AWS CloudHSM

Modulo di sicurezza hardware gestito nel cloud AWS.

AWS CloudHSM è un modulo di sicurezza hardware o HSM (Hardware Security Module) basato sul cloud che permette di generare e utilizzare chiavi di gestione nel cloud AWS. Con CloudHSM, è possibile gestire le proprie chiavi di crittografia utilizzando moduli di sicurezza hardware conformi allo standard FIPS 140-2 Level 3. CloudHSM offre la flessibilità necessaria per integrarsi con le applicazioni esistenti mediante API standard di settore quali PKCS#11, Java Cryptography Extensions (JCE) e le librerie Microsoft CryptoNG (CNG).

CloudHSM è conforme agli standard e permette di esportare tutte le chiavi per utilizzarle con la maggior parte dei moduli di sicurezza hardware sul mercato, a seconda delle proprie configurazioni. Si tratta di un servizio completamente gestito che automatizza le attività di amministrazione lunghe e complesse quali provisioning di hardware, applicazione di patch software, elevata disponibilità e backup. CloudHSM inoltre, permette di ricalibrare rapidamente le risorse aggiungendo e rimuovendo capacità on demand senza alcun costo anticipato.

Presentazione di AWS CloudHSM

Vantaggi

Generazione e utilizzo delle chiavi di crittografia in moduli HSM convalidati FIPS 140-2 Level 3

AWS CloudHSM permette di generare e utilizzare chiavi di crittografia in un software convalidato FIPS 140-2 Level 3. CloudHSM protegge le chiavi grazie all'accesso single-tenant esclusivo a istanze di moduli di sicurezza hardware resistenti alle manomissioni in Amazon VPC.

Distribuzione di carichi di lavoro sicuri e conformi

L’utilizzo di moduli HSM come radice di attendibilità consente di dimostrare la conformità con le normative sulla sicurezza, sulla privacy e sull’antimanomissione come HIPAA, FedRAMP e PCI. AWS CloudHSM consente di creare carichi di lavoro sicuri e conformi con affidabilità elevata e latenza minima utilizzando istanze HSM nel cloud AWS.

Moduli di sicurezza hardware aperti basati su standard di settore

AWS CloudHSM può essere integrato con applicazioni personalizzate mediante API standard di settore quali PKCS#11, Java Cryptography Extensions (JCE) e le librerie Microsoft CryptoNG (CNG). Inoltre, è possibile trasferire le chiavi in altre soluzioni HSM sul mercato per semplificarne la migrazione da e verso AWS.

Controllo completo delle chiavi di crittografia

AWS CloudHSM offre accesso ai moduli di sicurezza hardware su un canale sicuro per poter creare utenti e impostare le policy. Le chiavi di crittografia generate a utilizzate in CloudHSM sono accessibili solo agli utenti esplicitamente specificati. AWS non ha alcun accesso né visibilità su tali chiavi di crittografia.

Facile da gestire e scalare

AWS CloudHSM automatizza le attività di amministrazione lunghe e complesse quali provisioning di hardware, applicazione di patch software, elevata disponibilità e backup. È possibile ricalibrare la capacità di HSM in modo rapido aggiungendo e rimuovendo moduli di sicurezza hardware dal cluster on demand. AWS CloudHSM bilancia automaticamente il carico delle richieste e duplica i in modo sicuro le chiavi memorizzate in ogni modulo in tutti gli altri moduli nel cluster.

Controlla le chiavi AWS KMS

È possibile configurare il servizio di gestione chiavi AWS (KMS) per utilizzare il cluster AWS CloudHSM come archivio chiavi personalizzato anziché come archivio chiavi KMS predefinito. Con un key store KMS personalizzato puoi beneficiare dell'integrazione tra servizi KMS e AWS che crittografano i dati mantenendo il controllo degli HSM che proteggono le tue chiavi master KMS. Il key store KMS personalizzato ti offre il meglio di entrambi i mondi, combinando gli HSM single-tenant sotto il tuo controllo con la facilità d'uso e l'integrazione di AWS KMS.

Come funziona

CloudHSM_Diagrams_2-final

AWS CloudHSM può essere eseguito in un cloud privato virtuale di Amazon VPC, per consentire l'utilizzo dei moduli di sicurezza con applicazioni in esecuzione in istanze Amazon EC2. Con CloudHSM, è possibile utilizzare i controlli di sicurezza standard di VPC per gestire gli accessi ai moduli di sicurezza hardware. Le applicazioni si connettono direttamente ai moduli utilizzando canali SSL autenticati stabiliti dal software client. Poiché i moduli si trovano nei datacenter Amazon vicino alle istanze EC2, il loro utilizzo garantisce una latenza di rete inferiore per le applicazioni rispetto all'utilizzo di moduli in locale.

A: AWS gestisce il modulo di sicurezza hardware, ma non può accedere alle chiavi di accesso.

B: l'utente controlla e gestisce le proprie chiavi.

C: le prestazioni dell'applicazione migliorano per la vicinanza con i carichi di lavoro in AWS.

D: lo storage sicuro di chiavi in appliance hardware resistenti alla manomissione è disponibile in diverse zone di disponibilità.

E: i moduli di sicurezza hardware si trovano in un cloud privato virtuale e sono isolati dal resto della rete AWS.

La separazione delle attività e il controllo degli accessi basato sui ruoli è intrinseco nella progettazione di AWS CloudHSM. AWS monitora l'integrità e la disponibilità di rete dei moduli di sicurezza hardware, ma non è coinvolto nella creazione e nella gestione del materiale di cifratura archiviato in essi. L'utente controlla i moduli di sicurezza nonché generazione e utilizzo delle chiavi di crittografia.

Casi d'uso

Ripartizione del carico di elaborazione SSL per server Web

I protocolli Secure Sockets Layer (SSL) e Transport Layer Security (TLS) sono utilizzati per confermare l'identità di server Web e stabilire connessioni HTTPS sicure tramite Internet. AWS CloudHSM può essere impiegato per ripartire il carico di elaborazione SSL/TLS per server Web. In questo modo è possibile ridurre il carico sul server Web e fornire un ulteriore livello di sicurezza memorizzando la chiave privata del server in CloudHSM.

product-page-diagram_CloudHSM_offload-ssl

Protezione delle chiavi private per un'autorità di certificazione

In un'infrastruttura a chiave pubblica, un'autorità di certificazione è un'entità attendibile che emette certificati digitali. Questi certificati digitali vengono utilizzati per identificare una persona o un'organizzazione. È possibile usare AWS CloudHSM per memorizzare le chiavi private e firmare le richieste di certificato così da impiegarlo in modo sicuro come autorità di certificazione che emette certificati per l'azienda.

product-page-diagram_CloudHSM_ca-1

Abilitazione di Transparent Data Encryption (TDE) per database Oracle

È possibile utilizzare AWS CloudHSM per memorizzare chiavi di crittografia master TDE (Transparent Data Encryption) per i server di database che supportano tale tecnologia. Il supporto per SQL Server sarà disponibile a breve. Con la tecnologia TDE, i server di database supportati possono crittografare i dati prima della memorizzazione su disco. Tenere presente che Amazon RDS per Oracle non supporta TDE con CloudHSM; per questo caso d’uso, è necessario utilizzare AWS Key Management Service.

product-page-diagram_CloudHSM_database

Inizia a usare AWS

icon1

Registrati per creare un account AWS

Ottieni accesso istantaneo al piano gratuito di AWS.
icon2

Impara con i tutorial di 10 minuti

Esplora e impara con semplici tutorial.
icon3

Inizia a lavorare con AWS

Inizia a creare seguendo le istruzioni contenute nelle guide dettagliate per avviare un progetto AWS.

Ulteriori informazioni su AWS CloudHSM

Ti senti pronto?
Nozioni di base su CloudHSM
Hai altre domande?
Contattaci