Domande generali

D: Cos'è AWS CloudHSM?

Il servizio AWS CloudHSM consente di soddisfare i requisiti di conformità aziendali, contrattuali e normativi riguardanti la sicurezza dei dati utilizzando istanze HSM (Hardware Security Module) all'interno del cloud AWS. I partner di AWS e AWS Marketplace offrono un'ampia gamma di soluzioni per la protezione dei dati sensibili all'interno della piattaforma AWS. Per applicazioni e dati soggetti a obblighi contrattuali o normativi relativi alla gestione delle chiavi crittografiche, può essere necessaria una protezione aggiuntiva. Il servizio CloudHSM affianca le soluzioni esistenti per la protezione dei dati, consentendo di proteggere le chiavi di crittografia all'interno dei moduli di protezione hardware progettati e convalidati dagli standard governativi per la gestione sicura delle chiavi. CloudHSM ti permette di generare, archiviare e gestire in modo sicuro le chiavi crittografiche utilizzate per la cifratura dei dati, poiché l'accesso è riservato solo a te.

D: Cos’è un modulo di sicurezza hardware (HSM)?

Un modulo di sicurezza hardware o HSM (Hardware Security Module) offre storage di chiavi sicuro e operazioni di crittografia all'interno di un dispositivo hardware resistente alle manomissioni. I moduli HSM sono progettati per fornire storage sicuro dei materiali di cifratura, consentendone l'utilizzo senza che entrino in contatto con l'ambiente esterno ai limiti crittografici dell'hardware.

D: Cosa è possibile fare con CloudHSM?

È possibile usare il servizio CloudHSM a supporto di una varietà di applicazioni e casi d'uso, ad esempio crittografia di database, gestione dei diritti digitali (DRM), infrastrutture a chiave pubblica (PKI, Public Key Infrastructure), autenticazione e autorizzazione, firma di documenti ed elaborazione di transazioni.

D: Come funziona il servizio CloudHSM?

L'impiego del servizio AWS CloudHSM implica la creazione di un cluster CloudHSM. I cluster possono contenere più HSM, sparsi tra più zone di disponibilità in una regione. Gli HSM in un cluster vengono sincronizzati e il loro carico viene bilanciato automaticamente. Potrai disporre di accesso single-tenant dedicato a ciascun modulo di sicurezza hardware (HSM) nel tuo cluster. Ogni modulo compare come una risorsa di rete in Amazon Virtual Private Cloud (VPC). Per aggiungere o rimuovere moduli di sicurezza dal cluster, è sufficiente una singola chiamata dell'API AWS CloudHSM (o dell'interfaccia a riga di comando di AWS). Dopo aver creato e avviato un cluster CloudHSM, è possibile configurare un client sull'istanza EC2 che permetta alle applicazioni di utilizzare il cluster su una connessione di rete sicura e autenticata.

Il servizio monitora automaticamente lo stato dei tuoi moduli HSM, ma il personale AWS non ha accesso alle tue chiavi e ai tuoi dati. Per inviare le richieste crittografia ai moduli di sicurezza, le applicazioni utilizzeranno API di crittografia standard e il software client HSM installato sull'istanza dell'applicazione. Il software client stabilisce un canale sicuro a tutti i moduli di sicurezza hardware nel cluster e invia le richieste utilizzando questo canale, lo stesso utilizzando da ciascun modulo per inoltrare i risultati delle operazioni eseguite. Il client invia successivamente il risultato all’applicazione tramite l’API crittografica.

D: Al momento non dispongo di un VPC. Posso utilizzare ugualmente AWS CloudHSM?

No. Per proteggere e isolare il tuo AWS CloudHSM dagli altri clienti di Amazon, occorre effettuare il provisioning di CloudHSM all’interno di un Amazon VPC. È facile creare un VPC. Per ulteriori informazioni, consulta la Guida alle operazioni di base VPC.

D: È necessario che l'applicazione si trovi nello stesso cloud privato virtuale del cluster CloudHSM?

No, ma il server o l'istanza su cui vengono eseguiti l'applicazione e il client HSM devono offrire accessibilità di rete (IP) a tutti i moduli nel cluster. Puoi stabilire la connettività di rete dalla tua applicazione all’HSM in molti modi, fra cui l’esecuzione dell’applicazione nello stesso VPC, con un VPC peer, con una connessione VPN o con Direct Connect. Per maggiori dettagli, consulta la Guida ai peer VPC e la Guida per l’utente VPC.

D: CloudHSM funziona con moduli di sicurezza hardware in locale?

Sì. Mentre CloudHSM non usufruisce dell’interoperabilità direttamente con gli HSM locali, tra CloudHSM e gli HSM più commerciali è possibile trasferire chiavi esportabili utilizzando uno dei vari metodi di wrapping della chiave RSA supportati.   

D: In che modo un'applicazione può utilizzare CloudHSM?

CloudHSM è stato testato ed è integrato con diverse soluzioni software di terze parti, ad esempio Oracle Database 11g e 12c, e server Web quali Apache e Nginx per ripartizione del carico SSL. Per ulteriori informazioni, consulta il documento CloudHSM User Guide.

Se stai sviluppando un'applicazione personalizzata, puoi configurarla in modo che utilizzi le API standard supportate da CloudHSM, ad esempio PKCS#11, Java JCA/JCE (Java Cryptography Architecture/Java Cryptography Extensions) o Microsoft CAPI/CNG. Consulta la Guida utente CloudHSM per visualizzare i codici di esempio e ottenere istruzioni su come iniziare.

Se stai spostando un flusso di lavoro esistente da CloudHSM Classic o HSM locali a CloudHSM, la nostra Guida alla migrazione CloudHSM fornisce informazioni su come pianificare ed eseguire la migrazione.

D: È possibile impiegare CloudHSM per lo storage delle chiavi o per la crittografia dei dati utilizzati da altri servizi AWS?

Sì. È possibile eseguire diverse attività di crittografia nelle applicazioni integrate con CloudHSM. In questo caso, i servizi AWS come Amazon S3 o Amazon Elastic Block Store (EBS) vedrebbero i tuoi dati solo se crittografati.

D: CloudHSM può essere utilizzato anche da altri servizi AWS per memorizzare e gestire chiavi?

I servizi AWS si integrano con il servizio AWS Key Management Service, che a sua volta è integrato con AWS CloudHSM tramite la funzionalità di archiviazione chiavi personalizzata KMS. Se si desidera utilizzare la crittografia sul lato server offerta da molti servizi AWS (come EBS, S3 o Amazon RDS), è possibile farlo configurando un archivio chiavi personalizzato in AWS KMS.

D: È possibile utilizzare CloudHSM per eseguire la traduzione di blocchi di numeri di identificazione personale (PIN) o altre operazioni crittografiche utilizzate nelle transazioni di pagamento con addebito?

Attualmente, CloudHSM fornisce HSM per utilizzo generico. In futuro aggiungeremo probabilmente funzionalità di pagamento. Se questo aspetto ti interessa, contattaci.

D: Come si inizia a usare CloudHSM?

È possibile effettuare il provisioning di un cluster CloudHSM nella console di CloudHSM oppure con poche chiamate tramite API o kit SDK AWS. Per ulteriori informazioni consulta il documento CloudHSM User Guide per informazioni su come iniziare, la documentazione per informazioni sull'API CloudHSM o la pagina Strumenti per Amazon Web Services per maggiori informazioni sul kit SDK.

D: Come si termina un servizio CloudHSM?

Per eliminare i moduli di sicurezza hardware e terminare l'utilizzo del servizio, è possibile impiegare la console, l'API o il kit SDK di CloudHSM. Per ulteriori istruzioni, consulta la CloudHSM User Guide.

Fatturazione

D: Come viene addebitato e fatturato l'utilizzo del servizio AWS CloudHSM?

Sarà applicata una tariffa oraria per le ore (intere o parziali) di provisioning di ciascun modulo di sicurezza hardware in un cluster CloudHSM. Non sarà addebitato alcun costo per i cluster senza moduli di sicurezza hardware né per lo storage automatico di backup crittografati. Per ulteriori informazioni, consulta la pagina dei prezzi di CloudHSM. Nota che i trasferimenti di dati di rete da e verso gli HSM vengono addebitati separatamente. Per ulteriori informazioni, consulta i prezzi per trasferimento dei dati di EC2.

D: È previsto un piano gratuito per il servizio CloudHSM?

No, non è previsto alcun piano gratuito per CloudHSM.

Q: I costi variano a seconda del numero di utenti o chiavi che vengono creati sull’HSM?

No, la tariffa oraria, che varia a seconda della regione, non dipende dalla frequenza con cui si utilizza l’HSM.

D: Offrite dei prezzi per le istanze riservate per CloudHSM?

No, non offriamo prezzi per le istanze riservate per CloudHSM.

Provisioning e Operations

D: Sono previsti requisiti preliminari per l'utilizzo di CloudHSM?

Sì. Per iniziare a utilizzare CloudHSM vi sono alcuni prerequisiti, fra cui un Virtual Private Cloud (VPC) nell'area geografica in cui desideri usufruire del servizio CloudHSM. Per maggiori dettagli, consulta il documento CloudHSM User Guide.

D: È necessario gestire il firmware dei moduli sicurezza hardware?

No. AWS gestisce sia firmware sia hardware. Il firmware viene gestito da terzi e dovrà essere prima valutato dal NIST per la conformità allo standard FIPS 140-2 Level 3. Solo il firmware con crittografia firmata secondo lo standard FIPS (a cui AWS non ha accesso) può essere installato.

D: Quanti moduli di sicurezza hardware è consigliato configurare in un cluster CloudHSM?

AWS consiglia vivamente di utilizzare almeno due moduli di sicurezza hardware in due zone di disponibilità differenti per tutti gli ambienti di produzione. Per i carichi di lavoro mission critical, sono consigliati almeno tre moduli in almeno due zone di disponibilità differenti. Il client CloudHSM gestirà automaticamente i moduli guasti e bilancerà il carico tra due o più moduli in modo trasparente.

D: Chi è responsabile della durabilità delle chiavi?

AWS effettua automaticamente backup crittografati di cluster CloudHSM tutti i giorni ed eventuali backup aggiuntivi nel momento in cui si verificano eventi del ciclo di vita del cluster (ad esempio l'aggiunta o la rimozione di moduli). Nel periodo di 24 ore che intercorre tra due backup, la responsabilità del materiale di crittografia creato o importato nel cluster spetta all'utente. Per assicurare la massima durevolezza, AWS consiglia vivamente di sincronizzare le nuove chiavi in almeno due moduli in due zone di disponibilità differenti. Consulta il documento CloudHSM User Guide per ulteriori informazioni sulla verifica della sincronizzazione delle chiavi.

D: Come si crea una configurazione a elevata disponibilità?

La disponibilità elevata è una caratteristica implementata automaticamente quando sono presenti almeno due moduli di sicurezza hardware in un cluster CloudHSM. Non è necessario procedere a ulteriori configurazioni. Nel caso in cui si dovesse verificare un guasto in un modulo di un cluster, verrà automaticamente sostituito e tutti i client saranno aggiornati in modo da riflettere la nuova configurazione senza interrompere il flusso di elaborazione. È anche possibile aggiungere moduli al cluster senza interrompere l'applicazione utilizzando l'API o il kit SDK AWS.

D: Quanti moduli di sicurezza hardware può contenere un cluster CloudHSM?

Un singolo cluster CloudHSM può contenere fino a 28 moduli di sicurezza hardware, secondo le restrizioni dei servizi dell'account. Per saperne di più sulle restrizioni dei servizi e su come richiedere un aumento delle restrizioni, consulta la nostra documentazione online.

D: È possibile eseguire il backup dei contenuti di un'istanza CloudHSM?

AWS esegue tutti i giorni un backup dei cluster CloudHSM. Le chiavi possono inoltre essere esportate da un cluster e memorizzate on-premise, sempre che non siano state generate con l'attributo "non-exportable".

D: È disponibile un SLA per CloudHSM?

Sì, puoi consultare il contratto sul livello di servizio (SLA) per AWS CloudHSM qui.

Sicurezza e conformità

D: Un'appliance CloudHSM è in condivisione con altri clienti AWS?

No. Incluso nel servizio, riceverai l'accesso single-tenant al modulo di sicurezza hardware. Il relativo hardware può essere condiviso con altri clienti, ma l'istanza HSM offre accesso esclusivo.

D: In che modo AWS gestisce i moduli di sicurezza hardware senza l'accesso alle chiavi di crittografa?

La separazione delle attività e il controllo degli accessi basato sui ruoli è intrinseco nella progettazione di CloudHSM. AWS ha una credenziale limitata all'HSM che ci permette di monitorare e mantenere lo stato e la disponibilità del modulo, fare backup criptati ed estrarre e pubblicare log di audit nel tuo CloudWatch Logs. AWS non ha accesso alle chiavi e ai dati all'interno del tuo cluster CloudHSM e non può effettuare alcuna operazione oltre a quelle permesse a un utente dell'appliance HSM.

Consulta il documento CloudHSM User Guide per ulteriori informazioni su separazione delle attività e sulle autorizzazioni relative ai moduli delle diverse classi di utenti.

D: È possibile monitorare le istanze HSM?

Sì. CloudHSM pubblica diversi parametri di CloudWatch per cluster CloudHSM e singoli moduli di crittografia hardware. Per ottenere i parametri o basarvi degli allarmi è possibile utilizzare la console di AWS CloudWatch, l'API o l'SDK.

D: Di quale "sorgente di entropia" si avvale CloudHSM?

Ogni modulo di sicurezza hardware dispone di un generatore deterministico di bit casuali o DRBG (Deterministic Random Bit Generator), alimentato da un generatore hardware di numeri casuali o TRNG (True Random Number Generator) integrato nel modulo hardware, in conformità allo standard SP800-90B. Si tratta di una sorgente di entropia di alta qualità in grado di generare 20 MB al secondo di entropia per modulo di crittografia hardware.

D: Che cosa accade in caso di manomissione dell'hardware HSM?

CloudHSM offre rilevamento sia fisico sia logico delle manomissioni e meccanismi di risposta che attivano l'eliminazione a più fasi delle chiavi hardware. L'hardware dei moduli è progettato in modo da rilevare una manomissione non appena ne viene violata la barriera fisica. I moduli di sicurezza hardware sono anche protetti contro gli attacchi di forza bruta. Dopo un determinato numero di tentativi di accesso a un modulo di sicurezza hardware con credenziali Crypto Officer (CO) non andati a buon fine, l'istanza HSM blocca il CO. Analogamente, dopo un determinato numero di tentativi di accesso a un'istanza HSM con credenziali Crypto User (CU) non andati a buon fine, l’utente verrà bloccato e dovrà essere sbloccato da un CO.

D: Che cosa accade in caso di guasto?

Amazon monitora la disponibilità e le eventuali condizioni di errore del modulo e della rete e provvede alla loro manutenzione. In caso di guasto o di perdita di connessione di rete, il modulo di sicurezza hardware verrà automaticamente sostituito. Puoi verificare le condizioni di un determinato HSM utilizzando l’API, il kit SDK o gli strumenti CLI di CloudHSM, nonché controllare in qualunque momento le condizioni complessive del servizio con il pannello di controllo per lo stato dei servizi AWS.

D: È possibile che le chiavi vadano perdute in caso di guasto di un singolo HSM?

Se il tuo cluster CloudHSM ha un solo HSM, sì, è possibile che le chiavi create dopo l'ultimo backup giornaliero vadano perdute. I cluster CloudHSM con due o più HSM, idealmente in diverse zone di disponibilità, non perderanno le chiavi in caso di guasto di un singolo HSM. Per ulteriori informazioni, consulta le nostre best practice.

D: Amazon è in grado di recuperare le chiavi qualora vengano smarrite le credenziali dell'istanza HSM?

No. Amazon non ha accesso alle tue chiavi o alle tue credenziali, e non ha pertanto alcun modo di recuperare le tue chiavi qualora tu smarrisca le tue credenziali.

D: Cosa garantisce l'affidabilità di CloudHSM?

CloudHSM è basato su hardware convalidato secondo lo standard Federal Information Processing Standard (FIPS) 140-2 Level 3. Informazioni sul profilo di sicurezza dello standard FIPS 140-2 per l'hardware utilizzato da CloudHSM e il firmware che esegue, sono disponibili nella nostra pagina di conformità.

D: Il servizio CloudHSM supporta lo standard FIPS 140-2 Level 3?

Sì, CloudHSM offre istanze HSM convalidate secondo lo standard FIPS 140-2 Level 3. Segui la procedura illustrata nella sezione Verifica l’autenticità del tuo HSM del documento guida per l’utente di CloudHSM User Guide per verificare che l'hardware del modulo corrisponda a quello indicato nella pagina delle policy di sicurezza NIST indicata nella domanda precedente.

D: In che modo è possibile utilizzare un'istanza CloudHSM conforme allo standard FIPS 140-2?

CloudHSM è sempre conforme allo standard FIPS 140-2. Per verificare la conformità, segui le istruzioni nel documento CloudHSM User Guide ed esegui il comando getHsmInfo nell'interfaccia a riga di comando per visualizzare lo stato dello standard FIPS.

D: È possibile visionare uno storico di tutte le chiamate API CloudHSM effettuate da un account?

Sì. AWS CloudTrail registra le chiamate API di AWS dell'intero account. Lo storico delle chiamate API di AWS creato da CloudTrail consente di eseguire analisi di sicurezza, monitoraggio delle modifiche delle risorse e audit di conformità. Per ulteriori informazioni su CloudTrail, consulta la sua homepage e attiva il servizio tramite la console di gestione di AWS CloudTrail.

D: Quali eventi non vengono registrati in CloudTrail?

CloudTrail non include i log di dispositivo o di accesso dei moduli di crittografia hardware. Tali parametri sono disponibili direttamente nell'account AWS tramite CloudWatch Logs. Per ulteriori informazioni, consulta il documento CloudHSM User Guide.

D: Quali iniziative di AWS volte alla conformità includono CloudHSM?

Consulta la pagina Conformità di sicurezza nel cloud AWS per ulteriori informazioni sui programmi di conformità che includono CloudHSM. Diversamente dagli altri servizi AWS, i requisiti di conformità che riguardano CloudHSM sono affrontati nella maggior parte dei casi direttamente dallo standard FIPS 140-2 Level 3 relativo all'hardware, piuttosto che in programmi di audit separati.

D: Perché lo standard FIPS 140-2 Level 3 è importante?

Lo standard FIPS 140-2 Level 3 è un requisito necessario per alcuni casi d'uso, ad esempio la firma di documenti, i pagamenti o l'utilizzo come autorità di certificazione per i certificati SSL.

D: Come si fa a richiedere i report di conformità nel cui ambito è incluso CloudHSM?

Per vedere quali sono i report di conformità nel cui ambito è incluso CloudHSM, consulta la pagina Servizi AWS coperti dal programma di conformità. Per creare report di conformità gratuiti, self-service e on demand, utilizza AWS Artifact.

Se ti interessa esclusivamente la convalida FIPS per gli HSM fornita da CloudHSM, consulta la pagina Convalida FIPS.

Prestazioni e capacità

D: Quante operazioni di crittografia al secondo può eseguire CloudHSM?

Le prestazioni dei cluster AWS CloudHSM variano in base al carico di lavoro specifico. La tabella seguente mostra le prestazioni approssimative per gli algoritmi di crittografia più comuni in esecuzione su un'istanza EC2. Per aumentare le prestazioni, puoi aggiungere istanze HSM aggiuntive ai tuoi cluster. Le prestazioni possono variare in base alla configurazione, alla dimensione dei dati e al carico aggiuntivo dell'applicazione sulle istanze EC2. Incoraggiamo i test di carico dell'applicazione per determinare le esigenze di scalabilità.

Operazione Cluster a due HSM [1] Cluster a tre HSM [2] Cluster a sei HSM [3]
Segnale RSA a 2048 bit 2.000 ops/sec 3.000 ops/sec 5.000 ops/sec
Segnale EC p256 500 ops/sec 750 ops/sec 1.500 ops/sec

Per maggiori dettagli, consulta la pagina sulle prestazioni nella Guida per l'utente di AWS CloudHSM.

[1]: Un cluster a due HSM con l'applicazione multi-thread Java in esecuzione su un'istanza EC2 c4.large con un HSM nella stessa AZ dell'istanza EC2.

[2]: Un cluster a tre HSM con l'applicazione multi-thread Java in esecuzione su un'istanza EC2 c4.large con un HSM nella stessa AZ dell'istanza EC2.

[3]: Un cluster a sei HSM con l'applicazione multi-thread Java in esecuzione su un'istanza EC2 c4.large con due HSM nella stessa AZ dell'istanza EC2.

D: Quante chiavi è possibile archiviare in un cluster CloudHSM?

Un cluster CloudHSM può memorizzare circa 3.300 chiavi di qualsiasi tipo e dimensione.

Integrazioni di terze parti

D: CloudHSM supporta Amazon RDS per Oracle TDE?

Non direttamente. Dovresti utilizzare AWS Key Management Service (KMS) in associazione con lo storage per chiavi personalizzate per proteggere i dati Amazon RDS con chiavi generate e archiviate nel tuo cluster AWS CloudHSM.

D: Posso utilizzare CloudHSM come root of trust per altri software?

Diversi fornitori di terze parti supportano AWS CloudHSM come root of trust. Questo significa che puoi utilizzare una soluzione software di tua scelta nella creazione e nell'archiviazione delle chiavi sottostanti nel tuo cluster CloudHSM.

Client, API e kit SDK AWS CloudHSM

D: In cosa consiste il client CloudHSM?

Il client CloudHSM è un pacchetto software fornito da AWS che permette all'utente e alle applicazioni di interagire con i cluster CloudHSM.

D: Il client CloudHSM consente ad AWS l'accesso ai cluster CloudHSM?

No. Tutte le comunicazioni tra il client e il tuo HSM sono completamente crittografate. AWS non può visualizzare o intercettare le suddette comunicazioni e non ha visibilità sulle tue credenziali di accesso al cluster.

D: In cosa consistono gli strumenti dell’interfaccia a riga di comando (CLI) di CloudHSM?

Il client CloudHSM include un set di strumenti dell'interfaccia a riga di comando che permettono di amministrare e utilizzare il modulo di sicurezza hardware dalle righe di comando. Al momento sono supportati Linux e Microsoft Windows. In futuro sarà disponibile anche il supporto per Apple macOS. Questi strumenti sono disponibili nel pacchetto del client CloudHSM.

D: In che modo è possibile scaricare e iniziare a utilizzare gli strumenti dell'interfaccia a riga di comando di CloudHSM?

Le istruzioni sono disponibili nel documento CloudHSM User Guide.

D: Gli strumenti CLI di CloudHSM permettono ad AWS di accedere al contenuto dell'HSM?

No. Gli strumenti di CloudHSM comunicano direttamente con il cluster CloudHSM tramite il client su un canale sicuro e autenticato in entrambe le direzioni. AWS non può intercettare alcuna comunicazione tra client, strumenti e moduli di sicurezza hardware, perché sono crittografate.

D: Con quali sistemi operativi è possibile utilizzare gli strumenti della riga di comando e il client di CloudHSM?

Puoi trovare una lista completa dei sistemi operativi supportati nella nostra documentazione online.

D: Quali sono i requisiti di connettività di rete per l'uso degli strumenti dell'interfaccia a riga di comando di CloudHSM?

L'host su cui è in esecuzione il client CloudHSM e/o su cui vengono impiegati gli strumenti dell'interfaccia a riga di comando deve essere raggiungibile in rete da tutti i moduli di sicurezza hardware nel cluster.

D: Cosa è possibile fare con gli strumenti API e kit SDK CloudHSM?

È possibile creare, modificare, eliminare e consultare lo stato di cluster CloudHSM e moduli. Le operazioni eseguibili con l'API AWS CloudHSM sono limitate dalle ristrette autorizzazioni di accesso di AWS. L'API non potrà accedere ai contenuti dei moduli di sicurezza hardware né modificare utenti, policy e altre impostazioni. Consulta il documento CloudHSM per informazioni sull'API o la pagina Strumenti per Amazon Web Services per informazioni sul kit SDK.

Migrazione da HSM di terze parti a CloudHSM

D: In che modo deve essere pianificata la migrazione in AWS CloudHSM?

Prima di tutto, è importante verificare che gli algoritmi e i modelli in uso siano supportati da CloudHSM. L'account manager potrà inoltrarci richieste di nuove caratteristiche, se necessario. Quindi, è necessario determinare la strategia di rotazione delle chiavi. I suggerimenti per i casi d’uso comuni si trovano nella serie successiva di domande e risposte. Inoltre, abbiamo pubblicato una guida per la migrazione a CloudHSM approfondita. Ora si è pronti a iniziare con il CloudHSM.

D: In che modo è possibile richiedere la modifica automatica delle chiavi?

La strategia di rotazione delle chiavi dipende dal tipo di applicazione. Di seguito sono elencati alcuni esempi.

  • Chiavi private di firma: in genere le chiavi private in HSM corrispondono a certificati intermedi, che vengono a loro volta firmati da una radice offline dell'organizzazione. La modifica delle chiavi si ottiene creando un nuovo certificato intermedio. È necessario creare una nuova chiave privata generando un CSR corrispondente utilizzando OpenSSL in CloudHSM. Quindi, va firmato il CSR con la stessa radice offline dell'organizzazione. Potrebbe essere necessario registrare il nuovo certificato con eventuali partner che non verificano automaticamente l'intera catena di certificati. In seguito, tutte le nuove richieste (ad esempio documenti, codice o altri certificati) devono essere firmate con la nuova chiave privata, che corrisponde al nuovo certificato. Sarà possibile continuare a verificare le firme dalla chiave privata originale utilizzando la chiave pubblica corrispondente. Non è necessario applicare alcuna revoca. Questo processo è simile a quello necessario per ritirare o archiviare una chiave di firma.
  • Oracle Transparent Data Encryption: è possibile trasferire il tuo portafoglio passando da un hardware keystore (il tuo modulo di sicurezza hardware originale) a un software keystore per tornare a un hardware keystore (CloudHSM). Nota: se stai utilizzando Amazon RDS, consulta le Domande frequenti sopra come "CloudHSM supporta Amazon RDS Oracle TDE?"
  • Chiave simmetrica per crittografia di tipo envelope: la crittografia di tipo envelope fa riferimento a un'architettura in cui una chiave nel modulo HSM crittografa e decrittografa diverse chiavi dati nell'applicazione host. È probabile che sia già un uso un processo di rotazione delle chiavi per passare in esaminare e decrittografare le chiavi dati con vecchie chiavi di wrapping, crittografandole nuovamente con la nuova chiave di wrapping. L'unica differenza durante la migrazione è che la nuova chiave di wrapping sarà creata e utilizzata in CloudHSM invece che nel modulo originale. Se non è ancora presente un processo o uno strumento per la rotazione delle chiavi, sarà necessario crearne uno.

D: Cosa accade se non è possibile procedere alla rotazione delle chiavi?

Ogni applicazione e caso d'uso sono differenti. Le soluzioni ai casi comuni sono analizzate nella guida per la migrazione a CloudHSM. Per ulteriori domande, apri un caso di supporto con i dettagli della tua applicazione, il tipo di HSM e di chiavi attualmente in uso e la loro eventuale esportabilità. Ti aiuteremo a scegliere il percorso di migrazione più appropriato.

Supporto e manutenzione

D: AWS CloudHSM ha finestre di manutenzione pianificate?

No, ma AWS può aver bisogno di effettuare manutenzioni in caso di aggiornamenti necessari o hardware guasti. Se fosse necessario un intervento, faremo in modo di notificartelo in anticipo tramite Personal Health Dashboard.

Ricorda che sei responsabile della progettazione del tuo cluster per l'alta disponibilità. AWS consiglia vivamente di utilizzare i cluster CloudHSM con almeno due moduli di sicurezza hardware in zone di disponibilità differenti. Per scoprire le best practice consigliate, consulta la nostra documentazione online.

D: Ho un problema con CloudHSM. Che cosa devo fare?

Puoi trovare le soluzioni ai problemi più comuni nella nostra guida alla risoluzione dei problemi. Se il problema persiste, contatta AWS Support.

Ulteriori informazioni sui prezzi dei prodotti

Consulta gli esempi di prezzi e calcola i costi.

Ulteriori informazioni 
Registrati per creare un account gratuito

Ottieni l'accesso immediato al piano gratuito di AWS. 

Registrati 
Inizia a lavorare nella console

Inizia a lavorare con AWS CloudHSM nella console AWS.

Accedi