Le service AWS CloudHSM vous permet de respecter les exigences professionnelles, contractuelles et réglementaires relatives à la sécurité des données en mettant à votre disposition des modules de sécurité matériels (HSM, Hardware Security Module) dédiés dans le cloud AWS. Grâce à CloudHSM, vous pouvez contrôler les clés et les opérations de chiffrement réalisées via HSM.

AWS et les partenaires AWS Marketplace proposent différentes solutions de protection des données sensibles sur la plate-forme AWS, mais dans le cas d'applications et de données soumises à des exigences contractuelles ou réglementaires très strictes en termes de gestion des clés cryptographiques, une protection supplémentaire peut s'avérer nécessaire. Jusqu'à maintenant, la seule option qui s'offrait à vous consistait à stocker les données sensibles (ou les clés de chiffrement protégeant ces données) dans vos centres de données sur site. Cependant, cette solution vous empêchait de procéder à la migration de ces applications vers le cloud, ou ralentissait fortement leurs performances. Le service AWS CloudHSM permet de protéger vos clés de chiffrement dans des HSM conformes aux normes gouvernementales relatives à la gestion sécurisée des clés. Vous pouvez générer, stocker et gérer de manière sécurisée les clés cryptographiques utilisées pour le chiffrement des données, afin d'être le seul à pouvoir y accéder. Avec AWS CloudHSM, vous êtes en mesure de respecter des exigences strictes en termes de gestion des clés sans que les performances de vos applications en pâtissent.

Le service AWS CloudHSM fonctionne avec Amazon Virtual Private Cloud (VPC). Les instances CloudHSM sont déployées dans votre VPC avec l'adresse IP que vous indiquez. Vous disposez ainsi d'une connexion réseau simple et privée pour vos instances Amazon Elastic Compute Cloud (EC2). En plaçant les instances CloudHSM à proximité de vos instances EC2, vous réduisez la latence du réseau, ce qui permet d'améliorer les performances de vos applications. AWS fournit un accès dédié et exclusif (locataire unique) aux instances CloudHSM, isolé des autres clients AWS. Disponible dans différentes régions et zones de disponibilité (AZ), AWS CloudHSM vous permet de bénéficier d'un stockage durable et sécurisé de vos clés pour vos applications.

Découvrez gratuitement AWS

Créez un compte gratuit
Vous pouvez également vous connecter à la console.

Profitez pendant 12 mois du niveau d'utilisation gratuit d'AWS. Vous bénéficierez également du niveau de base d'AWS Support qui inclut un service client disponible 24h/24, 7j/7 et 365 jours par an, l'accès à des forums d'assistance et bien d'autres avantages.

Dans le cadre du service, vous disposez d'un accès dédié aux fonctionnalités du module HSM dans le cloud. AWS CloudHSM protège vos clés cryptographiques grâce à des appliances HSM empêchant tout accès non autorisé, et respectant les normes relatives aux modules cryptographiques définies par la communauté internationale (Common Criteria EAL4+) et le gouvernement américain (NIST FIPS 140-2). Vous gardez une maîtrise totale sur vos clés et vos opérations de chiffrement sur le HSM, tandis qu'Amazon assure la gestion et la maintenance des ressources matérielles sans pouvoir accéder à vos clés.

En protégeant vos clés au sein d'un dispositif matériel et en interdisant l'accès par des tiers, AWS CloudHSM vous permet de respecter les exigences contractuelles et réglementaires les plus strictes en matière de protection des clés.

L'API CloudHSM, les outils d'interface de ligne de commande et les kits de développement vous permettent de lancer et d'interrompre vos instances CloudHSM dédiées comme bon vous semble.

AWS CloudHSM est disponible dans plusieurs régions et zones de disponibilité, et vous permet de développer des applications à haute disponibilité nécessitant une protection élevée des clés. Les outils d'interface de ligne de commande CloudHSM (CLI, Command Line Interface) peuvent vous permettre de configurer des groupes à haute disponibilité, répartis sur plusieurs zones de disponibilité, et de développer ainsi de solides applications. En cas de défaillance matérielle, vous pouvez lancer une nouvelle instance CloudHSM et répliquer très facilement les clés pour le nouvel HSM. Vous pouvez également utiliser AWS CloudHSM avec vos HSM compatibles sur site afin de stocker des clés de manière sécurisée dans votre centre de données. Vous améliorez ainsi la durabilité des clés et disposez de la souplesse nécessaire pour réaliser une migration sécurisée de vos clés vers et depuis AWS.

Les instances CloudHSM se trouvent dans votre VPC et vous pouvez donc facilement les utiliser avec vos applications Amazon EC2. Vous pouvez utiliser les mécanismes de sécurité standard d'Amazon VPC pour contrôler l'accès à vos instances CloudHSM.

En plaçant les instances CloudHSM dans votre VPC à proximité de vos instances EC2, vous pouvez réduire la latence du réseau et améliorer les performances de vos applications AWS utilisant des HSM.

Vous pouvez utiliser CloudHSM avec Amazon Redshift, Amazon Relational Database Service (RDS) Oracle ou des applications tierces telles que SafeNet ProtectV pour le chiffrement de volumes EBS, Apache (terminaison SSL), ou Microsoft SQL Server (chiffrement transparent de données). Vous pouvez également utiliser CloudHSM pour développer vos propres applications, tout en continuant à utiliser vos bibliothèques cryptographiques standard habituelles, telles que PKCS#11, Java JCA/JCE, Microsoft CAPI et CNG.

Si vous avez besoin de suivre l'évolution de vos ressources ou de vos activités d'audit à des fins de sécurité et de conformité, vous pouvez consulter tous les appels d'API CloudHSM effectués depuis votre compte via CloudTrail. De plus, vous pouvez contrôler les opérations effectuées sur l'appliance HSM via syslog, ou envoyer des messages de consignation syslog vers votre propre module de collecte.