Как зашифровать, безопасно хранить и передавать закрытые ключи SSH

Question

Мне нужно сгенерировать s sh пары ключей для нескольких экземпляров сервера и хранить закрытые ключи на том же / другом сервере для дальнейших задач автоматизации.

Какими способами можно защитить эти ключи в случае попытки взлома?

Может ли AWS Служба управления ключами помочь защитить эти ключевые файлы, я думаю, одним из возможных решений является

1. Keep закрытые ключи, зашифрованные с помощью AWS KMS, и сохранить ключ в базе данных с идентификатором AWS ключа.

И затем я передам зашифрованный закрытый ключ, связанный с сервером автоматизации, а затем Расшифровка ключа происходит на сервере автоматизации, который вызывает aws для расшифровки, а затем использует закрытый ключ открытого текста s sh для аутентификации с экземпляром.

Это жизнеспособный подход? Я чувствую, что это просто дополнительный уровень безопасности, а не решение solid. Какие подходы здесь могут помочь?

Answer 1

Я предлагаю заглянуть в AWS Менеджер секретов для этого. Secrets Manager позволит вам хранить ключи S SH в зашифрованном виде, используя выбранный вами ключ KMS, и контролировать доступ к каждому ключу S SH с помощью политик IAM.

Answer 2

Да, вы можете зашифровать эти ключи с помощью KMS, при шифровании содержимого вы получите как простой текст, так и зашифрованную копию ключа шифрования данных (оба в кодировке Base64).

Когда вы сохраняете объект в хранилище данных вам нужно будет сохранить его с зашифрованным ключом шифрования данных. Затем, когда вам нужно получить этот ключ, вы должны расшифровать его с помощью CMK.