AWS CloudHSM

Verwaltetes Hardwaresicherheitsmodul (HSM) in der AWS Cloud.

AWS CloudHSM ist ein Cloud-basiertes Hardwaresicherheitsmodul (HSM), mit dem Sie auf einfache Weise Ihre eigenen Verschlüsselungsschlüssel in der AWS Cloud generieren und verwenden können. CloudHSM ermöglicht es Ihnen, Ihre eigenen Verschlüsselungsschlüssel mithilfe von HSMs gemäß FIPS 140-2 Level 3 zu verwalten. Sie können CloudHSM mit standardmäßigen APIs wie PKCS#11, Java Cryptography Extensions (JCE) und Microsoft CryptoNG (CNG)-Bibliotheken flexibel in Ihre Anwendungen integrieren.

CloudHSM ist standardisiert, sodass Sie alle Ihre Schlüssel in die meisten handelsüblichen HSMs exportieren können. Diese unterliegen dabei Ihren Konfigurationen. Der vollständig verwaltete Service automatisiert zeitaufwändige Verwaltungsaufgaben wie etwa die Hardwarebereitstellung, die Installation von Software-Patches, die Hochverfügbarkeit und Backups. Sie können CloudHSM auch schnell skalieren, indem Sie HSM-Kapazität nach Bedarf hinzufügen oder entfernen, ohne dass vorab Kosten anfallen.

Wir stellen vor: AWS CloudHSM

Nutzen

Generieren und Nutzen von Verschlüsselungsschlüsseln in FIPS 140-2 Level 3-konformen HSMs

Mit AWS CloudHSM können Sie Verschlüsselungsschlüssel in FIPS 140-2 Level 3-konformer Hardware generieren und verwenden. CloudHSM schützt Ihre Schlüssel durch den exklusiven Zugriff über einen einzelnen Mandanten auf manipulationssichere HSM-Instances in Ihrer eigenen Amazon Virtual Private Cloud (VPC).

Bereitstellen von sicheren und konformen Rechenlasten

Durch die Nutzung von HSMs als Vertrauensanker (Root of Trust) werden Sie bei der Einhaltung von Compliance-Anforderungen mit Bestimmungen zu Sicherheit, Datenschutz und zur Verhinderung von Fälschung, wie HIPAA, FedRAMP und PCI, unterstützt. Mit AWS CloudHSM und mithilfe von HSM-Instances in der AWS Cloud können Sie sichere und konforme Rechenlasten mit hoher Verfügbarkeit und geringer Latenz erstellen.

Verwenden eines offenen, auf Branchenstandards basierenden HSMs

Sie können AWS CloudHSM mit standardmäßigen APIs wie PKCS#11, Java Cryptography Extensions (JCE) und Microsoft CryptoNG (CNG)-Bibliotheken flexibel in benutzerdefinierte Anwendungen integrieren. Darüber hinaus haben Sie die Möglichkeit, Ihre Schlüssel in andere handelsübliche HSM-Lösungen zu übertragen. Dies erleichtert die Migration von Schlüsseln innerhalb und außerhalb von AWS.

Sie steuern Ihre Verschlüsselungsschlüssel

Mit AWS CloudHSM können Sie über einen sicheren Kanal auf Ihre HSMs zugreifen, um Benutzer zu erstellen und HSM-Richtlinien festzulegen. Die von Ihnen für CloudHSM generierten Verschlüsselungsschlüssel sind nur für die von Ihnen festgelegten HSM-Benutzer zugänglich. AWS kann Ihre Verschlüsselungsschlüssel weder sehen noch darauf zugreifen.

Lastenausgleich und Hochverfügbarkeit

AWS CloudHSM verteilt die Last von Anforderungen automatisch und dupliziert die in den HSMs gespeicherten Schlüssel auf sichere Weise auf allen anderen HSMs im Cluster. Zur Optimierung der Verfügbarkeit und Zuverlässigkeit empfiehlt Amazon mindestens zwei HSMs in mehreren Availability Zones.

Einfach zu verwalten

AWS CloudHSM ist ein verwalteter Service, der zeitaufwändige administrative Aufgaben wie etwa die Hardwarebereitstellung, die Installation von Software-Patches, die Hochverfügbarkeit und Backups automatisiert. Sie können die HSM-Kapazität schnell skalieren, indem Sie in Ihrem Cluster nach Bedarf HSMs hinzufügen und entfernen.

Funktionsweise

CloudHSM_Diagrams_2-final

AWS CloudHSM wird in Ihrer eigenen Amazon Virtual Private Cloud (VPC) ausgeführt. Sie können Ihre HSMs dadurch auf einfache Weise mit Anwendungen nutzen, die auf Ihren Amazon EC2-Instances ausgeführt werden. CloudHSM ermöglicht es Ihnen, standardmäßige VPC-Sicherheitskontrollen zu nutzen, um den Zugriff auf Ihre HSMs zu steuern. Ihre Anwendungen sind über SSL-Kanäle mit gegenseitiger Authentifizierung verbunden, die von Ihrer HSM-Clientsoftware eingerichtet werden. Da sich Ihre HSMs in Amazon-Rechenzentren in der Nähe Ihrer EC2-Instances befinden, reduziert sich die Netzwerklatenz zwischen Ihren Anwendungen und den HSMs gegenüber der Verwendung von HSMs am Unternehmensstandort.

A: AWS verwaltet das Hardwaresicherheitsmodul (HSM), hat aber keinen Zugriff auf Ihre Schlüssel.

B: Sie steuern und verwalten Ihre eigenen Schlüssel.

C: Die Anwendungsleistung steigt aufgrund der Nähe zu AWS-Arbeitslasten.

D: Die Schlüssel werden in manipulationssicherer Hardware in mehreren Availability Zones (AZs) gespeichert.

E: Ihre HSMs befinden sich in Ihrer Virtual Private Cloud (VPC) und sind von anderen AWS-Netzwerken isoliert.

Die Trennung von Aufgaben und eine rollenbasierte Zugriffssteuerung zählen zu den wesentlichen Merkmalen von AWS CloudHSM. AWS überwacht den Zustand und die Verfügbarkeit Ihrer HSMs, ist aber nicht an der Erstellung und Verwaltung der in Ihren HSMs gespeicherten Schlüsselinformationen beteiligt. Sie steuern die HSMs sowie die Generierung und Nutzung Ihrer Verschlüsselungsschlüssel eigenständig.

Anwendungsfälle

Lagern Sie die SSL-Verarbeitung für Webserver aus

Secure Sockets Layer (SSL) und Transport Layer Security (TLS) werden genutzt, um die Identität von Webservern zu bestätigen und sichere HTTPS-Verbindungen über das Internet aufzubauen. Sie können die SSL/TLS-Verarbeitung für Ihre Webserver mit AWS CloudHSM auslagern. Reduzieren Sie die Belastung Ihrer Webserver, und erhöhen Sie die Sicherheit, indem Sie den privaten Schlüssel Ihrer Webserver in CloudHSM speichern.

product-page-diagram_CloudHSM_offload-ssl

Schutz privater Schlüssel von Zertifizierungsstellen

In einer Public Key-Infrastruktur (PKI) ist eine Zertifizierungsstelle eine vertrauenswürdige Einrichtung, die digitale Zertifikate ausstellt. Die digitalen Zertifikate dienen zur Identifizierung einer Person oder eines Unternehmens. Sie können Ihre privaten Schlüssel mit AWS CloudHSM speichern und Zertifikatsanforderungen ausstellen. Dadurch können Sie wie eine Zertifizierungsstelle sichere Zertifikate für Ihr Unternehmen ausstellen.

product-page-diagram_CloudHSM_ca-1

Aktivieren Sie die transparente Datenverschlüsselung (TDE) für Oracle-Datenbanken

Sie können mit AWS CloudHSM den Master-Verschlüsselungsschlüssel für die transparente Datenverschlüsselung (Transparent Data Encryption, TDE) auf Ihren Oracle-Datenbankserver speichern, die TDE unterstützen. In Kürze wird die Unterstützung für SQL Server ergänzt. Mit TDE lassen sich Daten auf unterstützten Datenbank-Servern vor der Speicherung auf einem Datenträger verschlüsseln. Beachten Sie, dass Amazon RDS for Oracle TDE nicht für CloudHSM unterstützt. Für diesen Anwendungsfall sollten Sie AWS Key Management Service verwenden.

product-page-diagram_CloudHSM_database

Erste Schritte mit AWS

icon1

Registrieren Sie sich für ein AWS-Konto

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent.
icon2

Erfahren Sie mehr in unseren zehnminütigen praktischen Anleitungen

Entdecken und lernen mit einfachen Tutorials.
icon3

Beginnen Sie die Erstellung mit AWS

Entwickeln Sie mit Hilfe von schrittweisen Anleitungen, die Ihnen helfen, Ihr AWS-Projekt zu starten.

Weitere Informationen zu AWS CloudHSM

Bereit zum Entwickeln?
Erste Schritte mit CloudHSM
Haben Sie Fragen?
Kontakt