¿Dónde se debe almacenar el par de claves AWS EC2?

9

¿Puede sugerir lugares seguros para almacenar los pares de claves asociados con las instancias de EC2?

¿Es seguro almacenar este tipo de cosas en el almacenamiento S3 de Amazon si están restringidas a su cuenta?

Actualmente lo tengo en mi PC ... en casa. ¿Es tan malo?

amazon-ec2 amazon-web-services Luke
fuente
3
Eso depende. Si eres un banco, eso probablemente sea terriblemente malo. Si es para tu blog, probablemente esté bien. S3 podría ser una buena idea, podría ser una mala idea si tiene los permisos mezclados.
ceejayoz

Respuestas:

11

La mejor manera de proteger sus pares de claves EC2, que son solo claves SSH, es cifrarlos con una frase de contraseña (y seguir el proceso normal de administración de contraseña para esa frase de contraseña). Suponiendo que está utilizando Linux, puede usar ssh-keygen -p -f $filepara cifrar la clave. Debe mantener una copia de seguridad, preferiblemente protegida físicamente (es decir, una memoria USB en una caja de seguridad o algo). Supongo que está hablando de la mitad privada de la clave, ya que la clave pública es obviamente pública.

Teóricamente, sería mejor almacenar la clave en un TPM en su estación de trabajo o en una tarjeta inteligente, pero generalmente hay problemas prácticos con esta solución cuando se trata de claves SSH.

Si es malo almacenar la clave en la PC de su hogar depende de si se trata de una violación de la política. Si no es así, sinceramente, hay pocas razones para ver esto como algo peor que almacenarlo en una computadora portátil que usa para el trabajo.

Ciertamente puede mantener una copia de seguridad de la clave en S3 (en lugar de una copia de seguridad física). El modelo de amenaza es tal que ya está teniendo un mal día (en términos de fugas de datos e interrupción del servicio, entre otras cosas) si alguien puede acceder a su cuenta de AWS. Pero, a menos que haya algún director de seguridad que pueda tener acceso al bucket S3 con su clave pero no se le permita iniciar sesión en las máquinas, necesitaría encontrar otra forma. Si almacena una copia en S3, al menos asegúrese de que esté encriptada con una frase de contraseña.

Falcon Momot
fuente
6

Bueno, la clave pública se puede almacenar donde quieras. Tatúalo en tu frente, por ejemplo. :)

La clave privada es lo que necesita proteger, ya que es realmente su identidad. Cualquier persona que tenga en sus manos su clave (no encriptada) puede hacerlo con sus servidores. Por lo tanto, protéjalo y haga una copia de seguridad como lo haría con cualquier otro archivo importante pero confidencial. Cifre y guárdelo en una unidad flash, imprímalo en papel y guárdelo en una caja fuerte como último recurso, etc. Si desea almacenarlo en S3, probablemente esté bien, pero solo lo haría en su forma encriptada

EEAA
fuente
44
Ese es un tatuaje largo.
Bob
44
La idea de @Coulton EEAA no es tan mala. Tatúelo como un código QR en su frente y luego tenga algo que lo autentique en sus instancias cuando se enfrente a su cámara web.
PNDA
44
Sin embargo, es un fastidio cuando necesitas girar tu llave.
EEAA