AWS CloudHSM 是基于云的硬件安全模块 (HSM),借助该模块,您可以轻松地向 AWS 应用程序添加安全密钥存储和高性能加密操作。CloudHSM 没有预付费用,并且可以按需启动和停止 HSM,从而使您能够根据需要随时随地快速且经济高效地预置容量。CloudHSM 是一项托管服务,可自动执行耗时的管理任务,例如硬件预置、软件修补、高可用性和备份。

CloudHSM 是众多 AWS 服务(包括 AWS Key Management Service (KMS))之一,可为加密密钥提供高级别的安全性。KMS 提供了一种轻松、经济高效的方式在 AWS 上管理加密密钥,可满足大多数客户数据的安全需求。CloudHSM 可为客户提供单租户访问和控制其 HSM 的选项。

AWS CloudHSM:AWS (27:51) 中的可扩展安全密钥存储

主要功能

HSM 防篡改且符合 FIPS 140-2 第 3 级标准

AWS CloudHSM 可提供对防篡改 HSM 的单租户访问,这些 HSM 符合美国政府面向加密模块制定的 FIPS 140-2 第 3 级标准。

可扩展的 HSM 容量

AWS CloudHSM 可轻松扩展您的 HSM 容量。您可以使用 AWS 管理控制台和 AWS API 按需添加和删除 HSM。

开放式解决方案

AWS CloudHSM 是一种开放式解决方案,可避免受制于供应商。借助 CloudHSM,您可以将密钥传输至其他商用 HSM 解决方案,从而轻松将密钥迁入或迁出 AWS 云。

行业标准的 API

AWS CloudHSM 可通过行业标准的 API 与自定义应用程序集成,并支持多种编程语言,包括 PKCS#11、Java Cryptography Extensions (JCE) 和 Microsoft CryptoNG (CNG) 库。

安全身份验证

AWS CloudHSM 支持 Quorum 身份验证的重要管理和密钥管理功能。CloudHSM 还支持使用您提供的令牌进行 Multi-Factor Authentication (MFA)。

AWS 托管基础设施

AWS CloudHSM 是一项托管服务,可自动执行耗时的管理任务,例如硬件预置、软件修补、高可用性和备份。

设计安全且高度可用

安全的 VPC 访问

AWS CloudHSM 在您自己的 Amazon Virtual Private Cloud (VPC) 中运行,使您能够轻松地将 HSM 与运行在 Amazon EC2 实例上的应用程序配合使用。借助 CloudHSM,您可以使用标准 VPC 安全控制来管理对 HSM 的访问。您的应用程序使用由 HSM 客户端软件构建的相互身份验证的 SSL 渠道来连接 HSM。由于您的 HSM 位于 EC2 实例附近的 Amazon 数据中心内,因此与本地 HSM 相比,您可以降低应用程序与 HSM 之间的网络延迟。

A:AWS 管理硬件安全模块 (HSM) 设备,但无权访问您的密钥

B: 您控制和管理自己的密钥

C:应用程序性能提升 (由于极为靠近 AWS 工作负载)

D:防篡改硬件中的安全密钥存储在多个可用区 (AZ) 中提供

E:您的 HSM 位于 Virtual Private Cloud (VPC) 中,与其他 AWS 网络隔离。

CloudHSM_Diagrams_2-final
责任分离

AWS CloudHSM 在设计之初就考虑到了责任分离和基于角色的访问控制。AWS 负责监控 HSM 的运行状况和网络可用性,但不参与 HSM 中存储的密钥材料的创建和管理工作。您负责控制 HSM 以及加密密钥的生成和使用。

CloudHSM_Diagrams_3 copy
负载均衡和高可用性

AWS CloudHSM 会自动处理负载均衡请求,并将任意 HSM 中存储的密钥复制到集群中的其他 HSM。这样可以提供额外的加密能力,并提高密钥的持久性。通过将密钥的多个副本存储在位于不同可用区 (AZ) 的多个 HSM 中,在单个 HSM 不可用时,您的密钥将仍然可用并且受到保护。为实现可用性和持久性,Amazon 推荐的配置是在多个可用区中至少使用两个 HSM。

CloudHSM_Diagrams_1-b

AWS CloudHSM 客户端会处理负载均衡请求,并在集群中参与的 HSM 之间安全地复制密钥材料。

了解有关 AWS CloudHSM 定价的更多信息

访问定价页面
准备好开始构建?
AWS CloudHSM 入门
还有更多问题?
联系我们