Aspectos generales

P: ¿Qué es AWS CloudHSM?

El servicio AWS CloudHSM lo ayuda a cumplir los requisitos empresariales, contractuales y normativos vinculados con la seguridad de los datos mediante el uso de instancias de módulos de seguridad de hardware (HSM) exclusivas en la nube de AWS. Los socios de AWS y AWS Marketplace ofrecen una gama de soluciones para proteger la información confidencial en la plataforma de AWS, pero para algunas aplicaciones y datos sujetos a requisitos contractuales o normativos para la administración de las claves de cifrado, puede que se necesite una protección adicional. CloudHSM complementa las soluciones de protección de datos existentes y le permite proteger las claves de cifrado en los dispositivos HSM diseñados y aprobados de acuerdo con los estándares gubernamentales para la administración segura de las claves. CloudHSM le permite crear, almacenar y administrar de manera segura las claves criptográficas utilizadas para el cifrado de datos de forma que solo usted pueda obtener acceso a ellas.

P: ¿Qué es un módulo de seguridad de hardware (HSM)?

Un módulo de seguridad de hardware (HSM) proporciona seguridad para el almacenamiento de claves y las operaciones criptográficas en una unidad de hardware resistente a manipulaciones. Los dispositivos HSM están diseñados para almacenar de forma segura el material relacionado con las claves criptográficas y para utilizar dicho material sin exponerlo fuera de los límites criptográficos del hardware.

P: ¿Qué puedo hacer con CloudHSM?

Puede utilizar el servicio CloudHSM para respaldar una variedad de casos de uso y aplicaciones, como el cifrado de bases de datos, la administración de derechos digitales (DRM), la infraestructura de clave pública (PKI), la autenticación y autorización, la firma de documentos y el procesamiento de transacciones.

P: ¿Cómo funciona CloudHSM?

Al usar el servicio AWS CloudHSM, crea un clúster de AWS CloudHSM. Los clústeres pueden contener varias instancias de HSM, ampliarse en múltiples zonas de disponibilidad en una región. Las instancias de HSM en un clúster están automáticamente sincronizadas y con carga equilibrada. Usted dispone de acceso exclusivo de un inquilino a cada instancia de HSM de su clúster. Cada instancia de HSM aparece como un recurso de red en su Amazon Virtual Private Cloud (VPC). Para agregar y eliminar HSM del clúster, solo tiene que llamar a la API de AWS CloudHSM (o usar la línea de comandos en la CLI de AWS). Una vez creado e iniciado un clúster de AWS CloudHSM, puede configurar un cliente en su instancia EC2 que permita a sus aplicaciones usar el clúster a través de una conexión de red segura y autenticada.

Los administradores de Amazon monitorean el estado de sus HSM, pero no disponen de acceso para configurarlos, administrarlos ni usarlos. Las aplicaciones utilizan API criptográficas estándar, junto con el software del cliente de HSM instalado en la instancia de la aplicación para enviar solicitudes criptográficas al HSM. El software de cliente mantiene un canal seguro a todos los HSM de su clúster y envía solicitudes en este canal. Los HSM realizan las operaciones y devuelven los resultados a través del canal seguro. A continuación, el cliente devuelve el resultado a la aplicación a través de la API criptográfica.

P: No dispongo de una VPC actualmente. ¿Puedo usar AWS CloudHSM de todas maneras?

No. Para proteger y aislar AWS CloudHSM de otros clientes de Amazon, el servicio CloudHSM debe aprovisionarse dentro de una Amazon VPC. Crear una VPC es sencillo. Consulte la Guía de introducción a VPC para obtener más información.

P: ¿Mi aplicación debe encontrarse en la misma VPC que el clúster de CloudHSM?

No, pero el servidor o la instancia en la que se ejecutan su aplicación y el cliente de HSM deben tener accesibilidad de red (IP) a todos los HSM del clúster. Hay numerosas maneras en las que puede establecer la conexión de red desde su aplicación al HSM. Por ejemplo, si ejecuta su aplicación en la misma VPC, con interconexiones de VPC, por medio de una conexión de VPN o mediante Direct Connect. Consulte la Guía de interconexión de VPC y la Guía del usuario de VPC para leer más detalles.

P: ¿CloudHSM funciona con HSM local?

Sí. Mientras que CloudHSM no interopere directamente con HSM locales, puede transmitir de forma segura las claves exportables entre CloudHSM y los HSM más comerciales usando uno o varios métodos de protección de claves RSA admitidos.   

P: ¿Cómo puede mi aplicación utilizar CloudHSM?

Hemos integrado y probado CloudHSM con varias soluciones de software de terceros, como Oracle Database 11g y 12c, y servidores web, incluidos Apache y Nginx para la descarga SSL. Para obtener más información, consulte la Guía del usuario de CloudHSM.

Si está desarrollando su propia aplicación personalizada, esta puede utilizar las API estándar compatibles con CloudHSM, como PKCS#11 y Java JCA/JCE (Java Cryptography Architecture/Java Cryptography Extensions). Próximamente, ofreceremos compatibilidad con Microsoft CAPI/CNG. Consulte la Guía del usuario de CloudHSM para ver ejemplos de código y obtener ayuda para ponerse en marcha.

Si está migrando una carga de trabajo existente desde CloudHSM Classic o desde HSM local a CloudHSM, nuestra Guía de migración a CloudHSM proporciona información sobre cómo planear y ejecutar la migración.

P: ¿Puedo utilizar CloudHSM para almacenar claves o cifrar datos que utilizan otros servicios de AWS?

Sí. Puede realizar todo el cifrado en su aplicación integrada con CloudHSM. En este caso, los servicios de AWS como Amazon S3 o Amazon Elastic Block Store (EBS) solo verían los datos cifrados.

P: ¿Pueden otros servicios de AWS usar CloudHSM para almacenar y administrar claves?

Los servicios de AWS se integran con AWS Key Management Service, que a su vez se integra con AWS CloudHSM a través de la función de almacén de claves personalizadas de KMS. Si desea usar el cifrado desde el servidor que ofrecen muchos servicios de AWS (como EBS, S3 o Amazon RDS), puede hacerlo configurando un almacén de claves personalizado en AWS KMS.

P: ¿Se puede utilizar CloudHSM para realizar la traducción en bloque del número de identificación personal (PIN) o cualquier otra operación de cifrado que se utilice con las transacciones de pago por débito?

Actualmente, CloudHSM ofrece HSM de uso general. En el futuro, es posible que ofrezcamos funciones de pago. Si le interesa este tema, infórmenos.

P: ¿Qué diferencias existen entre AWS Key Management Service (KMS) y AWS CloudHSM?

AWS Key Management Service (KMS) es un servicio administrado multiinquilino que le permite usar y administrar claves de cifrado. Ambos servicios ofrecen un alto nivel de seguridad para sus claves criptográficas. AWS CloudHSM proporciona un HSM FIPS 140-2 de nivel 3 al que usted controla totalmente, directamente en su Amazon Virtual Private Cloud (VPC).

P: ¿Cuándo debería usar AWS CloudHSM en lugar de AWS KMS?

Debería considerar el uso de AWS CloudHSM si necesita:

  • Claves almacenadas en módulos de seguridad de hardware dedicados y validados por terceros bajo su control exclusivo.
  • Conformidad con FIPS 140-2.
  • Integración con aplicaciones mediante el uso de interfaces de PKCS#11, Java JCE o Microsoft CNG.
  • Aceleración criptográfica de alto rendimiento en VPC (cifrado por lotes).

P: ¿Se eliminarán mis HSM basados en Safenet?

Sí. Gemalto ha anunciado la discontinuación de los HSM que proporciona CloudHSM Classic. Debe actualizar al nuevo CloudHSM antes de abril de 2020. Consulte las preguntas frecuentes de CloudHSM Classic para obtener más información. Hemos desarrollado varios recursos para ayudarlo en la migración de CloudHSM Classic al nuevo CloudHSM. Puede empezar usando la Guía de actualización a CloudHSM.

P: ¿Cómo comienzo a usar CloudHSM?

Puede aprovisionar un clúster de CloudHSM en la consola de CloudHSM, o a través de unas pocas llamadas a la API mediante el SDK o la API de AWS. Consulte la Guía del usuario de CloudHSM para obtener información sobre cómo comenzar, la documentación de CloudHSM para obtener información sobre la API de CloudHSM o la página Herramientas para Amazon Web Services para obtener más información sobre el SDK.

P: ¿Cómo puedo cancelar el servicio CloudHSM?

Puede usar la API o el SDK de CloudHSM para eliminar sus HSM y dejar de usar el servicio. Consulte la guía de usuario de CloudHSM para obtener información más detallada.

Facturación

P: ¿Cómo se me cobrará y facturará por el uso que haga del servicio AWS CloudHSM?

Se le cobrará una tarifa por hora por cada hora (u hora parcial) durante la que se aprovisione un HSM en un clúster de CloudHSM. Los clústeres sin HSM no se cobran, ni se le cobra el almacenamiento automático de las copias de seguridad cifradas. Para obtener más información, visite la página de precios de CloudHSM. Tenga en cuenta que las transferencias de datos de red hacia y desde sus instancias de CloudHSM se cobran por separado. Si desea obtener más información, consulte los precios de transferencia de datos para EC2.

P: ¿El servicio CloudHSM incluye una capa gratuita?

No, no existe ninguna capa gratuita para CloudHSM.

P: ¿Los cargos varían en función del número de usuarios o de las claves que cree en mi HSM?

No, la tarifa por hora, que varía en función de la región, no dependen del uso que se haga del HSM.

Aprovisionamiento y operaciones

P: ¿Existe algún requisito previo para inscribirse en CloudHSM?

Sí. Es necesario cumplir ciertos requisitos para poder comenzar a utilizar CloudHSM como, por ejemplo, tener una Virtual Private Cloud (VPC) en la región en la que desee ubicar el servicio CloudHSM. Consulte la guía de usuario de CloudHSM para leer más detalles.

P: Tengo que administrar el firmware en mi HSM?

No. AWS administra el firmware en el hardware. Un tercero se encarga de mantener el firmware. Además, NIST evalúa la conformidad con FIPS 140-2 de nivel 3 de todo firmware. Solo se puede instalar el firmware que dispone de una firma criptográfica de la clave FIPS (a la que AWS no tiene acceso).

P: ¿De cuántos HSM debería disponer en mi clúster de CloudHSM?

AWS aconseja encarecidamente que disponga de al menos de dos HSM en dos zonas de disponibilidad distintas para cualquier carga de producción. Para cargas de trabajo críticas, recomendamos que disponga de al menos tres HSM en dos zonas de disponibilidad como mínimo. El cliente de CloudHSM administrará automáticamente cualquier error en los HSM y equilibrará la carga entre dos o más HSM de manera transparente a su aplicación.

P: ¿Quién es el responsable de administrar la duración de las claves?

AWS realiza copias de seguridad cifradas automáticas de su clúster de CloudHSM una vez al día, y copias de seguridad adicionales cuando se producen eventos del ciclo de vida del clúster (como agregar o eliminar un HSM). Durante el período de 24 horas entre copias de seguridad, usted es responsable de la durabilidad del material de las claves creado o importado en su clúster. Recomendamos encarecidamente que se asegure de que cualquier clave creada se sincronice en al menos dos HSM en dos zonas de disponibilidad distintas para garantizar la durabilidad de las claves. Para obtener más detalles sobre como verificar la sincronización de las claves, consulte la Guía del usuario de CloudHSM.

P: ¿Cómo puedo establecer una configuración de alta disponibilidad?

La alta disponibilidad se proporciona automáticamente cuando dispone de al menos dos HSM en su clúster de CloudHSM. No se necesita ninguna configuración adicional. En el caso de que se produzca un error en un HSM de su clúster, se sustituirá automáticamente, y se actualizarán todos los clientes para reflejar la nueva configuración sin interrumpir el procesamiento. Se pueden agregar HSM adicionales al clúster mediante la API o el SDK de AWS, lo que permite incrementar la disponibilidad sin interrumpir la aplicación.

P: ¿Cuántas instancias de HSM se pueden conectar en un clúster de CloudHSM?

Un solo clúster de CloudHSM puede contener hasta 32 HSM. Los clientes pueden crear hasta 28 instancias, sujetas a los límites de servicio de la cuenta. La capacidad restante se reserva para el uso interno, por ejemplo, cuando se reemplazan las instancias de HSM fallidas.

P: ¿Puedo realizar copias de seguridad del contenido de un CloudHSM?

AWS realiza copias de seguridad de su clúster de CloudHSM una vez al día. También es posible exportar claves ("ajustadas") desde su clúster y almacenarlas en las instalaciones, siempre y cuando no se generen en formato "no exportable". En la actualidad, no existe ninguna otra opción de respaldo disponible, aunque esperamos proporcionar capacidades para realizar copias de seguridad locales más exhaustivas próximamente.

P: ¿Existe algún contrato de nivel de servicio para CloudHSM?

Sí, puede encontrar el acuerdo de nivel de servicio (SLA) de AWS CloudHSM aquí.

Seguridad

P: ¿Comparto mi CloudHSM con otros clientes de AWS?

No. Como parte del servicio, recibe acceso de un inquilino al HSM. Puede compartir el hardware subyacente con otros clientes, pero solo usted puede obtener acceso al HSM.

P: ¿Cómo administra AWS el dispositivo HSM sin obtener acceso a mis claves de cifrado?

La división de controles y el control de acceso basado en funciones es inherente al diseño de CloudHSM. AWS dispone de una credencial limitada al HSM que nos permite monitorear y mantener el estado y la disponibilidad del HSM, realizar copias de seguridad cifradas, y extraer y publicar registros de auditoría en CloudWatch Logs. AWS no puede ver ni usar las claves ni obtener acceso a ellas. Tampoco puede hacer que el HSM realice ninguna operación criptográfica con sus claves.

Consulte la Guía del usuario de CloudHSM para obtener más información sobre la división de controles y las capacidades que cada clase de usuario posee en el HSM.

P: ¿Puedo monitorear mi HSM?

Sí. CloudHSM publica varias métricas de CloudWatch para clústeres de CloudHSM e instancias de HSM individuales. Puede usar la consola, la API o el SDK de AWS CloudWatch para obtener estas métricas o crear alarmas asociadas con ellas.

P: ¿Cuál es el origen de entropía (origen de la aleatoriedad) de CloudHSM?

Cada HSM cuenta con un generador de bits aleatorios determinista (DRBG validado por FIPS) enviado por un generador de número aleatorio verdadero (TRNG) en el módulo de hardware HSM que cumple los requisitos de SP800-90B. Se trata de un origen de entropía de alta calidad capaz de producir 20 Mb/s de entropía por HSM.

P: ¿Qué sucede si alguien intenta obtener acceso al hardware del HSM?

CloudHSM cuenta con mecanismos de detección de manipulaciones y respuesta físicos y lógicos que activan la eliminación de claves (reinicio) del hardware. El hardware está diseñado para detectar manipulaciones si se infringe la barrera física. Las instancias de HSM también están protegidas contra ataques de inicio por fuerza bruta. Una vez excedido un número determinado de intentos fallidos para obtener acceso a un HSM con credenciales de un responsable de criptografía (CO), la instancia de HSM bloqueará la salida del CO. De igual modo, una vez excedido un número determinado de intentos fallidos para obtener acceso a un HSM con credenciales de un usuario criptográfico (CU), el usuario se bloqueará y un CO deberá desbloquearlo.

P: ¿Qué sucede en caso de error?

Amazon monitorea y realiza las tareas de mantenimiento del HSM y la red para comprobar la disponibilidad y si se han producido errores. Si se produce un error en un HSM o se pierde la conexión a la red, el HSM se sustituye automáticamente. Puede comprobar el estado de un HSM concreto a través de la API, el SDK o las herramientas de la CLI de CloudHSM y comprobar el estado general del servicio en cualquier momento mediante el Panel de estado del servicio de AWS.

P: ¿Puedo perder mis claves si falla una única instancia de HSM?

Sí. Es posible perder claves creadas desde la última copia de seguridad diaria si se produce un error en el clúster de CloudHSM que está utilizando y no dispone de dos o más HSM. Amazon recomienda encarecidamente que disponga de dos o más HSM en distintas zonas de disponibilidad para cualquier clúster de CloudHSM de producción con el fin de evitar la pérdida de claves criptográficas.

P: Si pierdo las credenciales para el HSM, ¿Amazon puede recuperar mis claves?

No. Amazon no tiene acceso ni a sus claves ni a sus credenciales, por lo que no puede recuperar sus claves si pierde sus credenciales.

P: ¿Cómo sé que puedo confiar en CloudHSM?

CloudHSM está creado en hardware validado por la Norma de Procesamiento de Información Federal (FIPS) 140-2 de nivel 3. Puede encontrar el perfil de seguridad de FIPS 140-2 del hardware que utiliza CloudHSM aquí: http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2850.pdf

P: ¿El servicio CloudHSM es compatible con FIPS 140-2 Nivel 3?

Sí, CloudHSM suministra HSM que cumplen los requisitos de FIPS 140-2 de nivel 3. Puede leer el procedimiento en la Guía del usuario de CloudHSM en la sección Verificar la autenticidad de su HSM para confirmar que dispone de un HSM auténtico con el mismo modelo de hardware que se especifica en la política de seguridad NIST descrita en la pregunta anterior.

P: ¿Cómo puedo utilizar CloudHSM en modo FIPS 140-2?

CloudHSM siempre se encuentra en modo FIPS 140-2. Puede verificarlo con las herramientas de la CLI, tal y como se documenta en la Guía del usuario de CloudHSM y mediante la ejecución del comando getHsmInfo, que indicará el estado del modo FIPS.

P: ¿Puedo obtener el historial de todas las llamadas a la API de CloudHSM realizadas desde mi cuenta?

Sí. AWS CloudTrail registra las llamadas a las API de AWS de su cuenta. El historial de llamadas a las API de AWS creado por CloudTrail permite realizar análisis de seguridad, un seguimiento de los cambios en los recursos y auditorías de conformidad. Obtenga más información sobre CloudTrail en la página de inicio de CloudTrail y habilítelo a través de la Consola de administración de AWS de CloudTrail.

P: ¿Qué eventos no se registran en CloudTrail?

CloudTrail no incluye ninguno de los dispositivos ni registros de acceso de HSM. CloudWatch Logs se los proporciona directamente en su cuenta de AWS. Para obtener más información, consulte la Guía del usuario de CloudHSM.

Conformidad

P: ¿Qué iniciativas de conformidad de AWS incluyen CloudHSM?

Consulte la página sobre conformidad de AWS para obtener más información sobre los programas de conformidad que incluyen CloudHSM. A diferencia de otros servicios de AWS, los requisitos de conformidad de CloudHSM suelen cumplirse a través de la validación FIPS 140-2 de nivel 3 del hardware, en lugar de formar parte de un programa de auditoría independiente.

P: ¿Cuál es la importancia de la norma FIPS 140-2 de nivel 3?

La norma FIPS 140-2 de nivel 3 es un requisito de determinados casos de uso, incluida la firma de documentos, los pagos o ejercer como autoridad certificadora pública para la emisión de certificados SSL.

P: ¿Cómo puedo solicitar informes de conformidad que incluyan CloudHSM?

Puede solicitar los informes de conformidad a su representante de Desarrollo empresarial. Si no cuenta con uno, puede solicitarlo aquí.

Rendimiento y capacidad

P: ¿Cuántas operaciones criptográficas puede realizar CloudHSM por segundo?

El rendimiento de los HSM individuales varía en función de la carga de trabajo específica. La siguiente tabla muestra el rendimiento aproximado de HSM individuales para varios algoritmos criptográficos comunes. Puede crear hasta 28 instancias de HSM en cada clúster CloudHSM para que pueda alcanzar hasta ~ 28 veces el rendimiento del cuadro enumerado a continuación por clúster. El rendimiento puede variar en función de la configuración exacta y el volumen de los datos, por lo que recomendamos que realice pruebas de carga de su aplicación con CloudHSM para determinar las necesidades concretas de escalado.

Firma/verificación RSA de 2048 bits

1100/s

EC P256

315 puntos mul/s

AES 256

Cifrado por lotes dúplex 300 Mb/s

Generación de claves RSA de 2048 bits

~0,5/s

Generación de números aleatorios (CSPRNG)

20 Mb/s

P: ¿Cuántas claves se pueden almacenar en una instancia de CloudHSM?

Un clúster de CloudHSM puede almacenar un máximo de 3500 claves de cualquier tipo o tamaño.

AWS CloudHSM para Oracle TDE

P: ¿CloudHSM es compatible con Amazon RDS Oracle TDE?

No. No se admite Amazon RDS Oracle TDE. Sin embargo, se admite Oracle TDE para bases de datos de Oracle (11g y 12c) en EC2. Para obtener más detalles, consulte la Guía del usuario de CloudHSM. También puede utilizar AWS Key Management Service (KMS) con un almacén de claves personalizado para proteger los datos de Amazon RDS mediante el uso de claves generadas y almacenadas en el clúster de AWS CloudHSM.

API, SDK y cliente de AWS CloudHSM

P: ¿Qué es el cliente de CloudHSM?

El cliente de CloudHSM es un paquete de software provisto por AWS que le permite a usted y sus aplicaciones interactuar con los clústeres de CloudHSM.

P: ¿El cliente de CloudHSM proporciona a AWS acceso a mi clúster de CloudHSM?

No. Toda la comunicación entre el cliente y su HSM está cifrada de extremo a extremo. AWS no puede ver ni interceptar esta comunicación y no tiene visibilidad de sus credenciales de acceso de clúster.

P: ¿Qué son las herramientas de la interfaz de línea de comandos (CLI) de CloudHSM?

El cliente de CloudHSM incluye un conjunto de herramientas de CLI que le permiten administrar y usar el HSM desde la línea de comandos. Compatibilidad vigente con Linux y Microsoft Windows. Hay planes previstos para incorporar la compatibilidad con Apple macOS. Las herramientas están disponibles en el mismo paquete que el cliente de CloudHSM.

P: ¿Cómo puedo descargar las herramientas de la interfaz de línea de comandos de CloudHSM y comenzar a utilizarlas?

Consulte las instrucciones en la Guía del usuario de CloudHSM.

P: ¿Las herramientas de la interfaz de línea de comandos de CloudHSM proporcionan acceso a AWS al contenido del HSM?

No. Las herramientas de CloudHSM se comunican directamente con su clúster de CloudHSM a través del cliente de CloudHSM mediante un canal seguro y mutuamente autenticado. AWS no puede observar ninguna comunicación entre el cliente, las herramientas y los HSM, está cifrada de principio a fin.

P: ¿En qué sistemas operativos puedo usar el cliente y las herramientas de la CLI de CloudHSM?

En la actualidad, existe compatibilidad con varias versiones de Linux (versiones modernas de Amazon Linux, Redhat, Centos y Ubuntu) y Microsoft Windows. Hay planes previstos para incorporar la compatibilidad con Apple macOS. Infórmenos si hay otros sistemas operativos en los que desearía utilizar el cliente y las herramientas de la CLI de CloudHSM.

P: ¿Cuáles son los requisitos de conectividad de red para utilizar las herramientas de la interfaz de línea de comandos de CloudHSM?

El host en el que ejecuta el cliente de CloudHSM y/o utiliza las herramientas de la CLI debe poder comunicarse por red con todos los demás HSM de su clúster de CloudHSM.

P: ¿Qué puedo hacer con la API y el SDK de CloudHSM?

Puede crear, modificar, eliminar y obtener el estado de HSM y clústeres de CloudHSM. Lo que puede hacer con la API de AWS CloudHSM está limitado a las operaciones que AWS pueda realizar con su acceso restringido. La API no puede obtener acceso al contenido del HSM ni modificar usuarios, políticas ni ningún otro ajuste. Consulte la Documentación de CloudHSM para obtener información sobre la API o la página Herramientas para Amazon Web Services para obtener más información sobre el SDK.

Migración al nuevo servicio CloudHSM

P: ¿Cómo puedo planificar una migración a AWS CloudHSM?

En primer lugar, asegúrese de que los algoritmos y modos que necesita sean compatibles con CloudHSM. De ser necesario, el administrador de cuentas puede enviarnos solicitudes de características. A continuación, defina una estrategia de rotación de claves. Puede encontrar sugerencias de casos de uso comunes en la siguiente sección de preguntas y respuestas. También publicamos una guía detallada de migración para CloudHSM. Ya está listo para comenzar con el nuevo servicio CloudHSM.

P: ¿De qué manera puedo rotar mis claves?

La estrategia de rotación dependerá del tipo de aplicación. A continuación se muestran los ejemplos más comunes.

  • Claves privadas para firma: generalmente, la clave privada del HSM corresponde a un certificado intermedio, que a su vez es firmado por una raíz de empresa sin conexión. Rotará claves mediante la emisión de un nuevo certificado intermedio. Cree una clave privada nueva y genere la CSR correspondiente con OpenSSL en CloudHSM. A continuación, firme la CSR con la misma raíz de empresa sin conexión. Es posible que tenga que registrar este certificado nuevo con cualquier socio que no verifique automáticamente la cadena de certificados completa. Posteriormente, firmaría todas las solicitudes nuevas (como para documentos, código u otros certificados) con la nueva clave privada correspondiente al certificado nuevo. Puede continuar verificando las firmas desde la clave privada original con la clave pública correspondiente. No es necesario hacer una revocación. Este proceso es equivalente al proceso que seguiría para eliminar o archivar una clave de firma.
  • Cifrado de datos transparente de Oracle: puede transferir su cartera mediante, primero, el cambio de un almacén de claves de hardware (su HSM original) por un almacén de software y, a continuación, de vuelta a un almacén de claves de hardware (el nuevo CloudHSM).
  • Clave simétrica para cifrado de sobres: el cifrado de sobres se refiere a la arquitectura de claves en la que una clave del HSM cifra/descifra muchas claves de datos en el host de aplicación. Probablemente, ya cuenta con un proceso de rotación de claves definido para revisar y descifrar las claves de datos con la clave de encapsulación anterior y volver a cifrarlas con la clave de encapsulación nueva. La única diferencia durante la migración será que la clave de encapsulación nueva se creará y usará en CloudHSM en vez de en el HSM original. Si aún no cuenta con un proceso y una herramienta de rotación de claves definidos, deberá crearlos.

P: ¿Qué sucede si no puedo rotar las claves?

Cada aplicación y caso de uso es diferente. En la guía de migración para CloudHSM, se incluyen soluciones de casos comunes. Si tiene otras preguntas, abra un caso de soporte con los detalles de su aplicación y el tipo de HSM y de claves que utiliza actualmente, e indique si estas son exportables o no. Lo ayudaremos a definir un itinerario de migración adecuado.

Soporte y mantenimiento

P: ¿Cómo se realiza el mantenimiento periódico en las instancias de HSM?

El procedimiento de mantenimiento periódico de AWS para CloudHSM se diseñó para evitar tiempos de inactividad simultáneos en varias zonas de disponibilidad de la misma región.

AWS monitorea y mantiene las instancias de HSM. Es posible que debamos retirar de servicio una instancia de HSM para realizar actualizaciones, reemplazos o pruebas. Estas operaciones deberían tardar menos de veinte minutos si se trata de un reemplazo y, en circunstancias normales, no deberían afectar el rendimiento de su clúster de CloudHSM. Cualquier aplicación que use activamente un HSM específico en el clúster podría experimentar una interrupción temporal si este se sustituye mientras el cliente de CloudHSM intenta realizar la operación de nuevo en un HSM distinto del clúster.

AWS no realizará un mantenimiento periódico en los HSM en varias zonas de disponibilidad de la misma región durante el mismo período de 24 horas.

Bajo circunstancias imprevistas, es posible que AWS realice tareas de mantenimiento urgentes sin previo aviso. AWS procurará evitar este caso, así como las situaciones en las que se realicen tareas de mantenimiento urgentes en los HSM durante el mismo período de 24 horas en varias zonas de disponibilidad de la misma región.

AWS recomienda encarecidamente que use clústeres de CloudHSM con dos o más HSM en zonas de disponibilidad distintas para evitar cualquier posible interrupción.

P: Tengo un problema con CloudHSM. ¿Qué debo hacer?

Contacte con AWS Support.


Si tiene cualquier duda sobre AWS CloudHSM Classic, consulte las preguntas frecuentes sobre AWS CloudHSM Classic.

Obtenga más información sobre los precios de AWS CloudHSM

Visite la página de precios
¿Listo para crear?
Comience a utilizar AWS CloudHSM
¿Tiene más preguntas?
Contacte con nosotros