內部作業 - AWS 付款密碼編譯
HSM 規格和生命週期HSM 裝置實體安全性 HSM 初始化 HSM 服務與維修 HSM 解除委任 HSM 韌體更新 操作員訪問 金鑰管理

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

內部作業

本主題說明此服務實作的內部需求,以保護客戶金鑰和密碼編譯作業,以保護全球分散式且可擴充的付款密碼編譯和金鑰管理服務。

HSM 規格和生命週期

AWS 付款密碼編譯使用市面上可用的 HSM 叢集。HSM 通過 FIPS 140-2 第 3 級驗證,也使用 PCI 安全標準委員會核准的 PCI PTS 裝置清單上列出的韌體版本和安全性原則,作為 PCI HSM v3 投訴。PCI PTS HSM 標準包括 HSM 硬體的製造、出貨、部署、管理和銷毀的額外要求,這些要求對於付款安全性和合規性很重要,但 FIPS 140 無法解決。

所有 HSM 均以 PCI 模式運作,並使用 PCI PTS HSM 安全性原則進行設定。僅啟用支援 AWS 付款密碼編譯使用案例所需的功能。 AWS 付款密碼不提供列印、顯示或退回純文字 PIN 碼。

HSM 裝置實體安全性

服務只能使用製造商在交付前由 AWS 付款密碼編譯憑證授權單位 (CA) 簽署裝置金鑰的 HSM。 AWS 付款密碼編譯是製造商 CA 的子 CA,它是 HSM 製造商和裝置憑證的信任根。製造商的 CA 實作 ANSI TR 34,並已證明符合 PCI PIN 安全性附件 A 和 PCI P2PE 附件 A。製造商會驗證所有含有由 AWS 付款密碼編譯 CA 簽署之裝置金鑰的 HSM 都會運送至 AWS 指定的接收機。

根據 PCI PIN 安全性的要求,製造商會透過與 HSM 貨件不同的通訊管道提供序號清單。在將 HSM 安裝到 AWS 資料中心的每個步驟中,都會檢查這些序號。最後, AWS 付款密碼編譯操作員會根據製造商清單驗證已安裝的 HSM 清單,然後再將序號新增至允許接收 AWS 付款密碼編譯金鑰的 HSM 清單。

HSM 始終處於安全儲存或雙重控制之下,其中包括:

  • 從製造商運送到 AWS 機架組裝設施。

  • 在機架組裝期間。

  • 從機架組裝設施出貨至資料中心。

  • 收據並安裝到數據中心安全處理室。HSM 機架透過卡門禁控制鎖、警示門感應器和攝影機,強制執行雙重控制。

  • 在操作期間。

  • 在退役和銷毀期間。

為每個 HSM 維護和監控完整 chain-of-custody且具有個別責任感。

HSM 初始化

HSM 僅在透過序號、製造商安裝的裝置金鑰和韌體總和檢查碼驗證其身分和完整性後,才會初始化為 AWS 付款密碼學叢集的一部分。驗證 HSM 的真實性和完整性之後,就會進行設定,包括啟用 PCI 模式。然後會建立 AWS 付款密碼編譯區域主金鑰和設定檔主要金鑰,並且 HSM 可供服務使用。

HSM 服務與維修

HSM 具有可維修的元件,不需要違反裝置的加密界限。這些元件包括冷卻風扇、電源供應器和電池。如果 HSM 機架內的 HSM 或其他裝置需要維修,則在機架開啟的整個期間都會維持雙重控制。

HSM 解除委任

因 HSM end-of-life 或故障而發生停用。HSM 在從其機架移除之前 (如果功能正常) 會在邏輯上為零化,然後在 AWS 資料中心的安全處理室中銷毀。它們永遠不會退還給製造商進行維修,用於其他目的,或者在銷毀之前將其從安全的加工室中移除。

HSM 韌體更新

HSM 韌體更新會在必要時套用,以維持與 PCI PTS HSM 和 FIPS 140-2 (或 FIPS 140-3) 列出的版本保持一致性,如果更新與安全性相關,或者判斷客戶可以從新版本的功能中獲益。 AWS 支付密碼學 HSM 會執行 off-the-shelf 韌體,與 PCI PTS HSM 列出的版本相符。新韌體版本已通過 PCI 或 FIPS 認證韌體版本的完整性驗證,然後在推出至所有 HSM 之前測試功能是否具備功能性。

操作員訪問

在極少數情況下,在正常作業期間從 HSM 收集的資訊不足以識別問題或計劃變更,操作員可以非主控台存取 HSM 以進行疑難排解。會執行下列步驟:

  • 疑難排解活動已開發並核准,並排程非主控台工作階段。

  • HSM 已從客戶處理服務中移除。

  • 主鍵被刪除,在雙重控制下。

  • 操作員可以非主控台存取 HSM,在雙重控制下執行核准的疑難排解活動。

    • 終止非主控台工作階段後,會在 HSM 上執行初始佈建程序,傳回標準韌體和組態,然後同步主金鑰,然後將 HSM 傳回給服務的客戶。

    • 工作階段的記錄會記錄在變更追蹤中。

    • 從工作階段取得的資訊會用於規劃 future 的變更。

檢閱所有非主控台存取記錄,以確保程序合規性以及 HSM 監控、 non-console-access 管理程序或操作員訓練的潛在變更。

金鑰管理

區域中的所有 HSM 都會同步至區域主要金鑰。區域主鍵可保護至少一個設定檔主要金鑰。設定檔主要金鑰可保護客戶金鑰。

所有主金鑰均由 HSM 產生,並使用非對稱技術透過對稱式金鑰發佈分發給,符合 ANSI X9 TR 34 和 PCI PIN 碼附件 A。

產生

AES 256 位元主要金鑰是使用 PCI PTS 隨機數產生器,在為服務 HSM 叢集佈建的其中一個 HSM 上產生。

區域主鍵同步

HSM 區域主要金鑰會由區域叢集中的服務與 ANSI X9 TR-34 所定義的機制進行同步處理,其中包括:

  • 使用密鑰分發主機(KDH)和密鑰接收設備(KRD)密鑰和證書的相互身份驗證,以提供公鑰的身份驗證和完整性。

  • 憑證由符合 PCI PIN 附件 A2 要求的憑證授權單位 (CA) 簽署,但非對稱演算法和適用於保護 AES 256 位元金鑰的金鑰優勢除外。

  • 與 ANSI X9 TR-34 和 PCI PIN 附件 A1 一致的分散式對稱金鑰的識別和金鑰保護,但非對稱演算法和適用於保護 AES 256 位元金鑰的關鍵優勢除外。

區域主要金鑰可透過下列方式為區域驗證和佈建的 HSM 建立:

  • 主要金鑰會在區域中的 HSM 上產生。該 HSM 被指定為金鑰發佈主機。

  • 區域中所有佈建的 HSM 都會產生 KRD 驗證 Token,其中包含 HSM 的公開金鑰和不可重複播放的驗證資訊。

  • KRD 權杖會在 KDH 驗證 HSM 接收金鑰的身分和權限後,新增至 KDH 允許清單。

  • KDH 會為每個 HSM 產生一個可驗證的主金鑰權杖。Token 包含 KDH 驗證資訊和加密的主金鑰,這些資訊只能在為其建立的 HSM 上載入。

  • 每個 HSM 都會傳送為其建置的主要金鑰權杖。驗證 HSM 本身的驗證資訊和 KDH 驗證資訊之後,主金鑰會由 KRD 私密金鑰解密並載入到主金鑰中。

如果單一 HSM 必須與區域重新同步處理:

  • 它會重新驗證並使用韌體和組態佈建。

  • 如果它是該地區的新手:

    • HSM 會產生 KRD 驗證權杖。

    • KDH 會將權杖新增至其允許清單。

    • KDH 會為 HSM 產生一個主要金鑰權杖。

    • HSM 會載入主要金鑰。

    • HSM 可供服務使用。

這可確保:

  • 只有在區域內進行 AWS 付款密碼處理驗證的 HSM 才能接收該區域的主金鑰。

  • 只有來自 AWS 付款密碼編譯 HSM 的主金鑰可以散發到叢集中的 HSM。

區域主鍵旋轉

區域主要金鑰會在加密期間到期時輪換,在不太可能發生疑似金鑰入侵的情況下,或在確定影響金鑰安全性的服務變更之後進行輪換。

系統會產生新的區域主要金鑰,並與初始佈建一樣散佈。保存的配置文件主鍵必須轉換為新區域主鍵。

區域主要金鑰輪換不會影響客戶處理。

設定檔主要金鑰同步

配置文件主鍵受區域主鍵保護。這會將設定檔限制在特定區域。

設定檔主要金鑰會相應地佈建:

  • 設定檔主要金鑰會在已同步區域主金鑰的 HSM 上產生。

  • 設定檔主要金鑰會使用設定檔組態和其他內容來儲存和加密。

  • 該設定檔可供區域主要金鑰的區域中任何 HSM 用於客戶密碼編譯功能。

輪廓主鍵旋轉

設定檔主要金鑰會在加密期間到期、疑似金鑰遭到入侵之後,或在決定影響金鑰安全性的服務變更之後輪替。

旋轉步驟:

  • 新的設定檔主要金鑰會產生並以擱置的主要金鑰的形式散佈,如同初始佈建一樣。

  • 背景處理會將客戶金鑰材料從已建立的設定檔主索引鍵轉換為擱置的主金鑰。

  • 使用擱置金鑰加密所有客戶金鑰後,擱置金鑰會升級為設定檔主要金鑰。

  • 背景程序會刪除受到過期金鑰保護的客戶金鑰材料。

設定檔主要金鑰輪換不會影響客戶處理。

保護

金鑰僅依賴於保護的金鑰階層。保護主金鑰對於防止遺失或損害所有客戶金鑰至關重要。

區域主要金鑰只能從備份還原為服務驗證和佈建的 HSM。這些金鑰只能儲存為特定 HSM 的特定 KDH 可互相驗證的加密主金鑰權杖。

設定檔主要金鑰會以設定檔設定和按區域加密的內容資訊來儲存。

客戶金鑰會儲存在金鑰區塊中,並受到設定檔主要金鑰保護。

所有金鑰僅存在於 HSM 中,或由另一個具有相同或更強密碼編譯強度的金鑰所儲存。

耐久性

即使在通常會導致中斷的極端情況下,也必須提供交易密碼編譯和業務功能的客戶金鑰。 AWS 付款密碼編譯可在可用性區域和區域中使用多層級備援模型。 AWS 客戶需要更高的可用性和耐久性來支付加密操作,而不是服務所提供的實作多區域架構。

HSM 驗證和主要金鑰 Token 會儲存,並可用於還原主金鑰或與新的主金鑰同步處理 (萬一 HSM 必須重設)。令牌被存檔,並在需要時僅在雙重控制下使用。

通訊安全

外部

AWS 付款密碼編譯 API 端點符合 AWS 安全標準,包括 1.2 或更高版本的 TLS 以及用於驗證和請求完整性的簽名版本 4。

傳入 TLS 連線會在網路負載平衡器上終止,並透過內部 TLS 連線轉送至 API 處理常式。

內部 (Internal)

服務元件之間以及服務元件與其他 AWS 服務之間的內部通訊,都受到 TLS 使用強式加密技術的保護。

HSM 位於只能從服務元件存取的私人非虛擬網路上。HSM 與服務元件之間的所有連線均以相互 TLS (MTL) 安全保護,且在 TLS 1.2 或以上。TLS 和 MTL 的內部憑證是由 Amazon Certificate Manager 使用 AWS 私有憑證授權單位來管理。監控內部 VPC 和 HSM 網路是否存在未例外的活動和組態變更。

客戶金鑰管理

和 AWS, 客戶的信任是我們的首要任務. 您可以完全控制 AWS 帳戶下的服務中上傳或建立的金鑰,並負責設定金鑰存取權限。

AWS 付款密碼學對於服務所管理的金鑰的 HSM 實體合規性和金鑰管理負有全部責任。這需要 HSM 主金鑰的擁有權和管理,以及在 AWS 付款密碼編譯金鑰資料庫中儲存受保護的客戶金鑰。

客戶密鑰空間分離

AWS 付款密碼編譯會強制執行所有金鑰使用的金鑰政策,包括將主體限制為擁有金鑰的帳戶,除非金鑰明確與其他帳戶共用。

備份與復原

區域的金鑰和金鑰資訊會由以下方式備份至加密的封存 AWS。歸檔需要雙重控制 AWS 才能還原。

關鍵區塊

所有密鑰都存儲在 ANSI X9 TR-31 格式的鍵塊。

金鑰可以從密碼編譯或支援的其他金鑰區塊格式匯入服務。 ImportKey同樣地,如果金鑰可匯出,也可以匯出為金鑰匯出設定檔支援的其他金鑰區塊格式或密碼編譯。

金鑰使用

金鑰的使用僅限於服務 KeyUsage 所設定。如果要求的密碼編譯作業有不適當的金鑰使用、使用模式或演算法,服務將會失敗任何要求。

關鍵交換關係

PCI PIN 安全性和 PCI P2PE 要求共用加密 PIN 的金鑰 (包括用來共用這些金鑰的 KEK) 的組織,不要與任何其他組織共用這些金鑰。最佳做法是,對稱金鑰只會在兩個當事人之間共用,包括在同一個組織內。如此可將強制取代受影響金鑰的可疑金鑰妥協所造成的影響降到最低。

即使是商業案例,需要共享密鑰超過 2 方之間, 應保持當事人的最小數量.

AWS 付款密碼學提供關鍵標籤,可用於追蹤和強制執行這些需求內的金鑰使用情況。

例如,不同金鑰注入設施的 KEK 和 BDK 可以透過為與該服務提供者共用的所有金鑰設定「KIF」=「POStation」來識別。另一個例子是標記與「網絡」=「PayCard」的支付網絡共享的密鑰。標記可讓您建立存取控制並建立稽核報告,以強制執行並展示您的金鑰管理實務。

金鑰刪除

DeleteKey 在客戶可配置的期限後,標記資料庫中要刪除的金鑰。在此期間之後,金鑰將無法挽回地刪除。這是防止意外或惡意刪除金鑰的安全機制。標記為刪除的金鑰不適用於除外的任何動作 RestoreKey。

刪除後,刪除的金鑰會在服務備份中保留 7 天。在此期間,它們不可恢復。

屬於已關閉 AWS 帳戶的金鑰會標示為要刪除。如果帳戶在刪除期間到達之前重新啟用,則會還原標記為刪除的任何金鑰,但已停用。您必須重新啟用它們,才能將其用於密碼編譯作業。

日誌記錄和監控

內部服務記錄包括:

  • CloudTrail 服務發出的 AWS 服務呼叫日誌

  • CloudWatch 直接記錄至記 CloudWatch 錄檔或 HSM 事件的兩個事件記錄

  • 來自 HSM 和服務系統的記錄檔

  • 日誌存檔

所有記錄來源都會監視和篩選敏感資訊,包括關於金鑰。系統檢閱記錄檔,以確保其中包含的記錄不包含敏感的客戶資訊。

完成工作角色所需的個人才能存取記錄。

所有日誌都會保留符合 AWS 日誌保留政策。