KMS. El HSM asequible de AWS

KMS. El HSM asequible de AWS

Un HSM (módulo de seguridad de hardware) es un dispositivo informático físico y, por lo general, es caro. No todos los proyectos y soluciones de software necesitan este tipo de hardware especializado, pero, en muchos casos, podría ser una gran ventaja para la seguridad. Hoy en día, una gran cantidad de información sensible se almacena en bases de datos y cualquier violación de seguridad externa / interna podría llevar a revelar información importante de la empresa o datos privados de los usuarios.

Entonces, ¿por qué no proteger algunos datos muy especiales con una capa adicional de seguridad? -¡Oh! No puedo pagar un HSM y mi solución se está ejecutando (escriba cualquier tipo de servidores virtuales remotos). Bueno, esto no nos detendrá hoy.

Suponemos que ya tenemos una cuenta en AWS (Amazon Web Services).

1. Vaya a la Consola de administración de IAM y cree un nuevo usuario. Recuerde descargar las credenciales de AWS.

Más adelante se necesitarán la "ID de clave de acceso" y la "Clave de acceso secreta".

2. En el menú de la izquierda, elija la opción "Claves de cifrado" y cree una nueva clave. Elija la región de AWS correcta.

1. Informar al Key Alias, una descripción y en opciones avanzadas elegir KMS.
2. "Permisos administrativos clave", también conocidos como usuarios que pueden administrar esta clave.
3. "Permisos de uso de claves", los usuarios que pueden utilizar esta clave.
4. Revise la política de claves (formato json) y finalice este paso.
   
   
   
   

La información “ARN” será necesaria más adelante.

Hasta ahora hemos creado una clave de cifrado y un usuario con permisos para usarla. El siguiente paso será cifrar y descifrar algunos datos. Desde una instancia de AWS EC2, esto se puede hacer mediante el comando "aws" de la línea de comandos.

1. "Aws configure". Proporcione las credenciales de usuario.

2. "Cifrado aws". Cifre los datos con la clave creada anteriormente.



3. "Descifrar aws".

-Sí, sí, muy bonito, pero quiero usarlo en mi aplicación de Windows.

Bueno, veamos cómo hacerlo.

Suponemos que ya tiene instalado Visual Studio® y un proyecto de C #.

1. Agregue referencias de AWS y AWS KMS. Se hace fácilmente a través de paquetes NuGet.

2. Cree objetos y variables para:

1. Informar a las credenciales del usuario
2. Informar a la clave
3. Llame a los métodos cifrar / descifrar
4. Obtenga los datos cifrados / descifrados.

AWS también proporciona API para otros lenguajes como java, ruby… Con KMS es muy fácil definir políticas para rotar claves. Se incluyen la gestión centralizada de claves, los registros y las auditorías. 

Solo algunas advertencias para tener en cuenta: 

• La longitud mínima de los datos encriptados comienza en 136 bytes (los metadatos para desencriptar la información están incluidos en la respuesta). Esto es por diseño, de esa manera puede rotar su clave sin preocuparse por la clave utilizada para encriptar datos hace algún tiempo.
• La longitud máxima de datos para cifrar es 4kb.
• Para utilizar AWS KMS, necesita acceso a los puntos de enlace de KMS. Por ejemplo: kms.eu-west-1.amazonaws.com
• Encriptar / Desencriptar es muy, muy rápido, pero las latencias de la red pueden ralentizar sus solicitudes. Elija una región de AWS correcta.
• Cifrar y descifrar datos es diferente en los EE. UU. Del resto del mundo debido a las regulaciones legales. Así que tenga cuidado de usar claves de regiones dentro y fuera de EE. UU.

Creo que todo el proceso no es demasiado complicado. Además, agregar esta capa de seguridad adicional a algunas partes de nuestros datos es fácil. Por supuesto, es una cuestión de confianza en Amazon Web Services. ¿Confías en ellos o no? ¿Y nuestros clientes? ¿Qué piensas?   


Escrito por Antoni Tovar