Seguridad

Dónde se almacenan las claves de cifrado de KMS - Mecanismo de cifrado de sobre y HSM

Explicamos el mecanismo por el cual las claves maestras de KMS se almacenan dentro de HSM certificados FIPS 140-2, el diseño de protección doble de claves de datos con cifrado de sobre y el funcionamiento interno de la rotación de claves.

約 4 分で読めます

Las claves KMS no se almacenan en texto plano

Las claves de cifrado (claves KMS, anteriormente CMK) creadas con AWS KMS (Key Management Service) nunca se almacenan en texto plano en disco. El material de clave (los datos reales de la clave de cifrado) de una clave KMS solo existe en texto plano dentro de un HSM (Hardware Security Module) certificado FIPS 140-2 Level 3. Un HSM es un dispositivo de hardware dedicado al procesamiento criptográfico, diseñado para ser resistente a manipulaciones físicas. Incluso si se desmonta el dispositivo, el material de clave se destruye automáticamente. AWS opera clústeres de HSM en múltiples zonas de disponibilidad, y el material de clave se replica de forma cifrada entre HSMs para garantizar la durabilidad.

Cifrado de sobre - Por qué cifrar claves con claves

El núcleo del modelo de cifrado de KMS es el "cifrado de sobre" (Envelope Encryption). En lugar de cifrar los datos directamente con la clave KMS, primero se solicita a KMS la generación de una clave de datos (Data Key), se cifran los datos con esa clave de datos, y luego la propia clave de datos se cifra con la clave KMS y se almacena. ¿Por qué es necesaria esta estructura doble? Hay 2 razones. Primera, el rendimiento. Las claves KMS solo pueden procesar hasta 4 KB de datos por operación de cifrado. Para cifrar archivos grandes de GB, se necesita una clave de datos que pueda realizar cifrado simétrico localmente. Segunda, la seguridad. La clave KMS nunca sale del HSM, por lo que incluso si la clave de datos cifrada se filtra, no puede descifrarse sin acceso a KMS.

Funcionamiento interno de la rotación de claves

Cuando se habilita la rotación automática de claves de KMS, se genera nuevo material de clave cada año (configurable de 90 a 2560 días). Lo importante aquí es que el material de clave antiguo no se elimina después de la rotación. El ARN y el Key ID de la clave KMS no cambian, y los datos cifrados con el material de clave antiguo se descifran automáticamente con el material de clave antiguo. El nuevo material de clave se usa para cifrar nuevos datos. Este diseño permite la rotación de claves sin necesidad de re-cifrar los datos existentes, logrando rotación con cero tiempo de inactividad.

Diferenciación entre KMS y CloudHSM

KMS es un servicio gestionado que opera sobre HSM multi-tenant. Las claves KMS de múltiples clientes se procesan en el mismo clúster de HSM, pero cada clave está criptográficamente aislada y no es posible acceder a las claves de otros clientes. Por otro lado, CloudHSM es un servicio que proporciona HSM single-tenant. Un appliance HSM dedicado se coloca dentro de la VPC y solo el cliente puede acceder a él. CloudHSM es necesario cuando se requiere control directo del HSM por requisitos de cumplimiento (PCI DSS, HIPAA), cuando se necesitan algoritmos criptográficos personalizados, o cuando se requiere rendimiento criptográfico dedicado.

Eliminación de claves de cifrado - La operación más peligrosa e irreversible

La eliminación de una clave KMS es una de las operaciones más peligrosas en AWS. Al eliminar una clave KMS, todos los datos cifrados con esa clave se vuelven permanentemente irrecuperables. Objetos de S3, volúmenes de EBS, snapshots de RDS y todos los datos que dependen de esa clave se pierden efectivamente. AWS mitiga este riesgo estableciendo un período de espera de 7 a 30 días para la eliminación de claves KMS. Al programar la eliminación, la clave se deshabilita inmediatamente (no se puede usar para cifrado/descifrado), pero la eliminación real se ejecuta después del período de espera. Durante este período, puede cancelar la eliminación y restaurar la clave.

Servicios relacionados

AWS KMSServicio administrado de claves de cifrado para crear y gestionar de forma segura las claves utilizadas para cifrar datosAWS CloudHSMUn servicio que gestiona claves criptográficas con módulos de seguridad de hardware dedicados

Artículos relacionados

Cifrado y soberanía de datos en AWS - Aislamiento a nivel de hardware desde KMS hasta Nitro EnclavesExplicamos el cifrado a nivel de hardware y la garantía de soberanía de datos mediante AWS KMS, CloudHSM y Nitro Enclaves, comparando las diferencias de diseño con otras nubes.Módulos de seguridad de hardware - Gestión dedicada de claves criptográficas con AWS CloudHSMAprende sobre la gestión dedicada de claves criptográficas con AWS CloudHSM. Cubre cuándo elegir CloudHSM sobre KMS, cumplimiento FIPS 140-2 Level 3, descarga TLS e integración con Oracle TDE.La historia que Nitro System cambió en EC2 - De Xen a KVM, la revolución que redujo a cero la sobrecarga de virtualizaciónExplicación de la evolución de EC2 desde Xen hasta Nitro System. Se presenta la descarga de I/O con tarjetas Nitro, la minimización del hipervisor, las instancias bare metal y Nitro Enclaves.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

AWS KMSServicio de gestión de claves completamente administrado que centraliza la creación, gestión y rotación de claves de cifrado, integrado con más de 100 servicios de AWSGestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.AWS CloudHSMServicio que proporciona módulos de seguridad de hardware con certificación FIPS 140-2 Level 3 de uso exclusivo para generar, almacenar claves criptográficas y ejecutar operaciones de cifrado en la nubeCifrado y soberanía de datos en AWS - Aislamiento a nivel de hardware desde KMS hasta Nitro EnclavesExplicamos el cifrado a nivel de hardware y la garantía de soberanía de datos mediante AWS KMS, CloudHSM y Nitro Enclaves, comparando las diferencias de diseño con otras nubes.