AWS CloudHSM

Módulo de seguridad de hardware (HSM) administrado basado en la nube de AWS.

AWS CloudHSM es un módulo de seguridad de hardware (HSM) basado en la nube que le permite generar y usar con facilidad sus propias claves de cifrado en la nube de AWS. Con CloudHSM, puede administrar sus propias claves de cifrado con los HSM validados por FIPS 140-2 de nivel 3. CloudHSM le ofrece la flexibilidad de integrarse con su aplicación con API estándares del sector, como PKCS#11, Java Cryptography Extensions (JCE) y bibliotecas de Microsoft CryptoNG (CNG).

CloudHSM cumple con los estándares y le permite exportar todas las claves a la mayoría de los demás HSM a la venta, sujeto a las configuraciones. Es un servicio totalmente administrado que automatiza las arduas tareas administrativas por usted, como el aprovisionamiento de hardware, los parches de software, la alta disponibilidad y las copias de seguridad. CloudHSM también le permite ajustar la escala con rapidez mediante la incorporación o eliminación de capacidad de HSM bajo demanda, sin costos por anticipado.

Presentación de AWS CloudHSM

Beneficios

Genere y use claves de cifrado en HSM validados por FIPS 140-2 de nivel 3.

AWS CloudHSM le permite generar y usar sus claves de cifrado en un hardware validado por FIPS 140-2 de nivel 3. CloudHSM protege sus claves con acceso exclusivo de un inquilino a instancias de HSM resistentes a manipulaciones en su propia Amazon Virtual Private Cloud (VPC).

Implemente cargas de trabajo seguras y en conformidad

Gracias al uso de HSM como raíz de confianza, puede demostrar con mayor facilidad la conformidad con las regulaciones de seguridad, privacidad y antimanipulación, como HIPAA, FedRAMP y PCI. AWS CloudHSM le permite crear cargas de trabajo seguras y en conformidad con un alto nivel de fiabilidad y baja latencia, mediante el uso de instancias de HSM en la nube de AWS.

Use un HSM abierto creado de acuerdo con los estándares de la industria

Puede usar AWS CloudHSM para que se integre con aplicaciones personalizadas mediante API estándares de la industria, como PKCS#11, Java Cryptography Extensions (JCE) y bibliotecas de Microsoft CryptoNG (CNG). También puede transferir sus claves a otras soluciones de HSM comerciales para facilitar la migración de claves hacia o desde AWS.

Mantenga el control de sus claves de cifrado

AWS CloudHSM le proporciona acceso a sus HSM a través de un canal seguro para crear usuarios y configurar políticas de HSM. Solo pueden obtener acceso a las claves de cifrado que genere y use con CloudHSM los usuarios de HSM que especifique. AWS no puede ver ni obtener acceso a sus claves de cifrado.

Fácil de administrar y escalar

AWS CloudHSM automatiza las arduas tareas administrativas de HSM, como el aprovisionamiento de hardware, los parches de software, la alta disponibilidad y las copias de seguridad. Para ajustar la escala de la capacidad de HSM con rapidez, agregue o elimine HSM de su clúster bajo demanda. AWS CloudHSM equilibra la carga de las solicitudes automáticamente y duplica de manera segura las claves almacenadas en cualquier HSM a todos los demás HSM del clúster.

Control de claves de AWS KMS

Puede configurar AWS Key Management Service (KMS) para utilizar su clúster de AWS CloudHSM como un almacén de claves personalizado en lugar del almacén de claves de KMS predeterminado. Con un almacén de claves personalizado de KMS, se beneficia de la integración entre los servicios de KMS y AWS que cifran los datos mientras retiene el control de los HSM que protegen sus claves maestras de KMS. El almacén de claves personalizado de KMS le ofrece lo mejor de ambos mundos al combinar HSM de un solo arrendatario bajo su control con la facilidad de uso y la integración de AWS KMS.

Funcionamiento

CloudHSM_Diagrams_2-final

AWS CloudHSM se ejecuta en su propia Amazon Virtual Private Cloud (VPC), lo que le permite utilizar sus HSM con aplicaciones ejecutadas en sus instancias de Amazon EC2. Con CloudHSM, puede utilizar los controles de seguridad de VPC estándar para administrar el acceso a sus HSM. Sus aplicaciones se conectan a sus HSM con canales SSL mutuamente autenticados establecidos por su software de cliente de HSM. Como sus HSM están ubicados en centros de datos de Amazon cercanos a sus instancias de EC2, puede reducir la latencia de red entre sus aplicaciones y HSM en comparación con un HSM local.

A: AWS administra el dispositivo de módulo de seguridad de hardware (HSM), pero no tiene acceso a sus claves.

B: usted controla y administra sus propias claves.

C: el rendimiento de las aplicaciones mejora (debido a la proximidad con las cargas de trabajo de AWS).

D: proteja el almacenamiento de claves con hardware resistente a manipulaciones disponible en varias zonas de disponibilidad (AZ).

E: sus HSM se encuentran en su Virtual Private Cloud (VPC), aisladas de otras redes de AWS.

La división de controles y el control de acceso basado en funciones es inherente al diseño de AWS CloudHSM. AWS monitorea el estado y la disponibilidad de red de sus HSM, pero no participa en la creación y administración del material relacionado con las claves almacenado en sus HSM. Usted controla los HSM y la generación y el uso de sus claves de cifrado.

Casos de uso

Descargue el procesamiento SSL para los servidores web

La capa de conexión segura (SSL) y Transport Layer Security (TLS) se utilizan para confirmar la identidad de servidores web y establecer conexiones HTTPS seguras en Internet. Puede usar AWS CloudHSM para descargar el procesamiento SSL/TLS de sus servidores web. El uso de CloudHSM para este procesamiento reduce la carga de su servidor web y proporciona seguridad adicional al almacenar la clave privada de su servidor web en CloudHSM.

product-page-diagram_CloudHSM_offload-ssl

Proteja claves privadas de una autoridad de certificación (CA)

En una infraestructura de claves pública (PKI), una autoridad de certificación (CA) es una entidad de confianza que emite certificados digitales. Estos certificados digitales se utilizan para identificar a una persona o empresa. Puede usar AWS CloudHSM para almacenar claves privadas y firmar certificados para poder actuar de manera segura como CA y emitir certificados para su empresa.

product-page-diagram_CloudHSM_ca-1

Habilite el cifrado de datos transparente (TDE) para bases de datos de Oracle

Puede usar AWS CloudHSM para almacenar la clave de cifrado maestra del cifrado de datos transparente (TDE) para los servidores de bases de datos de Oracle que admitan TDE. Próximamente se anunciará la compatibilidad con SQL Server. Con TDE, los servidores de base de datos admitidos pueden cifrar los datos antes de almacenarlos en un disco. Tenga en cuenta que Amazon RDS for Oracle no admite TDE con CloudHSM. Debe usar AWS Key Management Service para este caso de uso.

product-page-diagram_CloudHSM_database

Introducción a AWS

icon1

Regístrese para obtener una cuenta de AWS

Obtenga acceso instantáneamente a la capa gratuita de AWS.
icon2

Aprenda con tutoriales de 10 minutos

Explore y aprenda con tutoriales sencillos.
icon3

Comience a crear con AWS

Comience a crear soluciones con las guías paso a paso, que lo ayudarán a lanzar un proyecto en AWS.

Obtenga más información sobre AWS CloudHSM

¿Listo para crear?
Comience a utilizar CloudHSM
¿Tiene más preguntas?
Contacte con nosotros