AWS CloudHSM - Funktionen

AWS CloudHSM ist ein Cloud-basiertes Hardwaresicherheitsmodul (HSM), mit dem Sie Ihren AWS-Anwendungen auf einfache Weise eine sichere Schlüsselspeicherung sowie eine leistungsstarke Verschlüsselung hinzufügen können. Mit CloudHSM fallen keine Vorlaufkosten an. Sie können HSMs nach Bedarf starten und stoppen, um schnell und kosteneffektiv die jeweils erforderliche Kapazität bereitzustellen. CloudHSM ist ein verwalteter Service, der zeitaufwändige administrative Aufgaben wie etwa die Hardwarebereitstellung, die Installation von Software-Patches, die Hochverfügbarkeit und Backups automatisiert.

CloudHSM zählt ebenso wie der AWS Key Management Service (KMS) zu den AWS-Services, die ein hohes Maß an Sicherheit für Ihre kryptografischen Schlüssel bieten. Mit KMS lassen sich Verschlüsselungsschlüssel in AWS auf einfache und kosteneffektive Weise verwalten, um die Sicherheitsanforderungen der meisten Kundendaten zu erfüllen. CloudHSM bietet Kunden den Zugriff über nur einen Mandanten sowie die Steuerung ihrer HSMs.

AWS CloudHSM ermöglicht den Zugriff über nur einen Mandanten auf manipulationssichere HSMs, die dem Standard FIPS 140-2 Level 3 der US-Regierung für kryptografische Module entsprechen.

AWS CloudHSM vereinfacht das Skalieren Ihrer HSM-Kapazität. Sie können HSMs nach Bedarf über die AWS Management Console und AWS API hinzufügen und entfernen.

AWS CloudHSM ist eine offene Lösung, durch die Sie nicht an einen bestimmten Anbieter gebunden sind. Mit CloudHSM können Sie Ihre Schlüssel in andere handelsübliche HSM-Lösungen übertragen. Dies erleichtert die Migration von Schlüsseln innerhalb und außerhalb von AWS Cloud.

AWS CloudHSM ermöglicht die Integration in benutzerdefinierte Anwendungen über standardmäßige APIs. Des Weiteren unterstützt die Lösung mehrere Programmiersprachen wie PKCS#11 sowie Java Cryptography Extensions (JCE) und Microsoft CryptoNG (CNG)-Bibliotheken.

AWS CloudHSM unterstützt die Quorum-Authentifizierung für kritische administrative und Schlüsselverwaltungsfunktionen. Zudem unterstützt CloudHSM die Multifaktor-Authentifizierung mit von Ihnen bereitgestellten Token.

AWS CloudHSM ist ein verwalteter Service, der zeitaufwändige administrative Aufgaben wie etwa die Hardwarebereitstellung, die Installation von Software-Patches, die Hochverfügbarkeit und Backups automatisiert.

AWS CloudHSM wird in Ihrer eigenen Amazon Virtual Private Cloud (VPC) ausgeführt. Sie können Ihre HSMs dadurch auf einfache Weise mit Anwendungen nutzen, die auf Ihren Amazon EC2-Instances ausgeführt werden. CloudHSM ermöglicht es Ihnen, standardmäßige VPC-Sicherheitskontrollen zu nutzen, um den Zugriff auf Ihre HSMs zu steuern. Ihre Anwendungen sind über SSL-Kanäle mit gegenseitiger Authentifizierung verbunden, die von Ihrer HSM-Clientsoftware eingerichtet werden. Da sich Ihre HSMs in Amazon-Rechenzentren in der Nähe Ihrer EC2-Instances befinden, reduziert sich die Netzwerklatenz zwischen Ihren Anwendungen und den HSMs gegenüber der Verwendung von HSMs am Unternehmensstandort.

A: AWS verwaltet das Hardwaresicherheitsmodul (HSM), hat aber keinen Zugriff auf Ihre Schlüssel.

B: Sie steuern und verwalten Ihre eigenen Schlüssel.

C: Die Anwendungsleistung steigt aufgrund der Nähe zu AWS-Arbeitslasten.

D: Die Schlüssel werden in manipulationssicherer Hardware in mehreren Availability Zones (AZs) gespeichert.

E: Ihre HSMs befinden sich in Ihrer Virtual Private Cloud (VPC) und sind von anderen AWS-Netzwerken isoliert.

Die Trennung von Aufgaben und eine rollenbasierte Zugriffssteuerung zählen zu den wesentlichen Merkmalen von AWS CloudHSM. AWS überwacht den Zustand und die Verfügbarkeit Ihrer HSMs, ist aber nicht an der Erstellung und Verwaltung der in Ihren HSMs gespeicherten Schlüsselinformationen beteiligt. Sie steuern die HSMs sowie die Generierung und Nutzung Ihrer Verschlüsselungsschlüssel eigenständig.

AWS CloudHSM verteilt die Last von Anforderungen automatisch und dupliziert die in den HSMs gespeicherten Schlüssel auf sichere Weise auf allen anderen HSMs im Cluster. Dies sorgt für zusätzliche kryptografische Kapazität und verlängert die Lebensdauer der Schlüssel. Durch das Speichern mehrerer Kopien Ihrer Schlüssel auf verschiedenen HSMs in unterschiedlichen Availability Zones (AZ) bleiben Ihre Schlüssel bei einem etwaigen Ausfall eines HSM verfügbar und geschützt. Zur Optimierung der Verfügbarkeit und Zuverlässigkeit empfiehlt Amazon mindestens zwei HSMs in mehreren Availability Zones.

Der AWS CloudHSM Client verteilt die Last von Anforderungen und repliziert Schlüssel auf allen HSMs innerhalb des Clusters.