Cifrado de datos La nube es la idea principal que todo profesional de seguridad tiene en mente hoy en día. Al realizar análisis de datos cifradoLas claves de seguridad son de suma importancia. Gestionar una sola clave de seguridad manualmente es relativamente fácil; sin embargo, si se utilizan muchas, la tarea se vuelve engorrosa. Por lo tanto, surge la necesidad de automatización. gestión de claves servicios de cifrado de datos.
AWS KMS (Servicio de administración de claves) proporciona una interfaz de usuario web fácil de usar para gestionar las claves de seguridad para proteger datos en reposo y el datos en usoAWS KMS es un marcador de posición para CMK (Clave maestra del cliente) recursos que contienen metadatos clave para cifrar y descifrar Los datos. Además, AWS KMS se puede integrar con otros servicios de AWS, como Redshift, EBS, EFS, S3 y Secret Manager, entre otros.
En la publicación de hoy, analizaremos los conceptos clave de AWS KMS y sus diversas características e integración con otros servicios de AWS.
Tipos de claves
- CMK administradas por AWSEstas CMK son creadas, administradas y utilizadas por un servicio de AWS integrado con KMS en nombre del cliente en su cuenta de AWS. Por ejemplo, "aws/s3" es la clave predeterminada en S3 y se utiliza únicamente para cifrar los buckets de S3 en su cuenta.
- CMK gestionadas por el clienteEstas CMK son creadas, administradas y utilizadas por el cliente en la cuenta de AWS. Este es el método más utilizado al usar KMS, ya que proporciona un control de acceso completo y granular sobre las claves de seguridad de una cuenta de AWS.
- CMK propiedad de AWSEstas CMK son propiedad de los servicios de AWS y están gestionadas por ellos para su uso en varias cuentas de AWS. La clave de estas CMK no es visible para los usuarios. Por ejemplo, si elige el cifrado predeterminado de S3, S3 utiliza sus propias CMK de KMS, que se comparten entre varias cuentas de AWS.
Claves de datos
Las claves de datos son claves de cifrado que el usuario puede usar para cifrar grandes cantidades de datos y otras claves de cifrado. Los usuarios pueden usar las CMK de AWS para generar, cifrar y descifrar claves de datos. Sin embargo, AWS KMS no almacena, administra ni rastrea las claves de datos ni realiza operaciones criptográficas con ellas. Los usuarios deben usar y administrar las claves de datos fuera del alcance de AWS KMS.
Control de acceso a las CMK de KMS
La principal forma de controlar el acceso a sus CMK de AWS KMS es mediante políticas de IAM y claves. Una política es una combinación de declaraciones que describen quién tiene acceso a qué.
- Políticas de gestión de identidades y accesosLas políticas asociadas a una identidad IAM se denominan políticas basadas en identidad.
- Políticas claveLas políticas asociadas a los recursos se denominan políticas basadas en recursos.
En AWS KMS, debe asociar políticas basadas en recursos a sus CMK (es decir, políticas de clave). Las políticas de IAM por sí solas no permiten el acceso a las CMK a usuarios o roles de IAM.
| Tipo de CMK | Gestión de CMK a través de la política IAM | Gestión de CMK a través de la Política Clave | Puede ver **metadatos CMK | Se utiliza solo para cuentas de usuario específicas | Rotación automática |
|---|---|---|---|---|---|
| Gestionado por el cliente | Sí: | Sí: | Sí: | Sí: | Opcional* |
| AWS administrado | No | No | Sí: | Sí: | Cada 3 años |
| Propiedad de AWS | No | No | No | No | Varíable |
* La “Rotación automática” está deshabilitada de forma predeterminada, sin embargo, el usuario puede habilitarla hasta por 1 año.
** Los metadatos de CMK son información sobre la CMK, como identificadores de clave, origen, uso de clave, estado de clave, etc.
Por ejemplo, el tipo de metadatos "Origen" indica la fuente del material de claves de la CMK. Si este valor es AWS_KMS, AWS KMS creó el material de claves. Si este valor es EXTERNAL, el material de claves se importó desde una infraestructura de gestión de claves externa. Si este valor es AWS_CLOUDHSM, el material de claves se creó en el clúster de AWS CloudHSM asociado a un almacén de claves personalizado.
CMK simétricos y asimétricos:
AWS KMS protege la CMK que utiliza para proteger sus datos y claves de datos. Las CMK se generan y utilizan únicamente en módulos de seguridad de hardware Diseñado para que nadie pueda acceder a él. texto sin formato material clave.
AWS KMS admite CMK simétricas y asimétricas:
- CMK simétrico:Esto representa una única clave de cifrado secreta de 256 bits que nunca sale de AWS KMS sin cifrar.
- CMK asimétrico:Esto representa un par de claves pública y privada relacionadas matemáticamente que puede usar para el cifrado y desencriptación o firma y verificación, pero no ambas. La clave privada nunca sale de AWS KMS sin cifrar. Puede usar la clave pública dentro de AWS KMS llamando a las operaciones de la API de AWS KMS o descargarla y usarla fuera de AWS KMS.
AWS KMS también proporciona claves de datos simétricas y pares de claves de datos asimétricas, diseñados para criptografía del lado del cliente fuera de AWS KMS. La clave de datos simétrica y la clave privada de un par de claves de datos asimétricas están protegidas por una CMK simétrica en AWS KMS.
Almacén de claves personalizadas de KMS
A almacén de llaves Es una ubicación segura para almacenar claves criptográficas. De forma predeterminada, las claves maestras de cliente (CMK) que crea en AWS KMS se generan y protegen mediante módulos de seguridad de hardware (HSM). FIP Módulos criptográficos compatibles con el nivel 2 140-2. Las CMK nunca dejan los módulos sin cifrar.
A almacén de claves personalizado es un recurso de AWS KMS que está asociado con un clúster de AWS CloudHSM respaldado por HSM FIPS 140-2 Nivel 3 que son propiedad del usuario y están administrados por él.
Cuando un usuario crea una CMK de AWS KMS en su almacén de claves personalizado, AWS KMS genera una clave simétrica AES (Estándar de Cifrado Avanzado) persistente y no exportable de 256 bits en el clúster de AWS CloudHSM asociado. Esta clave siempre sale del HSM sin cifrar. Al usar una CMK en un almacén de claves personalizado, las operaciones criptográficas se realizan en los HSM del clúster.
¿Qué es Bring Your Own Key (BYOK)?
Una CMK es una representación lógica de una clave maestra en la que el material de claves se genera y es propiedad de AWS. Sin embargo, los usuarios pueden crear una CMK sin ningún material de claves y luego importar material de claves externo a esa CMK. Esto se conoce como BYOK, es decir, trae tu propia llave
El material de clave importado es compatible con CMK simétrico en los almacenes de claves de AWS KMS; sin embargo, esto tampoco es compatible con CMK asimétrico y almacenes de claves personalizadas.
Al utilizar material de claves importado, los usuarios son responsables de él, pero permiten que AWS KMS utilice una copia. Este es un caso de uso común donde el usuario desea tener control total sobre el material de claves con fines regulatorios, comerciales, de cumplimiento normativo o legales.
Conclusión
AWS KMS Es un servicio KMS ampliamente utilizado entre todas las opciones de KMS como servicio disponibles de los proveedores de la nube. Dado que AWS KMS ofrece múltiples opciones para las CMK, a veces resulta difícil decidir cuál elegir en diferentes escenarios. Considerando la funcionalidad y el conjunto de características disponibles en cada CMK, si un usuario desea usar una clave disponible para todas las entidades de IAM en su cuenta de AWS, AWS Managed CMK es la mejor opción, ya que la CMK está disponible para todos los usuarios de IAM en la misma cuenta. Sin embargo, si el usuario desea un control de acceso granular sobre las claves, la CMK administrada por el cliente o BYOK parece ser una mejor opción.
