AWS CloudHSM

Module de sécurité matérielle (HSM) géré dans le cloud AWS.

AWS CloudHSM est un module de sécurité matérielle (hardware security module, HSM) qui vous permet de générer et d'utiliser facilement vos propres clés de chiffrement sur l'AWS Cloud. Avec CloudHSM, vous pouvez gérer vos propres clés de chiffrement à l'aide des HSM validés FIPS 140-2 niveau 3. CloudHSM vous apporte la flexibilité nécessaire pour s'intégrer à vos applications à l'aide des API standard comme les bibliothèques PKCS#11, Java Cryptography Extensions (JCE), et Microsoft CryptoNG (CNG).

CloudHSM est conforme aux normes et vous permet d'exporter toutes vos clés vers la plupart des autres HSM disponibles sur le marché, soumis à vos configurations. Il s'agit d'un service entièrement géré qui automatise les tâches administratives fastidieuses à votre place, comme la mise en service de matériel, l'application de correctifs logiciels, la haute disponibilité et les sauvegardes. CloudHSM vous permet également d’évoluer rapidement en ajoutant et en retirant de la capacité HSM à la demande, sans frais initiaux.

Présentation d' AWS CloudHSM

Avantages

Générer et utiliser des clés de chiffrement sur des HSM validés FIPS 140-2 de niveau 3

AWS CloudHSM vous permet de générer et d'utiliser vos clés de chiffrement sur un module matériel validé FIPS 140-2 de niveau 3. CloudHSM protège vos clés grâce à un accès exclusif et à client unique à des instances HSM inviolables dans votre propre Amazon Virtual Private Cloud (VPC).

Déployer des charges de travail conformes et sécurisées

L’utilisation des HSM comme services de confiance vous permet de montrer que vous vous conformez aux réglementations relatives à la sécurité, la confidentialité et l’anti-violation, telles que HIPAA, FedRAMP et PCI. AWS CloudHSM vous permet de créer des charges de travail conformes sécurisées avec une fiabilité élevée et une latence faible, à l’aide des instances HSM du cloud AWS.

Utiliser un HSM ouvert conçu selon les normes du secteur

Vous pouvez utiliser AWS CloudHSM pour l'intégrer à vos applications personnalisées à l'aide des API standard comme les bibliothèques PKCS#11, Java Cryptography Extensions (JCE), et Microsoft CryptoNG (CNG). Vous pouvez également transférer vos clés à d'autres solutions HSM présentes sur le marché afin de faciliter la migration de vos clés vers et en dehors d'AWS.

Garder le contrôle de vos clés de chiffrement

AWS CloudHSM vous donne accès à vos HSM par un canal sécurisé afin de créer des utilisateurs et d'établir des stratégies HSM. Les clés de chiffrement que vous générez et utilisez avec CloudHSM ne sont accessibles que par les utilisateurs HSM que vous avez indiqués. AWS n'a aucune visibilité sur vos clés de chiffrement et ne peut pas non plus y accéder.

Équilibrage des charges et haute disponibilité

AWS CloudHSM envoie automatiquement des requêtes d'équilibrage des charges et duplique les clés conservées dans tout HSM vers l'ensemble des autres HSM du cluster. Pour optimiser la disponibilité et la durabilité de vos clés, Amazon vous recommande donc d'utiliser au moins deux modules HSM répartis sur plusieurs zones de disponibilité.

Facile à gérer

AWS CloudHSM est un service géré qui automatise les tâches administratives fastidieuses à votre place, comme la mise en service de matériel, l'application de correctifs logiciels, la haute disponibilité et les sauvegardes. Vous pouvez également évoluer rapidement en ajoutant et en retirant de la capacité HSM depuis votre cluster, à la demande.

Fonctionnement

CloudHSM_Diagrams_2-final

AWS CloudHSM fonctionne dans votre propre Amazon Virtual Private Cloud (VPC), ce qui vous permet d'utiliser facilement vos HSM avec les applications fonctionnant sur vos instances Amazon EC2. Avec CloudHSM, vous pouvez utiliser les contrôles de sécurité VPC standard pour gérer les accès à vos HSM. Vos applications se connectent à vos HSM à l'aide des canaux SSL à authentification mutuelle établis par votre logiciel client HSM. Puisque vos HSM sont situés dans les centres de données Amazon à proximité de vos instances EC2, vous pouvez réduire la latence du réseau entre vos applications et les HSM par rapport à un HSM sur site.

A : AWS gère l'appliance module de sécurité matérielle (HSM), mais n'a pas accès à vos clés

B : vous contrôlez et gérez vos propres clés

C : les performances des applications s'améliorent (en raison de la proximité avec les charges de travail AWS)

D : les clés sont stockées de manière sécurisée dans du matériel inviolable dans plusieurs zones de disponibilité (AZ)

E : vos HSM sont situés dans votre Virtual Private Cloud (VPC) et sont isolés des autres réseaux AWS.

La séparation des responsabilités et le contrôle d'accès basé sur des rôles sont deux concepts qui ont guidé la conception d'AWS CloudHSM. AWS surveille l'état de santé et la disponibilité de votre HSM sur le réseau, mais ne joue aucun rôle dans la création et la gestion des éléments des clés stockées dans ces HSM. Vous contrôlez les HSM ainsi que la génération et l'utilisation de vos clés de chiffrement.

Cas d'utilisation

Décharger le traitement SSL pour les serveurs Web

Les protocoles SSL (Secure Sockets Layer) et TLS (Transport Layer Security) sont utilisés pour confirmer l'identité des serveurs Web et établir des connexions HTTPS sécurisées sur Internet. Vous pouvez utiliser AWS CloudHSM pour décharger les traitements SSL/TLS pour vos serveurs Web. L'utilisation de CloudHSM pour ce traitement réduit la charge sur votre serveur Web et apporte une sécurité supplémentaire en stockant la clé privée de votre serveur Web dans CloudHSM.

product-page-diagram_CloudHSM_offload-ssl

Protéger les clés privées pour la publication d'autorité de certification (CA)

Dans un PKI (Public Key Infrastructure), une autorité de certification (CA) est une entité de confiance qui publie des certificats numériques. Les certificats numériques sont utilisés pour identifier une personne ou une organisation. Vous pouvez utiliser AWS CloudHSM pour conserver vos clés privées et signer des demandes de certificats pour pouvoir agir en toute sécurité en tant que générateur d'autorité de certification pour publier des certificats pour votre organisation.

product-page-diagram_CloudHSM_ca-1

Activer la fonction Transparent Data Encryption (TDE) pour les bases de données Oracle

Vous pouvez utiliser AWS CloudHSM pour conserver la clé de chiffrement principale de la fonction Transparent Data Encryption (TDE) pour vos serveurs de base de données Oracle prenant en charge TDE. SQL Server sera bientôt pris en charge. Avec TDE, les serveurs de base de données pris en charge peuvent chiffrer les données avant de les stocker sur le disque. Veuillez noter qu’Amazon RDS for Oracle ne prend pas en charge TDE avec CloudHSM ; vous devez utiliser AWS Key Management Service pour ce cas d’utilisation.

product-page-diagram_CloudHSM_database

Mise en route d’AWS

icon1

Créer un compte AWS

Obtenez un accès instantané à l’ offre gratuite d'AWS.
icon2

Découvrir avec des didacticiels de 10 minutes

Explorez et apprenez avec des didacticiels simples.
icon3

Commencer à créer avec AWS

Commencez à créer avec des guides détaillés pour vous aider à lancer votre projet AWS.

En savoir plus sur AWS CloudHSM

Prêt à créer ?
Démarrer avec CloudHSM
D'autres questions ?
Contactez-nous