AWS CloudHSM

Verwaltetes Hardwaresicherheitsmodul (HSM) in der AWS Cloud.

AWS CloudHSM ist ein Cloud-basiertes Hardwaresicherheitsmodul (HSM), mit dem Sie auf einfache Weise Ihre eigenen Verschlüsselungsschlüssel in der AWS Cloud generieren und verwenden können. CloudHSM ermöglicht es Ihnen, Ihre eigenen Verschlüsselungsschlüssel mithilfe von HSMs gemäß FIPS 140-2 Level 3 zu verwalten. Sie können CloudHSM mit standardmäßigen APIs wie PKCS#11, Java Cryptography Extensions (JCE) und Microsoft CryptoNG (CNG)-Bibliotheken flexibel in Ihre Anwendungen integrieren.

CloudHSM ist standardisiert, sodass Sie alle Ihre Schlüssel in die meisten handelsüblichen HSMs exportieren können. Diese unterliegen dabei Ihren Konfigurationen. Der vollständig verwaltete Service automatisiert zeitaufwändige Verwaltungsaufgaben wie etwa die Hardwarebereitstellung, die Installation von Software-Patches, die Hochverfügbarkeit und Backups. Sie können CloudHSM auch schnell skalieren, indem Sie HSM-Kapazität nach Bedarf hinzufügen oder entfernen, ohne dass vorab Kosten anfallen.

Wir stellen vor: AWS CloudHSM

Nutzen

Generieren und Nutzen von Verschlüsselungsschlüsseln in FIPS 140-2 Level 3-konformen HSMs

Mit AWS CloudHSM können Sie Verschlüsselungsschlüssel in FIPS 140-2 Level 3-konformer Hardware generieren und verwenden. CloudHSM schützt Ihre Schlüssel durch den exklusiven Zugriff über einen einzelnen Mandanten auf manipulationssichere HSM-Instances in Ihrer eigenen Amazon Virtual Private Cloud (VPC).

Einsatz von sicheren und konformen Arbeitslasten

Durch die Nutzung von HSMs als Vertrauensanker (Root of Trust) werden Sie bei der Einhaltung von Compliance-Anforderungen mit Bestimmungen zu Sicherheit, Datenschutz und zur Verhinderung von Fälschung, wie HIPAA, FedRAMP und PCI, unterstützt. Mit AWS CloudHSM und mithilfe von HSM-Instances in der AWS Cloud können Sie sichere und konforme Rechenlasten mit hoher Verfügbarkeit und geringer Latenz erstellen.

Verwenden eines offenen, auf Branchenstandards basierenden HSMs

Sie können AWS CloudHSM mit standardmäßigen APIs wie PKCS#11, Java Cryptography Extensions (JCE) und Microsoft CryptoNG (CNG)-Bibliotheken flexibel in benutzerdefinierte Anwendungen integrieren. Darüber hinaus haben Sie die Möglichkeit, Ihre Schlüssel in andere handelsübliche HSM-Lösungen zu übertragen. Dies erleichtert die Migration von Schlüsseln innerhalb und außerhalb von AWS.

Sie steuern Ihre Verschlüsselungsschlüssel

Mit AWS CloudHSM können Sie über einen sicheren Kanal auf Ihre HSMs zugreifen, um Benutzer zu erstellen und HSM-Richtlinien festzulegen. Die von Ihnen für CloudHSM generierten Verschlüsselungsschlüssel sind nur für die von Ihnen festgelegten HSM-Benutzer zugänglich. AWS kann Ihre Verschlüsselungsschlüssel weder sehen, noch darauf zugreifen.

Einfach zu verwalten und zu skalieren

AWS CloudHSM automatisiert für Sie zeitaufwändige HSM-Verwaltungsaufgaben wie die Bereitstellung von Hardware, Software-Patching, Hochverfügbarkeit und Backups. Sie können die HSM-Kapazität schnell skalieren, da Sie auf Abruf HSMs Ihres Clusters hinzufügen oder entfernen können. AWS CloudHSM verteilt die Last von Anfragen automatisch und dupliziert gesichert jegliche in HSMs gespeicherten Schlüssel zu allen anderen HSMs im Cluster.

Kontrolle der AWS KMS-Schlüssel

Sie können AWS Key Management Service (KMS) so konfigurieren, dass Sie Ihr AWS CloudHSM Cluster als benutzerdefinierten Schlüsselspeicher nutzen, statt des vorgegebenen KMS-Schlüsselspeichers. Mit einem benutzerdefinierten KMS-Schlüsselspeicher können Sie aus der Vernetzung zwischen KMS und AWS-Services Vorteile ziehen. Daten werden verschlüsselt und gleichzeitig wird die Kontrolle über die HSMs beibehalten, die Ihre KMS-Hauptschlüssel schützen. Der benutzerdefinierte KMS-Schlüsselspeicher gibt Ihnen das Beste beider Welten, indem er die Einzelmandanten-HSMs unter Ihrer Kontrolle mit Benutzerfreundlichkeit und der Einbindung des AWS KMS kombiniert.

So funktioniert es

CloudHSM_Diagrams_2-final

AWS CloudHSM wird in Ihrer eigenen Amazon Virtual Private Cloud (VPC) ausgeführt. Sie können Ihre HSMs dadurch auf einfache Weise mit Anwendungen nutzen, die auf Ihren Amazon EC2-Instances ausgeführt werden. CloudHSM ermöglicht es Ihnen, standardmäßige VPC-Sicherheitskontrollen zu nutzen, um den Zugriff auf Ihre HSMs zu steuern. Ihre Anwendungen sind über SSL-Kanäle mit gegenseitiger Authentifizierung verbunden, die von Ihrer HSM-Clientsoftware eingerichtet werden. Da sich Ihre HSMs in Amazon-Rechenzentren in der Nähe Ihrer EC2-Instances befinden, reduziert sich die Netzwerklatenz zwischen Ihren Anwendungen und den HSMs gegenüber der Verwendung von HSMs am Unternehmensstandort.

A: AWS verwaltet das Hardwaresicherheitsmodul (HSM), hat aber keinen Zugriff auf Ihre Schlüssel.

B: Sie steuern und verwalten Ihre eigenen Schlüssel.

C: Die Anwendungsleistung steigt aufgrund der Nähe zu AWS-Arbeitslasten.

D: Die Schlüssel werden in manipulationssicherer Hardware in mehreren Availability Zones (AZs) gespeichert.

E: Ihre HSMs befinden sich in Ihrer Virtual Private Cloud (VPC) und sind von anderen AWS-Netzwerken isoliert.

Die Trennung von Aufgaben und eine rollenbasierte Zugriffssteuerung zählen zu den wesentlichen Merkmalen von AWS CloudHSM. AWS überwacht den Zustand und die Verfügbarkeit Ihrer HSMs, ist aber nicht an der Erstellung und Verwaltung der in Ihren HSMs gespeicherten Schlüsselinformationen beteiligt. Sie steuern die HSMs sowie die Generierung und Nutzung Ihrer Verschlüsselungsschlüssel eigenständig.

Anwendungsfälle

Lagern Sie die SSL-Verarbeitung für Webserver aus

Secure Sockets Layer (SSL) und Transport Layer Security (TLS) werden genutzt, um die Identität von Webservern zu bestätigen und sichere HTTPS-Verbindungen über das Internet aufzubauen. Sie können die SSL/TLS-Verarbeitung für Ihre Webserver mit AWS CloudHSM auslagern. Reduzieren Sie die Belastung Ihrer Webserver, und erhöhen Sie die Sicherheit, indem Sie den privaten Schlüssel Ihrer Webserver in CloudHSM speichern.

product-page-diagram_CloudHSM_offload-ssl

Schutz privater Schlüssel von Zertifizierungsstellen

In einer Public Key-Infrastruktur (PKI) ist eine Zertifizierungsstelle eine vertrauenswürdige Einrichtung, die digitale Zertifikate ausstellt. Die digitalen Zertifikate dienen zur Identifizierung einer Person oder eines Unternehmens. Sie können Ihre privaten Schlüssel mit AWS CloudHSM speichern und Zertifikatsanforderungen ausstellen. Dadurch können Sie wie eine Zertifizierungsstelle sichere Zertifikate für Ihr Unternehmen ausstellen.

product-page-diagram_CloudHSM_ca-1

Aktivieren Sie die transparente Datenverschlüsselung (TDE) für Oracle-Datenbanken

Sie können mit AWS CloudHSM den Master-Verschlüsselungsschlüssel für die transparente Datenverschlüsselung (Transparent Data Encryption, TDE) auf Ihren Oracle-Datenbankserver speichern, die TDE unterstützen. In Kürze wird die Unterstützung für SQL Server ergänzt. Mit TDE lassen sich Daten auf unterstützten Datenbank-Servern vor der Speicherung auf einem Datenträger verschlüsseln. Beachten Sie, dass Amazon RDS for Oracle TDE nicht für CloudHSM unterstützt. Für diesen Anwendungsfall sollten Sie AWS Key Management Service verwenden.

product-page-diagram_CloudHSM_database

Erste Schritte mit AWS

icon1

Registrieren Sie sich, um ein AWS-Konto zu erstellen

Sie erhalten sofort Zugriff auf das kostenlose Kontingent für AWS.
icon2

Erfahren Sie mehr in unseren zehnminütigen praktischen Anleitungen

Entdecken und lernen Sie mit einfachen Tutorials.
icon3

Beginnen Sie die Erstellung mit AWS

Entwickeln Sie mit Hilfe von schrittweisen Anleitungen, die Ihnen helfen, Ihr AWS-Projekt zu starten.

Weitere Informationen zu AWS CloudHSM

Bereit zum Entwickeln?
Erste Schritte mit CloudHSM
Haben Sie Fragen?
Kontaktieren Sie uns