Wo soll das AWS EC2-Schlüsselpaar aufbewahrt werden?

9

Können Sie sichere Orte zum Speichern der Schlüsselpaare vorschlagen, die EC2-Instanzen zugeordnet sind?

Ist es sicher, solche Dinge im S3-Speicher von Amazon zu speichern, wenn sie auf Ihr Konto beschränkt sind?

Ich habe es derzeit auf meinem PC ... zu Hause. Ist das schlecht?

Luke
quelle
3
Kommt darauf an. Wenn Sie eine Bank sind, ist das wahrscheinlich schrecklich schlecht. Wenn es für Ihr Blog ist, ist es wahrscheinlich in Ordnung. S3 könnte eine gute Idee sein, könnte eine schlechte Idee sein, wenn Sie die Berechtigungen verwechselt haben.
Ceejayoz

Antworten:

11

Der beste Weg, um Ihre EC2-Schlüsselpaare, die nur SSH-Schlüssel sind, zu schützen, besteht darin, sie mit einer Passphrase zu verschlüsseln (und Ihren normalen Passwortverwaltungsprozess für diese Passphrase zu befolgen). Angenommen, Sie verwenden Linux, können Sie ssh-keygen -p -f $fileden Schlüssel verschlüsseln. Sie sollten ein Backup aufbewahren, das vorzugsweise physisch gesichert ist (z. B. ein USB-Stick in einem Safe oder Ähnlichem). Ich gehe davon aus, dass Sie über die private Hälfte des Schlüssels sprechen, da der öffentliche Schlüssel offensichtlich öffentlich ist.

Theoretisch ist es besser, den Schlüssel auf einem TPM auf Ihrer Workstation oder auf einer Smartcard zu speichern, aber es gibt normalerweise praktische Probleme mit dieser Lösung, wenn Sie mit SSH-Schlüsseln arbeiten.

Ob es schlecht ist, den Schlüssel auf Ihrem Heim-PC zu speichern, hängt davon ab, ob dies einen Verstoß gegen die Richtlinien darstellt. Wenn dies nicht der Fall ist, gibt es kaum einen Grund, dies als schlimmer anzusehen, als es auf einem Laptop zu speichern, den Sie für die Arbeit verwenden.

Sie können sicher eine Sicherung des Schlüssels in S3 (anstelle einer physischen Sicherung) durchführen. Das Bedrohungsmodell ist so, dass Sie bereits einen sehr schlechten Tag haben (unter anderem in Bezug auf Datenlecks und Dienstunterbrechungen), wenn jemand auf Ihr AWS-Konto zugreifen kann. Wenn es jedoch keinen Sicherheitsprinzipalen gibt, der möglicherweise mit Ihrem Schlüssel Zugriff auf den S3-Bucket hat, sich jedoch nicht bei den Computern anmelden darf, müssen Sie einen anderen Weg finden. Wenn Sie eine Kopie in S3 speichern, stellen Sie zumindest sicher, dass sie mit einer Passphrase verschlüsselt ist.

Falcon Momot
quelle
6

Nun, der öffentliche Schlüssel kann gespeichert werden, wo immer Sie möchten. Tätowiere es zum Beispiel auf deiner Stirn. :) :)

Der private Schlüssel ist das, was Sie schützen müssen, da er wirklich Ihre Identität ist. Jeder, der Ihren (unverschlüsselten) Schlüssel in die Hände bekommt, kann mit Ihren Servern umgehen. Schützen Sie es also und sichern Sie es wie jede andere wichtige, aber vertrauliche Datei. Verschlüsseln Sie es und speichern Sie es auf einem Flash-Laufwerk, drucken Sie es auf Papier aus und bewahren Sie es als letzten Ausweg in einem Safe auf. Wenn Sie es in S3 speichern möchten, ist das wahrscheinlich in Ordnung, aber ich würde das nur in seinem tun verschlüsseltes Formular.

EEAA
quelle
4
Das ist eine lange Tätowierung.
Bob
4
Die Idee von @Coulton EEAA ist nicht so schlecht. Tätowieren Sie es als QR-Code auf Ihrer Stirn und haben Sie dann etwas, das Sie gegenüber Ihren Instanzen authentifiziert, wenn Sie vor Ihrer Webcam stehen.
PNDA
4
Schade, wenn Sie Ihren Schlüssel drehen müssen.
EEAA