titre de la présentation 23 rue Taitbout 75009 Paris www.wescale.fr

    | blog.wescale.fr Ressources https://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/introduction.html https://gitlab.com/wescalefr-oss/aws-cloudhsm-builder
  47. Titre de la présentation Questions ?

  48. Titre de la présentation 23 rue Taitbout 75009 Paris www.wescale.fr

    | blog.wescale.fr Aurélien Maury Directeur Technique aurelien.maury@wescale.fr Merci de votre attention