P: ¿Qué es AWS CloudHSM?

El servicio AWS CloudHSM le ayuda a satisfacer los requisitos empresariales, contractuales y normativos para la seguridad de datos mediante el uso de módulos de seguridad de hardware (HSM) dedicados en la nube de AWS. Los socios de AWS y AWS Marketplace ofrecen una gama de soluciones para proteger la información confidencial en la plataforma de AWS, pero para algunas aplicaciones y datos sujetos a requisitos contractuales o normativos para la administración de las claves de cifrado, puede que se necesite una protección adicional. CloudHSM complementa las soluciones de protección de datos existentes y le permite proteger las claves de cifrado en los dispositivos HSM diseñados y aprobados de acuerdo con los estándares gubernamentales para la administración segura de las claves. CloudHSM le permite crear, almacenar y administrar de manera segura las claves de cifrado utilizadas para el cifrado de datos de forma que solo usted puede obtener acceso a dichas claves.

P: ¿Qué es un módulo de seguridad de hardware (HSM)?

Un módulo de seguridad de hardware (HSM) es un dispositivo de hardware que proporciona seguridad para el almacenamiento de claves y las operaciones criptográficas en una unidad de hardware a prueba de intrusiones. Los dispositivos HSM están diseñados para almacenar de forma segura el material relacionado con las claves de cifrado y utilizar dicho material sin exponerlo fuera de los límites criptográficos del dispositivo.

P: ¿Qué puedo hacer con CloudHSM?

Puede utilizar el servicio CloudHSM para dar soporte a una variedad de casos de uso y aplicaciones, como el cifrado de bases de datos, la administración de derechos digitales (DRM), la infraestructura de clave pública (PKI), la autenticación y autorización, la firma de documentos y el procesamiento de transacciones.

P: ¿Cómo funciona CloudHSM?

Al usar el servicio AWS CloudHSM, crea un clúster de AWS CloudHSM. Los clústeres pueden contener hasta 32 HSM individuales repartidos entre varias zonas de disponibilidad, que se sincronizan y cuya carga se balancea automáticamente. Usted dispone de acceso de un inquilino dedicado a cada HSM del clúster. Cada HSM aparece como un recurso de red en su Virtual Private Cloud (VPC). Como parte del aprovisionamiento, recibe credenciales de administrador para el clúster y puede crear otros usuarios y administradores según sea necesario. Para agregar y eliminar HSM del clúster, solo tiene que llamar a la API de AWS CloudHSM (o usar la línea de comandos en la CLI de AWS). Una vez creado e iniciado un clúster de AWS CloudHSM, puede configurar un cliente en su instancia de EC2 que permita a sus aplicaciones usar el clúster a través de una conexión de red segura y autenticada.

Los administradores de Amazon monitorizan el estado de sus HSM, pero no disponen de acceso para configurar, administrar o usarlos. Las aplicaciones utilizan API criptográficas estándar, junto con el software del cliente de HSM instalado en la instancia de la aplicación para enviar solicitudes criptográficas al HSM. El software de cliente mantiene un canal seguro a todos los HSM de su clúster y envía solicitudes en este canal. Los HSM realizan las operaciones y devuelven los resultados a través del canal seguro. A continuación, el cliente devuelve el resultado a la aplicación a través del API criptográfica.

P: No dispongo de VPC actualmente. ¿Puedo usar AWS CloudHSM?

No. Para proteger y aislar su CloudHSM de otros clientes de Amazon, el servicio CloudHSM debe aprovisionarse dentro de una VPC. La creación de una VPC es sencilla. Consulte la publicación VPC Getting Started Guide para obtener más información.

P: ¿Tiene mi aplicación que encontrarse en la misma VPC que el clúster de CloudHSM?

No, pero el servidor o la instancia en la que se ejecuta su aplicación y el cliente de HSM deben tener accesibilidad de red (IP) a todos los HSM del clúster. Hay numerosas maneras en las que puede establecer la conexión de red desde su aplicación al HSM. Por ejemplo, si ejecuta su aplicación en la misma VPC, con interconexiones de VPC, por medio de una conexión de VPN o mediante Direct Connect. Consulte la guía VPC Peering Guide y la guía de usuario VPC User Guide para obtener más detalles.

P: ¿Funciona CloudHSM con HSM on-premise?

Sí. Mientras que CloudHSM no dispone de interoperabilidad directa con HSM on-premise, podría ser posible mover o sincronizar claves entre ellos dependiendo del caso de uso, el tipo de claves y el tipo de HSM on-premise. Para obtener ayuda, abra un caso de soporte técnico de AWS en la consola de AWS.

P: ¿Cómo puede mi aplicación utilizar CloudHSM?

Hemos integrado y probado CloudHSM con varias soluciones de software de terceros, como Oracle Database 11g y 12c, y servidores web, incluidos Apache y Nginx para la descarga SSL. Para obtener más información, consulte la Guía del usuario de CloudHSM.

Si está desarrollando su propia aplicación personalizada, esta puede utilizar las API estándar compatibles con CloudHSM, como PKCS#11 y Java JCA/JCE (Java Cryptography Architecture/Java Cryptography Extensions). Próximamente, compatibilidad con Microsoft CAPI/CNG. Consulte la Guía del usuario de CloudHSM para ver ejemplos de código y obtener ayuda para ponerse en marcha.

P: ¿Puedo utilizar CloudHSM para almacenar claves o cifrar datos que utilizan otros servicios de AWS?

Sí. Puede realizar todo el cifrado en su aplicación integrada con CloudHSM. En este caso, los servicios de AWS como S3 o EBS solo verían los datos cifrados.

P: ¿Pueden otros servicios de AWS usar CloudHSM para almacenar y administrar claves?

En la actualidad, los servicios de AWS no se integran con CloudHSM directamente. Si desea usar la criptografía del lado del servidor que ofrecen numerosos servicios de AWS (como EBS, S3 o RDS), debería considerar AWS Key Management Service. En el futuro, es posible que integremos CloudHSM con otros servicios de AWS. Si le interesa este tema, infórmenos.

P: ¿Se puede utilizar CloudHSM para realizar la traducción en bloque del número de identificación personal (PIN) o cualquier otra operación de cifrado que se utilice con las transacciones de pago por débito?

Actualmente, CloudHSM ofrece HSM de uso general. En el futuro, es posible que ofrezcamos funciones de pago. Si le interesa este tema, infórmenos.

P: ¿Cómo se compara AWS Key Management Service (KMS) con AWS CloudHSM?

AWS Key Management Service (KMS) es un servicio administrado multiinquilino que la permite usar y administrar claves de cifrado. Ambos servicios ofrecen un alto nivel de seguridad para sus claves criptográficas. AWS CloudHSM proporciona un HSM FIPS 140-2 de nivel 3 al que usted controla totalmente, directamente en su Amazon Virtual Private Cloud (VPC).

P: ¿Cuándo debería usar AWS CloudHSM en lugar de AWS KMS?

Debería considerar el uso de AWS CloudHSM si necesita:

  • Claves almacenadas en módulos de seguridad de hardware dedicados y validados de terceros bajo su control exclusivo.
  • Conformidad con FIPS 140-2.
  • Integración con aplicaciones usando interfaces de PKCS#11, Java JCE o Microsoft CNG.
  • Aceleración criptográfica de alto desempeño en VPC (cifrado por lotes).

P: ¿Se eliminarán mis HSM basados en Safenet?

No. Mientras que consideramos que el conjunto de características y el costo del nuevo servicio CloudHSM constituyen una alternativa mucho más atractiva, mantendremos AWS CloudHSM Classic para los clientes existentes. Los recursos estarán disponibles en breve para ayudar en la migración de CloudHSM Classic al nuevo servicio.

P: ¿Cómo comienzo a usar CloudHSM?

Puede aprovisionar un clúster de CloudHSM en la consola de CloudHSM, o a través de unas pocas llamadas a la API mediante el SDK o la API de AWS. Consulte la Guía del usuario de CloudHSM para obtener información sobre cómo comenzar, la documentación de CloudHSM para obtener información sobre el API de CloudHSM o la página Herramientas para Amazon Web Services para obtener más información sobre el SDK.

P: ¿Cómo puedo cancelar el servicio CloudHSM?

Puede usar la API o el SDK de CloudHSM para eliminar sus HSM y dejar de usar el servicio. Consulte la guía de usuario CloudHSM User Guide para obtener información más detallada.

P: ¿Cómo se me cobrará y facturará por el uso que haga del servicio AWS CloudHSM?

Se le cobrará una tarifa por hora por cada hora (u hora parcial) durante la que se aprovisione un HSM en un clúster de CloudHSM. Los clústeres sin HSM no se cobran, ni se le cobra el almacenamiento automático de los backups cifrados. Amazon se reserva el derecho de realizar cargos por transferencias de datos a través de la red que superen los 5 000 GB al mes dentro y fuera del servicio AWS CloudHSM. Para obtener más información, visite la página de precios de CloudHSM.

P: ¿El servicio CloudHSM incluye una capa gratuita?

No, no existe ninguna capa gratuita para CloudHSM.

P: ¿Existe algún requisito previo para inscribirse en CloudHSM?

Sí. Es necesario cumplir ciertos requisitos para poder comenzar a utilizar CloudHSM como, por ejemplo, tener una Virtual Private Cloud (VPC) en la región en la que desee ubicar el servicio CloudHSM. Consulte la guía de usuario CloudHSM User Guide para obtener más detalles.

P: Tengo que administrar el firmware en mi HSM?

No. AWS administra el firmware en el hardware. Un tercero se encarga de mantener el firmware. Además, NIST evalúa la conformidad con FIPS 140-2 de nivel 3 de todo firmware. Solo se puede instalar el firmware que dispone de una firma criptográfica de la clave FIPS (a la que AWS no tiene acceso).

P: ¿De cuántos HSM debería disponer en mi clúster de CloudHSM?

AWS aconseja encarecidamente que disponga al menos de dos HSM en dos zonas de disponibilidad distintas para cualquier carga de producción. Para cargas de trabajo críticas, recomendamos que disponga de al menos tres HSM en dos zonas de disponibilidad como mínimo. El cliente de CloudHSM administrará automáticamente cualquier fallo en los HSM y equilibrará la carga entre dos o más HSM de manera transparente a su aplicación.

P: ¿Quién es el responsable de administrar la duración de las claves?

AWS realiza backups cifrados automáticos de su clúster de CloudHSM una vez al día, y backups adicionales cuando se producen eventos del ciclo de vida del clúster (como agregar o eliminar un HSM). Durante el periodo de 24 horas entre backups, usted es responsable de la durabilidad del material de las claves creado o importado en su clúster. Recomendamos encarecidamente que se asegure de que cualquier clave creada se sincroniza en al menos dos HSM en dos zonas de disponibilidad distintas para garantizar la durabilidad de las claves. Para obtener más detalles sobre como verificar la sincronización de las claves, consulte la Guía del usuario de CloudHSM.

P: ¿Cómo puedo establecer una configuración de alta disponibilidad?

La alta disponibilidad se proporciona automáticamente cuando dispone de al menos dos HSM en su clúster de CloudHSM. No se necesita ninguna configuración adicional. En el caso de que se produzca un fallo en un HSM de su clúster, se sustituirá automáticamente, y se actualizarán todos los clientes para reflejar la nueva configuración sin interrumpir el procesamiento. Se pueden agregar HSM adicionales al clúster mediante la API o el SDK de AWS, incrementando la disponibilidad sin interrumpir la aplicación.

P: ¿Cuántos HSM se pueden conectar en un clúster de CloudHSM?

Un solo clúster de CloudHSM puede contener hasta 32 HSM.

P: ¿Puedo realizar backups del contenido de un CloudHSM?

AWS realiza backups de su clúster de CloudHSM una vez al día. También se pueden exportar claves ("ajustadas") desde su clúster y almacenar on-premise, siempre y cuando no fueran generadas en formato "no exportable". En la actualidad, no existe ninguna otra opción de backup disponible, aunque esperamos proporcionar capacidades de backup on-premise más exhaustivas próximamente.

P: ¿Existe algún contrato de nivel de servicio para CloudHSM?

En la actualidad no existe ningún contrato de nivel de servicio para CloudHSM.

P: ¿Comparto mi CloudHSM con otros clientes de AWS?

No. Como parte del servicio, recibe acceso de un inquilino al HSM. Puede compartir el hardware subyacente con otros clientes, pero solo usted puede acceder al HSM.

P: ¿Cómo administra AWS el dispositivo HSM sin obtener acceso a mis claves de cifrado?

La división de controles y el control de acceso basado en funciones es inherente al diseño de CloudHSM. AWS dispone de una credencial limitada al HSM que nos permite monitorizar y mantener el estado y la disponibilidad del HSM, realizar backups cifrados, y extraer y publicar logs de auditoría en CloudWatch Logs. AWS no puede ver ni usar las claves ni acceder a ellas. Tampoco puede hacer que el HSM realice ninguna operación criptográfica con sus claves.

Consulte la Guía del usuario de CloudHSM para obtener más información sobre la división de controles y las capacidades que cada clase de usuario posee en el HSM.

P: ¿Puedo monitorizar el dispositivo HSM?

Sí. CloudHSM publica varias métricas de CloudWatch para clústeres de CloudHSM Clusters y HSM individuales. Puede usar la consola de, la API o el SDK de AWS CloudWatch para obtener estas métricas o crear alarmas sobre ellas.

P: ¿Cuál es el origen de entropía (origen de la aleatoriedad) de CloudHSM?

Cada HSM cuenta con un generador de bits aleatorios determinista (DRBG validado por FIPS) enviado por un generador de número aleatorio verdadero (TRNG) en el módulo de hardware HSM conforme a SP800-90B. Se trata de un origen de entropía de alta calidad capaz de producir 20 Mb/s de entropía por HSM.

P: ¿Qué sucede si alguien intenta obtener acceso al dispositivo HSM?

CloudHSM cuenta con mecanismos de detección de intrusiones y respuesta físicos y lógicos que activan la eliminación de claves (puesta a cero) del dispositivo. El HSM se ha diseñado para detectar intrusiones si se traspasa la barrera física del HSM. Además, a los cinco intentos fallidos de acceder a un HSM con credenciales de un oficial criptográfico (CO), el HSM se elimina a sí mismo. A los cinco intentos fallidos de acceder a un HSM con credenciales de un usuario criptográfico (CU), se bloqueará al usuario y un CO deberá desbloquearlo.

P: ¿Qué sucede en caso de error?

Amazon monitoriza y realiza las tareas de mantenimiento del HSM y la red para comprobar la disponibilidad y si se han producido errores. Si se produce un fallo en un HSM o se pierde la conexión a la red, el HSM se sustituye automáticamente. Puede comprobar el estado de un HSM concreto a través del API, el SDK o las herramientas de la CLI de CloudHSM y comprobar el estado general del servicio en cualquier momento mediante el Panel de estado del servicio de AWS.

P: ¿Puedo perder mis claves si falla un único dispositivo HSM?

Sí. Es posible perder claves creadas desde el último backup diario si se produce un fallo en el clúster de CloudHSM que está utilizando y no dispone de dos o más HSM. Amazon recomienda encarecidamente que disponga de dos o más HSM en distintas zonas de disponibilidad para cualquier clúster de CloudHSM de producción con el fin de evitar la pérdida de claves criptográficas.

P: ¿Puede Amazon recuperar mis claves si pierdo las credenciales del dispositivo?

No. Amazon no tiene acceso ni a sus claves ni a sus credenciales, por lo que no puede recuperar sus claves si pierde sus credenciales.

P: ¿Cómo sé que puedo confiar en los dispositivos CloudHSM?

CloudHSM está diseñado con conformidad a la Norma de Procesamiento de Información Federal (FIPS) 140-2 de nivel 3. Puede encontrar el perfil de seguridad de FIPS 140-2 para el hardware subyacente que utiliza CloudHSM aquí: http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2850.pdf

Puede seguir el procedimiento en la Guía del usuario de CloudHSM en la sección "Verify the Authenticity of Your HSM" para confirmar que dispone de un HSM auténtico en el mismo hardware modelo especificado en la política de seguridad NIST cuyo enlace aparece más arriba.

P: ¿Cómo puedo utilizar CloudHSM en modo FIPS 140-2?

CloudHSM siempre se encuentra en modo FIPS 140-2. Puede verificarlo utilizando las herramientas de la CLI, tal y como se documenta en la Guía del usuario de CloudHSM y ejecutando el comando getHsmInfo, que indicará el estado del modo FIPS.

P: ¿Soporta el servicio CloudHSM los estándares FIPS 140-2 Nivel 3?

Sí, CloudHSM siempre se encuentra en modo FIPS 140-2 de nivel 3.

P: ¿Cómo puedo distribuir de forma segura una credencial de partición de HSM en mis instancias?

Consulte la siguiente publicación del Blog de seguridad de AWS que describe el uso de funciones IAM para distribuir credenciales que no son de AWS en sus instancias EC2.

P: ¿Puedo obtener el historial de todas las llamadas al API de CloudHSM realizadas desde mi cuenta?

Sí. AWS CloudTrail registra las llamadas a las API de AWS de su cuenta. El historial de llamadas a las API de AWS creado por CloudTrail permite realizar análisis de seguridad, un seguimiento de los cambios en los recursos y auditorías de conformidad. Obtenga más información sobre CloudTrail en la página de inicio de CloudTrail y habilítelo a través de la Consola de administración de AWS de CloudTrail.

P: ¿Qué eventos no se registran en CloudTrail?

CloudTrail no incluye ninguno de los dispositivos ni logs de acceso de HSM. CloudWatch Logs se los proporciona directamente a su cuenta de AWS. Para obtener más información, consulte la Guía del usuario de CloudHSM.

P: ¿Qué iniciativas de conformidad de AWS disponen de CloudHSM?

Consulte la página sobre conformidad de AWS para obtener más información sobre los programas de conformidad que cubren a CloudHSM. A diferencia de otros servicios de AWS, los requisitos de conformidad de CloudHSM suelen cumplirse a través de la validación FIPS 140-2 de nivel 3 del hardware, en lugar de formar parte de un programa de auditoría independiente.

P: ¿Cuál es la importancia de la norma FIPS 140-2 de nivel 3?

La norma FIPS 140-2 de nivel 3 es un requisito de determinados casos de uso, incluida la firma de documentos, los pagos o ejercer como autoridad certificadora pública para la emisión de certificados SSL.

P: ¿Cómo puedo solicitar informes de conformidad que incluyan CloudHSM?

Puede solicitar los informes de conformidad a su representante de Desarrollo empresarial. Si no cuenta con uno, puede solicitarlo aquí.

P: ¿Cuántas operaciones criptográficas puede realizar CloudHSM por segundo?

El desempeño de los HSM individuales varía en función de la carga de trabajo específica. La tabla de debajo muestra el desempeño aproximado de HSM individuales para varios algoritmos criptográficos comunes. Cada clúster de CloudHSM puede disponer de un máximo de 32 HSM, lo que equivale aproximadamente a 32 veces el desempeño de la tabla de debajo. El desempeño pude variar en función de la configuración exacta y los tamaños de los datos, por lo que recomendamos que realice pruebas de carga de su aplicación con CloudHSM para determinar las necesidades concretas de escalado.

Firma/verificación RSA de 2048 bits

1 100/s

EC P256

315 puntos mul/s

AES 256

Cifrado por lotes dúplex 300 Mb/s

Generación de claves RSA de 2048 bits

~2/s

Generación de números aleatorios (CSPRNG)

20 Mb/s

P: ¿Cuántas claves se pueden almacenar en una instancia de CloudHSM?

Un clúster de CloudHSM puede almacenar un máximo de 3 500 claves de cualquier tipo o tamaño.

P: ¿Es CloudHSM compatible con Amazon RDS Oracle TDE?

No. No se admite Amazon RDS Oracle TDE. Sin embargo, se admite Oracle TDE para bases de datos de Oracle (11g y 12c) en EC2. Para más información, consulte la Guía del usuario de CloudHSM.

P: ¿Qué es el cliente de CloudHSM?

El cliente de CloudHSM es un paquete de software provisto por AWS que le permite a usted y sus aplicaciones interactuar con los clústeres de CloudHSM.

P: ¿Proporciona el cliente de CloudHSM acceso a AWS a mi clúster de CloudHSM?

No. El cliente de CloudHSM es de código abierto y se publica bajo licencia BSD. La distribución del código completo se encuentra disponible bajo solicitud y se puede crear usando sus propias herramientas de compilación. Por comodidad, suministramos un RPM binario por defecto.

P: ¿Qué son las herramientas de la interfaz de línea de comandos (CLI) de CloudHSM?

El cliente de CloudHSM incluye un conjunto de herramientas de CLI que le permiten administrar y usar el HSM desde la línea de comandos. Actualmente, se admite Linux. Próximamente, se anunciará la compatibilidad con MacOS y Windows. Las herramientas están disponibles en el mismo paquete que el cliente de CloudHSM.

P: ¿Cómo puedo descargarme las herramientas de la interfaz de línea de comandos de CloudHSM y comenzar a utilizarlas?

Consulte las instrucciones en la Guía del usuario de CloudHSM.

P: Las herramientas de la interfaz de línea de comandos de CloudHSM, ¿proporcionan acceso a AWS al contenido del HSM?

No. Las herramientas de CloudHSM se comunican directamente con su clúster de CloudHSM a través del cliente de CloudHSM mediante un canal seguro y mutuamente autenticado. AWS no puede observar ninguna comunicación entre el cliente, las herramientas y los HSM, está cifrado de principio a fin.

P: ¿En qué sistemas operativos puedo usar el cliente y las herramientas de la CLI de CloudHSM?

Varios sistemas Linux (versiones modernas de Amazon Linux, Redhat, Centos y Ubuntu), Microsoft Windows y Apple Macos. Infórmenos si hay otros sistemas operativos en los que desearía utilizar el cliente y las herramientas de la CLI de CloudHSM.

P: ¿Cuáles son los requisitos de conectividad de red para utilizar las herramientas de la interfaz de línea de comandos de CloudHSM?

El host en el que ejecuta el cliente de CloudHSM y/o utiliza las herramientas de la CLI debe poder comunicarse por red con todos los demás HSM de su clúster de CloudHSM.

P: ¿Qué puedo hacer con la API y el SDK de CloudHSM?

Puede crear, modificar, eliminar y obtener el estado de HSM y clústeres de CloudHSM. Lo que puede hacer con la API de AWS CloudHSM está limitado a las operaciones que AWS puede realizar con su acceso restringido. La API no puede acceder a los contenidos del HSM o modificar usuarios, políticas ni ningún otro ajuste. Consulte la Guía para desarrolladores CloudHSM para obtener información sobre la API o la página Herramientas para Amazon Web Services para obtener más información sobre el SDK.

P: ¿Cómo se realiza el mantenimiento periódico en los dispositivos HSM?

Los procedimientos del mantenimiento periódico de AWS para los dispositivos HSM se han diseñado para evitar tiempos de inactividad simultáneos en varias zonas de disponibilidad de la misma región.

AWS monitoriza y mantiene el HSM, por lo que es posible que tenga que interrumpir un HSM para actualizar, sustituir o probar determinado hardware. Estas operaciones no deberían tardar más de unos minutos si se trata de una sustitución, y no deberían afectar al desempeño de su clúster de CloudHSM en circunstancias normales. Cualquier aplicación que use activamente un HSM específico en el clúster podría experimentar una interrupción temporal si este se sustituye mientras el cliente de CloudHSM intenta realizar la operación de nuevo en un HSM distinto del clúster.

AWS no realizará un mantenimiento periódico en los dispositivos HSM en varias zonas de disponibilidad de la misma región durante el mismo período de 24 horas.

Bajo circunstancias imprevistas, puede que AWS realice tareas de mantenimiento urgentes sin previo aviso. AWS procurará evitar esta situación, así como las situaciones en las que se realicen tareas de mantenimiento urgentes en los dispositivos HSM durante el mismo periodo de 24 horas en varias zonas de disponibilidad de la misma región.

AWS recomienda encarecidamente que use clústeres de CloudHSM con dos o más HSM en zonas de disponibilidad distintas para evitar cualquier posible interrupción.

P: Tengo un problema con CloudHSM. ¿Qué debo hacer?

Contacte con AWS Support.


Si tiene cualquier duda sobre AWS CloudHSM Classic, consulte las preguntas frecuentes sobre AWS CloudHSM Classic.