AWS CloudHSM

AWS 云上的托管硬件安全模块 (HSM)。

AWS CloudHSM 是基于云的硬件安全模块 (HSM),让您能够在 AWS 云上轻松生成和使用自己的加密密钥。借助 CloudHSM,您可以使用经过 FIPS 140-2 第 3 级验证的 HSM 管理自己的加密密钥。CloudHSM 让您可以灵活选择使用行业标准的 API 与应用程序集成,这些 API 包括 KCS#11、Java 加密扩展 (JCE) 和 Microsoft CryptoNG (CNG) 库等。

此外,CloudHSM 符合标准,让您可以将所有密钥导出到大多数其他商用 HSM,具体取决于您的配置。它是一项完全托管的服务,可为您自动执行耗时的管理任务,例如硬件预置、软件修补、高可用性和备份。借助 CloudHSM,您还能够通过按需添加和删除 HSM 容量进行快速扩展和收缩,无任何预付费用。

AWS CloudHSM 简介

优势

在经过 FIPS 140-2 第 3 级验证的 HSM 上生成和使用加密密钥

借助 AWS CloudHSM,您可以在经过 FIPS 140-2 第 3 级验证的硬件上生成和使用加密密钥。CloudHSM 可对您 Amazon Virtual Private Cloud (VPC) 中的防篡改 HSM 实例进行独占的、单租户模式访问,从而保护您的密钥。

部署安全、合规的工作负载

利用 HSM 作为可信根可以帮助证明符合安全性、隐私和防篡改规则,如 HIPAA、FedRAMP 和 PCI。借助 AWS CloudHSM,您可以使用 AWS 云中的 HSM 实例构建安全合规的工作负载,同时提供高可靠性和低延迟。

使用基于行业标准构建的开放式 HSM

使用 AWS CloudHSM,您可以通过行业标准的 API 与自定义应用程序集成,这些 API 包括 PKCS#11、Java 加密扩展 (JCE) 和 Microsoft CryptoNG (CNG) 库等。您还可以将密钥传输至其他商用 HSM 解决方案,从而轻松将密钥迁入或迁出 AWS。

控制加密密钥

AWS CloudHSM 让您可以通过安全渠道访问 HSM,以创建用户并设置 HSM 策略。您通过 CloudHSM 生成和使用的加密密钥只能由您指定的 HSM 用户访问。AWS 无法访问或使用您的加密密钥。

负载均衡和高可用性

AWS CloudHSM 会自动处理负载均衡请求,并将任意 HSM 中存储的密钥复制到集群中的其他 HSM。为实现可用性和持久性,Amazon 推荐在多个可用区中至少使用两个 HSM。

易于管理

AWS CloudHSM 是一项托管服务,可为您自动执行耗时的管理任务,例如硬件预置、软件修补、高可用性和备份。您可以通过按需向集群添加和从中删除 HSM 来快速扩展和缩减 HSM 容量。

工作原理

CloudHSM_Diagrams_2-final

AWS CloudHSM 在您自己的 Amazon Virtual Private Cloud (VPC) 中运行,使您能够轻松地将 HSM 与运行在 Amazon EC2 实例上的应用程序配合使用。借助 CloudHSM,您可以使用标准 VPC 安全控制来管理对 HSM 的访问。您的应用程序使用由 HSM 客户端软件构建的相互身份验证的 SSL 渠道来连接 HSM。在 Amazon 数据中心内,您的 HSM 位于 EC2 实例附近,因此您可以降低应用程序与 HSM 和本地 HSM 之间的网络延迟。

A:AWS 管理硬件安全模块 (HSM) 设备,但无权访问您的密钥

B:您控制和管理自己的密钥

C:应用程序性能提升 (由于极为靠近 AWS 工作负载)

D:防篡改硬件中的安全密钥存储在多个可用区 (AZ) 中提供

E:您的 HSM 位于 Virtual Private Cloud (VPC) 中,与其他 AWS 网络隔离。

AWS CloudHSM 在设计之初就考虑到了责任分离和基于角色的访问控制。AWS 负责监控 HSM 的运行状况和网络可用性,但不参与 HSM 中存储的密钥材料的创建和管理工作。您负责控制 HSM 以及加密密钥的生成和使用。

使用案例

位 Web 服务器卸载 SSL 处理

安全套接字层 (SSL) 和传输层安全性 (TLS) 用于确认 Web 服务器的身份,并通过 Internet 建立安全的 HTTPS 连接。您可以使用 AWS CloudHSM 来卸载 Web 服务器的 SSL/TLS 处理。使用 CloudHSM 执行该处理操作可减轻 Web 服务器的负担,并通过将 Web 服务器的私有密钥存储在 CloudHSM 中来提供额外的安全性。

product-page-diagram_CloudHSM_offload-ssl

为证书颁发机构 (CA) 保护私有密钥

在公钥基础设施 (PKI) 中,证书颁发机构 (CA) 是颁发数字证书的可信实体。这些数字证书用于识别个人或组织。您可以使用 AWS CloudHSM 来存储您的私有密钥并签署证书请求,以便您可以安全地充当 CA 来为您的组织颁发证书。

product-page-diagram_CloudHSM_ca-1

为 Oracle 数据库启用透明数据加密 (TDE)

您可以使用 AWS CloudHSM 为支持 TDE 的 Oracle 数据库服务器存储透明数据加密 (TDE) 主加密密钥。对 SQL Server 的支持即将推出。使用 TDE,支持的数据库服务器可以先加密数据,然后再将其存储到磁盘。请注意,Amazon RDS for Oracle 不支持使用 CloudHSM 的 TDE;您应该为此使用案例使用 AWS Key Management Service。

product-page-diagram_CloudHSM_database

开始使用 AWS

icon1

注册 AWS 账户

立即享受 AWS 免费套餐
icon2

通过 10 分钟教程来进行学习

通过 简单教程进行探讨和学习。
icon3

开始使用 AWS 进行构建

开始使用分步指南进行构建来帮助您启动 AWS 项目

了解有关 AWS CloudHSM 的更多信息

准备好开始构建?
开始使用 CloudHSM
还有更多问题?
联系我们