Perguntas frequentes sobre o AWS CloudHSM

P: O que é o AWS CloudHSM?

O serviço AWS CloudHSM ajuda a cumprir requisitos de conformidade corporativos, contratuais e normativos para a segurança de dados usando instâncias de Hardware Security Module (HSM – Módulo de segurança de hardware) dedicadas dentro da Nuvem AWS. Os parceiros da AWS e do AWS Marketplace oferecem diversas soluções para a proteção de dados confidenciais dentro da plataforma AWS. Porém, para algumas aplicações e dados sujeitos a obrigações contratuais ou normativas rigorosas para o gerenciamento de chaves criptográficas, ocasionalmente é necessário oferecer proteção adicional. O AWS CloudHSM complementa as soluções existentes de proteção de dados e permite proteger as chaves de criptografia dentro de HSMs projetados e validados de acordo com padrões governamentais para o gerenciamento seguro de chaves. O AWS CloudHSM permite gerar, armazenar e gerenciar chaves de criptografia usadas para a criptografia de dados de tal forma que somente você tenha acesso a elas.

P: O que é um Hardware Security Module (HSM)?

Um modelo de segurança de hardware oferece armazenamento de chaves e operações criptográficas seguras em um dispositivo de hardware inviolável. Os HSMs são projetados para armazenar material de chaves criptográficas com segurança e usar esse material sem exposição ao exterior do perímetro de criptografia do hardware.

P: O que posso fazer com o AWS CloudHSM?

Você pode usar o AWS CloudHSM para oferecer suporte diversos casos de uso e aplicações, como criptografia de banco de dados, Digital Rights Management (DRM – Gerenciamento de direitos digitais), Public Key Infrastructure (PKI – Infraestrutura de chaves públicas), autenticação e autorização, assinatura de documentos e processamento de transações. Para obter mais informações, consulte Casos de uso do AWS CloudHSM.  

P: Como o CloudHSM funciona?

Para usar o AWS CloudHSM, primeiro é necessário criar um cluster do CloudHSM. Os clusters podem conter vários HSMs distribuídos em várias zonas de disponibilidade (AZ) em uma região. Os HSMs em um cluster são sincronizados e têm a carga balanceada automaticamente. Você recebe acesso dedicado e de locatário único a cada HSM em seu cluster e cada HSM aparece como um recurso de rede em sua Amazon Virtual Private Cloud (VPC). A adição e a remoção de HSMs do cluster requer uma chamada única para a API do AWS CloudHSM (ou na linha de comando usando a AWS CLI). Depois de criar e inicializar um cluster do CloudHSM, você poderá configurar um cliente na instância do EC2 que permita que as aplicações usem o cluster em uma conexão de rede segura e autenticada. O AWS CloudHSM monitora automaticamente a integridade dos HSMs, mas a equipe da AWS não tem acesso às suas chaves nem aos seus dados. A suas aplicações usam APIs padrão de criptografia com o software-cliente do HSM instalado na instância da aplicação para enviar solicitações de criptografia ao HSM. O software cliente mantém um canal seguro para todos os HSMs no cluster e envia solicitações nesse canal. Então, o HSM executa as operações e retorna os resultados pelo canal seguro. Em seguida, o cliente envia o resultado ao aplicativo por meio da API de criptografia.

P: Eu não tenho uma VPC no momento. Posso usar o AWS CloudHSM mesmo assim?

Não. Para proteger e isolar o seu cluster de outros clientes da Amazon, o AWS CloudHSM deve ser provisionado dentro de uma Amazon VPC. É fácil criar uma VPC. Consulte o Guia de conceitos básicos do Amazon VPC para obter mais informações.

P: O meu aplicativo precisa residir na mesma VPC que o cluster do CloudHSM?

Não, mas é necessário que o servidor ou a instância em que o aplicativo e o cliente HSM estejam em execução possam ser alcançados pela rede (IP) por todos os HSMs no cluster. Você pode estabelecer conectividade de rede do seu aplicativo ao HSM de diversas formas, incluindo a operação do aplicativo na mesma VPC, com emparelhamento de VPCs, com uma conexão VPN ou com o Direct Connect. Consulte o Guia de emparelhamento de VPC e o Guia do usuário de VPC para obter mais detalhes.

P: O AWS CloudHSM funciona com HSMs on-premises?

Sim. Embora o AWS CloudHSM não tenha interoperabilidade direta com os HMSs on-premises, é possível transferir chaves exportáveis com segurança entre o AWS CloudHSM e a maioria dos HSMs comerciais usando um dos vários métodos de encapsulamento de chaves RSA compatíveis.  

P: Como a minha aplicação usa o AWS CloudHSM?

Integramos e testamos o AWS CloudHSM com várias soluções de software de terceiros, como banco de dados Oracle 11g e 12c, e servidores Web, como Apache e Nginx, para transferir o processamento de SSL e configurar um Windows Server como CA. Consulte o Guia do usuário do AWS CloudHSM para obter mais informações.

Se você estiver desenvolvendo o seu próprio aplicativo personalizado, ele poderá usar as APIs padrão aceitas pelo AWS CloudHSM, como PKCS#11 e Java JCA/JCE (Java Cryptography Architecture/Java Cryptography Extensions) ou Microsoft CAPI/CNG. Consulte o Guia do usuário do AWS CloudHSM para obter exemplos de código e ajuda para começar a usar.

P: Posso usar o AWS CloudHSM para armazenar chaves ou criptografar dados usados por outros serviços da AWS?

Sim. Toda a criptografia pode ser feita na aplicação integrada ao AWS CloudHSM. Nesse caso, os serviços da AWS, como o Amazon S3 e o Amazon Elastic Block Store (EBS), conseguirão ver seus dados somente criptografados.

P: Outros serviços da AWS podem usar o AWS CloudHSM para armazenar e gerenciar chaves?

Os serviços da AWS integram-se ao AWS Key Management Service, que, por sua vez, integra-se ao AWS CloudHSM por meio do recurso de armazenamento de chaves personalizado do KMS. Se deseja usar a criptografia do lado do servidor oferecida por muitos serviços da AWS (como o EBS, o S3 ou o Amazon RDS), é possível fazê-lo configurando um repositório de chaves personalizado no AWS KMS.

P: O AWS CloudHSM pode ser usado para executar a tradução de bloco de número de identificação pessoal (PIN) ou outras operações de criptografia usadas com transações de pagamento por débito?

No momento, o AWS CloudHSM provisiona HSMs de propósito geral. O AWS Payment Cryptography fornece operações de criptografia em aplicações de pagamento hospedadas na nuvem. Com o tempo, poderemos oferecer recursos de pagamento. Se você estiver interessado, entre em contato conosco.

P: Como faço para começar a usar o AWS CloudHSM?

Você pode provisionar um cluster do CloudHSM no Console do AWS CloudHSM ou por meio de algumas chamadas de API via AWS SDK ou API da AWS. Para saber mais sobre como começar, consulte o Guia do usuário do AWS CloudHSM. Para obter informações sobre as APIs do AWS CloudHSM, consulte a página de documentação do AWS CloudHSM.

P: Como faço para encerrar o serviço AWS CloudHSM?

É possível usar o console, a API ou o SDK do AWS CloudHSM para excluir HSMs e parar de usar o serviço. Consulte o Guia do usuário do AWS CloudHSM para obter mais instruções.

P: Como serão a cobrança e o faturamento do uso do serviço AWS CloudHSM?

Uma taxa por hora será cobrada para cada hora (ou hora parcial) em que um HSM for provisionado para um cluster do AWS CloudHSM. Um cluster sem HSMs não será cobrado. Também não será cobrado o armazenamento automático de backups criptografados. Para obter mais informações, visita a página de preços do AWS CloudHSM. Observe que as transferências de dados de rede enviadas e recebidas pelos seus HSMs são cobradas separadamente. Para obter mais informações confira a definição de preço de transferência de dados do EC2.

P: Há algum nível gratuito para o serviço CloudHSM?

Não há nível gratuito disponível para o AWS CloudHSM.

P: A cobrança varia em função do número de usuários ou chaves que crio no HSM?

Não. A taxa horária, que varia por região, não depende do volume de uso do HSM.

P: Vocês oferecem preços de instâncias reservadas para o AWS CloudHSM?

Não oferecemos preços de instâncias reservadas para o AWS CloudHSM.

P: Há algum pré-requisito para o uso do AWS CloudHSM?

Sim. Para começar a usar o AWS CloudHSM, há alguns pré-requisitos, incluindo uma nuvem privada virtual (VPC) na região em que você deseja usar o serviço AWS CloudHSM. Consulte o Guia do usuário do AWS CloudHSM para obter mais detalhes.

P: Preciso gerenciar o firmware no HSM?

Não. A AWS gerencia o firmware no hardware. O firmware é mantido por um terceiro, e cada firmware deve ser avaliado pela NIST para comprovar a conformidade com o FIPS 140-2 nível 3. Apenas o firmware que tenha sido criptograficamente assinado pela chave do FIPS (à qual a AWS não tem acesso) poderá ser instalado.

P: Quantos HSMs devo ter no meu cluster do CloudHSM?

A AWS recomenda enfaticamente o uso de pelo menos dois HSMs em duas AZs diferentes para qualquer carga de trabalho de produção. Para cargas de trabalho de missão crítica, recomendamos no mínimo três HSMs em pelo menos duas AZs separadas. O cliente CloudHSM administrará automaticamente qualquer falha e balanceamento de carga de HSM em dois ou mais HSMs de modo transparente para o seu aplicativo.

P: Quem é responsável pela durabilidade das chaves?

A AWS faz backups criptografados automáticos do seu cluster do CloudHSM diariamente. A AWS faz backups adicionais quando eventos de ciclo de vida do cluster (como a adição ou a remoção de um HSM) ocorrem. Durante o período de 24 horas entre os backups, você será inteiramente responsável pela durabilidade do material de chaves criado ou importado para o cluster. Recomendamos enfaticamente garantir que qualquer chave criada seja sincronizada com pelo menos dois HSMs em duas AZs diferentes para garantir a durabilidade das chaves. Consulte o Guia do usuário do AWS CloudHSM para obter mais detalhes sobre a verificação da sincronização de chaves.

P: Como faço para definir uma configuração de alta disponibilidade (HA)?

A alta disponibilidade é fornecida automaticamente quando você tem pelo menos dois HSMs distribuídos em duas zonas de disponibilidade no cluster do CloudHSM. Nenhuma configuração adicional é necessária. No caso de falha de um HSM no cluster, ele será substituído automaticamente. Além disso, todos os clientes serão atualizados para refletir a nova configuração sem que nenhum processamento seja interrompido. HSMs adicionais podem ser incluídos no cluster por meio da API da AWS ou do AWS SDK, o que aumenta a disponibilidade sem interromper aplicativos.

P: Quantos HSMs podem ser conectados em um cluster do CloudHSM?

Um único cluster do CloudHSM pode conter até 28 HSMs, sujeito aos limites de serviço da conta. Saiba mais sobre limites de serviço e como solicitar um aumento de limite na documentação online.

P: Posso fazer backup do conteúdo do meu cluster do CloudHSM?

O backup do cluster do CloudHSM é feito diariamente pela AWS. As chaves também podem ser exportadas (“encapsuladas”) do cluster e armazenadas on-premises, desde que não tenham sido geradas como “não exportáveis”.

P: Há algum SLA para o AWS CloudHSM?

Sim, o Acordo de nível de serviço (SLA) do AWS CloudHSM pode ser encontrado aqui.

P: Os meus recursos do AWS CloudHSM são compartilhados com outros clientes da AWS?

Não. Como parte do serviço, você recebe acesso unilocatário ao HSM. O hardware subjacente pode ser compartilhado com outros clientes, mas o HSM só pode ser acessado por você.

P: Como a AWS gerencia o HSM sem ter acesso às minhas chaves de criptografia?

A separação de responsabilidades e o controle de acesso baseado em funções são inerentes ao design do AWS CloudHSM. A AWS tem uma credencial limitada para o HSM que nos permite monitorar e manter a integridade e a disponibilidade do HSM, usar backups criptografados e extrair e publicar logs de auditoria em seu CloudWatch Logs. A AWS não tem acesso a chaves ou dados em seu cluster do CloudHSM nem pode executar operações diferentes daquelas permitidas para um usuário de dispositivo HSM.

Consulte o Guia do usuário do AWS CloudHSM para obter mais informações sobre a separação de responsabilidades e os recursos de cada categoria de usuário no HSM.

P: Posso monitorar meu HSM?

Sim. O AWS CloudHSM publica várias métricas do Amazon CloudWatch para clusters do CloudHSM e HSMs individuais. É possível usar o Console, a API ou o SDK do Amazon CloudWatch para obter e enviar alarmes sobre essas métricas.

P: Qual é a “fonte de entropia” (fonte de aleatoriedade) do AWS CloudHSM?

Cada HSM tem um Deterministic Random Bit Generator (DRBG – Gerador de bits aleatórios determinísticos) validado pelo FIPS e propagado por um True Random Number Generator (TRNG – Gerador de números aleatórios verdadeiros) no módulo de hardware do HSM compatível com o SP800-90B.

P: O que acontecerá se alguém tentar violar o hardware do HSM?

O AWS CloudHSM possui mecanismos de detecção de tentativas de violação física e lógica, bem como mecanismos de resposta que acionam a exclusão da chave (“zeramento”) do hardware. O hardware foi projetado para detectar violações se sua barreira física for rompida. Os HSMs também são protegidos contra ataques de login por força bruta. Após um número fixo de tentativas malsucedidas de acessar um HSM com credenciais de administrador ou responsável pela criptografia (CO), o HSM bloqueia o administrador/CO. De forma semelhante, depois de um número fixo de tentativas malsucedidas de acessar um HSM usando credenciais de usuário de criptografia (CU), o usuário será bloqueado e deverá ser desbloqueado por um CO ou administrador.

P: O que acontece em caso de falha?

A Amazon monitora e mantém o HSM e a rede para verificar as condições de disponibilidade e erros. Se um HSM falhar ou perder a conectividade de rede, ele será substituído automaticamente. Você pode verificar a integridade de um HSM individual usando APIs, SDKs ou ferramentas de CLI do AWS CloudHSM, bem como verificar a integridade geral do serviço a qualquer momento usando o Painel de Integridade de Serviços da AWS.

P: Posso perder minhas chaves se um único HSM falhar?

Se o cluster do AWS CloudHSM tiver apenas um HSM, você poderá perder as chaves que foram criadas desde o backup diário mais recente. Os clusters do AWS CloudHSM com dois ou mais HSMs, teoricamente em zonas de disponibilidade separadas, não perderão as chaves se um único HSM falhar. Consulte nossas práticas recomendadas para obter mais informações.

P: A Amazon consegue recuperar minhas chaves se eu perder as credenciais para acesso ao HSM?

Não. A Amazon não tem acesso a suas chaves ou credenciais e, portanto, não será capaz de recuperar suas chaves se você perder suas credenciais.

P: Como saber se posso confiar no AWS CloudHSM?

O AWS CloudHSM é baseado em hardware validado pelo Federal Information Processing Standard (FIPS) 140-2 nível 3. Informações sobre o perfil de segurança do FIPS 140-2 para o hardware usado pelo CloudHSM e o firmware por ele executado estão disponíveis em nossa página de conformidade.

P: O serviço AWS CloudHSM oferece suporte ao FIPS 140-2 nível 3?

Sim, o CloudHSM oferece HSMs validados pelo FIPS 140-2 nível 3. Siga o procedimento do Guia do usuário do CloudHSM (em Verificar a identidade e a autenticidade do HSM de seu cluster) para confirmar se você tem um HSM autêntico no mesmo modelo de hardware especificado na política de segurança da NIST descrita na pergunta anterior.

P: Como faço para operar o AWS CloudHSM no modo FIPS 140-2?

O AWS CloudHSM está sempre no modo FIPS 140-2. Isso pode ser verificado com as ferramentas de CLI, conforme documentado no Guia do usuário do CloudHSM, e executando o comando getHsmInfo, que indicará o status do modo FIPS.

P: Posso obter um histórico de todas as chamadas de API do AWS CloudHSM realizadas na minha conta?

Sim. O AWS CloudTrail registra as chamadas de API da AWS realizadas na sua conta. O histórico de chamadas de API da AWS gerado pelo AWS CloudTrail permite executar análises de segurança, rastreamento de alterações em recursos e auditoria de conformidade. Saiba mais sobre o AWS CloudTrail na página inicial do CloudTrail e ative-o no Console de Gerenciamento da AWS do CloudTrail.

P: Que eventos não são registrados no AWS CloudTrail?

O AWS CloudTrail não inclui nenhum dispositivo HSM nem logs de acesso. Esses itens são disponibilizados diretamente na sua conta da AWS via AWS CloudWatch Logs. Consulte o Guia do usuário do AWS CloudHSM para obter mais detalhes.

P: Quais iniciativas de conformidade da AWS incluem o AWS CloudHSM?

Consulte o site de conformidade da AWS para obter mais informações sobre quais programas de conformidade englobam o CloudHSM. Diferentemente de outros serviços da AWS, os requisitos de conformidade relacionados ao AWS CloudHSM são atendidos com frequência pela validação do FIPS 140-2 nível 3 do próprio hardware, em vez de como parte de um programa de auditoria.

P: Por que o FIPS 140-2 nível 3 é importante?

O FIPS 140-2 nível 3 é um requisito de determinados casos de uso, inclusive da assinatura de documentos, de pagamentos ou da operação como uma CA pública para certificados SSL.

P: Como posso solicitar relatórios de conformidade que incluem o AWS CloudHSM no escopo?

Para ver quais relatórios de conformidade estão no escopo do AWS CloudHSM, revise os dados em Serviços da AWS no escopo do programa de conformidade. Para criar relatórios de conformidade gratuitos, de autoatendimento e sob demanda, use o AWS Artifact.

Se estiver interessado apenas na validação FIPS para HSMs fornecida pelo AWS CloudHSM, consulte Validação FIPS.

P: Quantas operações criptográficas o CloudHSM pode executar por segundo?

A performance pode variar de acordo com a configuração, o tamanho dos dados e a carga adicional das aplicações nas instâncias do EC2. Para aumentar a performance, é possível adicionar instâncias do HSM extras aos clusters. Incentivamos a realização do teste de carga da aplicação para determinar as necessidades de escalabilidade.

Para obter mais detalhes, consulte a página de performance do Guia do usuário do AWS CloudHSM.

P: Quantas chaves podem ser armazenadas em um cluster do CloudHSM?

Para obter detalhes sobre armazenamento de chaves e capacidade do cluster, consulte Cotas do AWS CloudHSM.

P: O AWS CloudHSM é compatível com o Amazon RDS Oracle TDE?

Não diretamente. Você também pode usar o AWS Key Management Service com o armazenamento de chaves personalizadas para proteger dados do Amazon RDS usando chaves geradas e armazenadas no cluster do CloudHSM.

Q: Posso usar o AWS CloudHSM como raiz de confiança de outro software?

Vários fornecedores terceirizados aceitam o AWS CloudHSM como raiz de confiança. Isso quer dizer que você pode utilizar uma solução de software de sua preferência ao criar e armazenar as chaves subjacentes no cluster do CloudHSM.

P: O que é o AWS CloudHSM Client Library?

O AWS CloudHSM Client Library é um pacote de software disponibilizado pela AWS que permite que você e suas aplicações interajam com clusters do CloudHSM.

P: O CloudHSM Client Library permite que a AWS acesse o meu cluster do CloudHSM?

Não. Todas as comunicações entre o cliente e o HSM são totalmente criptografadas. A AWS não consegue ver ou interceptar essa comunicação e não tem visibilidade sobre as credenciais de acesso ao cluster.

P: O que são as ferramentas da interface de linha de comandos (CLI) do CloudHSM?

O CloudHSM Client Library é disponibilizado com um conjunto de ferramentas de CLI que permite administrar e usar o HSM diretamente na linha de comandos. No momento, há suporte ao Linux e ao Microsoft Windows. O suporte ao Apple macOS está em nossos planos. Essas ferramentas também estão disponíveis no mesmo pacote que o AWS CloudHSM Client Library.

P: Como fazer download e começar a usar as ferramentas da interface de linha de comandos do AWS CloudHSM?

As instruções estão disponíveis no Guia do usuário do CloudHSM.

P: As ferramentas de CLI do CloudHSM permitem que a AWS acesse o conteúdo do HSM?

Não. As ferramentas do CloudHSM se comunicam diretamente com o cluster do CloudHSM via CloudHSM Client Library por meio de um canal protegido e mutuamente autenticado. Não é possível para a AWS observar nenhuma comunicação entre o cliente, as ferramentas e o HSM. Ela é criptografado de ponta a ponta.

P: Em quais sistemas operacionais posso usar as ferramentas do CloudHSM Client Library e da CLI?

A documentação on-line contém uma lista completa dos sistemas operacionais compatíveis.

P: Quais são os requisitos de conectividade de rede para usar as ferramentas da interface de linha de comandos do CloudHSM?

O host em que você está executando o CloudHSM Client Library e/ou usando as ferramentas da CLI evem permitir acesso via rede a todos os HSMs no cluster do CloudHSM.

P: O que posso fazer com a API e o SDK do AWS CloudHSM?

É possível criar, modificar, excluir e obter o status dos HSMs e clusters do CloudHSM. O que você pode fazer com a API do AWS CloudHSM está limitado às operações que a AWS pode executar com o acesso restrito que temos. A API não pode acessar o conteúdo do HSM, modificar nenhum usuário/nenhuma política, nem outras configurações. Para saber mais, consulte a documentação do CloudHSM para obter informações sobre a API ou a página Ferramentas da Amazon Web Services para obter mais informações sobre o SDK.

P: Como devo planejar minha migração para o AWS CloudHSM?

Comece garantindo que os algoritmos e modos necessários sejam compatíveis com o AWS CloudHSM. Se necessário, o seu gerente de contas poderá nos enviar solicitações de recursos. Em seguida, determine a estratégia de rotação de chaves. Além disso, publicamos um guia de migração para o AWS CloudHSM detalhado. Agora você já está pronto para começar a usar o AWS CloudHSM.

P: Como posso fazer a rotação das chaves?

A estratégia de rotação dependerá do tipo de aplicação. Veja a seguir alguns exemplos comuns.

• Chaves privadas para assinatura: geralmente, a chave privada no HSM corresponde a um certificado intermediário que, por sua vez, é assinado por uma raiz corporativa offline. Você fará a rotação das chaves emitindo um novo certificado intermediário. Crie uma nova chave privada e gere o CSR correspondente usando o OpenSSL no CloudHSM. Em seguida, assine o CSR com a mesma raiz corporativa offline. Talvez seja necessário registrar esse novo certificado com parceiros que não verificam automaticamente toda a cadeia de certificados. A partir desse momento, você assinará todas as novas solicitações (como solicitações de documentos, códigos ou outros certificados) com a nova chave privada correspondente ao novo certificado. É possível continuar a verificar assinaturas da chave privada original usando a chave pública correspondente. Nenhuma revogação é necessária. Esse processo é análogo ao de retirada ou arquivamento de uma chave de assinatura.
• Oracle Transparent Data Encryption: é possível transferir sua carteira mudando primeiro de um keystore de hardware (seu HSM original) para um Keystore de software e, em seguida, de volta para um keystore de hardware (AWS CloudHSM). Observação: se você estiver usando o Amazon RDS, consulte a pergunta frequente acima “O AWS CloudHSM é compatível com o Amazon RDS Oracle TDE?”
  
• Chave simétrica para criptografia de envelopes: a criptografia envelopada é a arquitetura de chaves em que uma chave no HSM criptografa/descriptografa várias chaves de dados no host do aplicativo. Provavelmente, você já tem um processo de rotação de chaves implantado que pode ser executado para descriptografar as chaves de dados com a chave de empacotamento antiga e criptografá-las novamente com a nova chave de empacotamento. A única diferença durante a migração será que a nova chave de empacotamento será criada e usada no AWS CloudHSM, e não no HSM original. Se você ainda não tiver uma ferramenta e um processo de mudança de chaves, será necessário criá-los.

P: E se eu não conseguir mudar as chaves?

P: O AWS CloudHSM tem períodos de manutenção agendados?

Não, mas a AWS talvez precise realizar manutenção em caso de upgrades obrigatórios ou falha de hardware. Faremos todos os esforço para informar com antecedência no Painel de Integridade Pessoal se houver previsão de algum impacto.

Lembre-se de que é sua responsabilidade projetar o cluster para alta disponibilidade. A AWS recomenda enfaticamente o uso de clusters do CloudHSM com dois ou mais HSMs em zonas de disponibilidade separadas. Informações sobre as práticas recomendadas podem ser encontradas na documentação online.

P: Estou enfrentando um problema com o AWS CloudHSM. O que devo fazer?

O guia de solução de problemas contém soluções para vários problemas comuns. Se ainda tiver problemas, contate o AWS Support.