D: Cos'è AWS CloudHSM?

Il servizio AWS CloudHSM consente di soddisfare i requisiti di conformità aziendali, contrattuali e normativi riguardanti la sicurezza dei dati utilizzando appliance dedicate per moduli di sicurezza hardware (HSM) nel cloud AWS. I partner di AWS e AWS Marketplace offrono un'ampia gamma di soluzioni per la protezione dei dati sensibili all'interno della piattaforma AWS. Per applicazioni e dati soggetti a obblighi contrattuali o normativi relativi alla gestione delle chiavi crittografiche, può essere necessaria una protezione aggiuntiva. Il servizio CloudHSM affianca le soluzioni esistenti per la protezione dei dati, consentendo di proteggere le chiavi di crittografia all'interno dei moduli di protezione hardware progettati e convalidati dagli standard governativi per la gestione sicura delle chiavi. CloudHSM ti permette di generare, archiviare e gestire in modo sicuro le chiavi crittografiche utilizzate per la cifratura dei dati, poiché l'accesso è riservato solo a te.

D: Cos’è un modulo di sicurezza hardware (HSM)?

Un modulo di sicurezza hardware (HSM, Hardware Security Module) è un’appliance hardware che garantisce la sicurezza dello storage delle chiavi e delle operazioni crittografiche all’interno di un dispositivo hardware antimanomissione. Gli HSM sono progettati per uno storage sicuro dei materiali delle chiavi crittografiche e per consentire l’uso di tali materiali senza esporli all’esterno dei limiti crittografici dell’appliance.

D: Cosa è possibile fare con CloudHSM?

È possibile usare il servizio CloudHSM a supporto di una varietà di applicazioni e casi d'uso, ad esempio crittografia di database, gestione dei diritti digitali (DRM), infrastrutture a chiave pubblica (PKI, Public Key Infrastructure), autenticazione e autorizzazione, firma di documenti ed elaborazione di transazioni.

D: Come funziona il servizio CloudHSM?

L'impiego del servizio AWS CloudHSM implica la creazione di un cluster CloudHSM. I cluster possono contenere fino a 32 moduli di sicurezza hardware singoli distribuiti su più zone di disponibilità, a cui vengono automaticamente applicate sincronizzazione e bilanciamento del carico. Potrai disporre di accesso single-tenant dedicato a ciascun moduli di sicurezza hardware nel cluster. Ogni modulo compare come una risorsa di rete nel cloud privato virtuale di VPC. Al momento del provisioning, riceverai le credenziali di amministratore per il cluster e potrai creare altri utenti e amministratori. Per aggiungere o rimuovere moduli di sicurezza dal cluster, è sufficiente una singola chiamata dell'API AWS CloudHSM (o dell'interfaccia a riga di comando di AWS). Dopo aver creato e avviato un cluster CloudHSM, è possibile configurare un client sull'istanza EC2 che permetta alle applicazioni di utilizzare il cluster su una connessione di rete sicura e autenticata.

Gli amministratori di Amazon monitorano lo stato di integrità dei moduli di sicurezza hardware, ma non dispongono di alcun accesso a configurazione, gestione o utilizzo degli stessi. Per inviare le richieste crittografia ai moduli di sicurezza, le applicazioni utilizzeranno API di crittografia standard e il software client HSM installato sull'istanza dell'applicazione. Il software client stabilisce un canale sicuro a tutti i moduli di sicurezza hardware nel cluster e invia le richieste utilizzando questo canale, lo stesso utilizzando da ciascun modulo per inoltrare i risultati delle operazioni eseguite. Il client invia successivamente il risultato all’applicazione tramite l’API crittografica.

D: Al momento non dispongo di un VPC. Posso utilizzare ugualmente AWS CloudHSM?

No. Per proteggere e isolare il tuo CloudHSM dagli altri clienti di Amazon, occorre effettuare il provisioning di CloudHSM all’interno di un VPC. È facile creare un VPC. Per ulteriori informazioni, consulta la Guida alle operazioni di base VPC.

D: È necessario che l'applicazione si trovi nello stesso cloud privato virtuale del cluster CloudHSM?

No, ma il server o l'istanza su cui vengono eseguiti l'applicazione e il client HSM devono offrire accessibilità di rete (IP) a tutti i moduli nel cluster. Puoi stabilire la connettività di rete dalla tua applicazione all’HSM in molti modi, fra cui l’esecuzione dell’applicazione nello stesso VPC, con un VPC peer, con una connessione VPN o con Direct Connect. Per maggiori dettagli, consulta la Guida ai peer VPC e la Guida per l’utente VPC.

D: CloudHSM funziona con moduli di sicurezza hardware in locale?

Sì. Mentre CloudHSM non offre interoperabilità diretta con i moduli di sicurezza hardware in locale, è possibile trasferire o sincronizzare le chiavi a seconda di caso d'uso, tipo di chiave e tipo di modulo in locale. In caso di necessità, apri una richiesta di assistenza tecnica nella console AWS.

D: In che modo un'applicazione può utilizzare CloudHSM?

CloudHSM è stato testato ed è integrato con diverse soluzioni software di terze parti, ad esempio Oracle Database 11g e 12c, e server Web quali Apache e Nginx per ripartizione del carico SSL. Per ulteriori informazioni, consulta il documento CloudHSM User Guide.

Se stai sviluppando un'applicazione personalizzata, puoi configurarla in modo che utilizzi le API standard supportate da CloudHSM, ad esempio PKCS#11, e Java JCA/JCE (Java Cryptography Architecture/Java Cryptography Extensions). Il supporto per Microsoft CAPI/CNG sarà disponibile a breve. Consulta la CloudHSM User Guide per visualizzare codice di esempio e ottenere istruzioni su come iniziare.

D: È possibile impiegare CloudHSM per lo storage delle chiavi o per la crittografia dei dati utilizzati da altri servizi AWS?

Sì. È possibile eseguire diverse attività di crittografia nelle applicazioni integrate con CloudHSM. In questa situazione, i dati verrebbero trasferiti sui servizi AWS (ad esempio S3 o EBS) già crittografati.

D: CloudHSM può essere utilizzato anche da altri servizi AWS per memorizzare e gestire chiavi?

Al momento, i servizi AWS non si integrano direttamente con CloudHSM. Se desideri utilizzare la crittografia lato server offerta da molti servizi AWS (ad esempio EBS, S3 ed RDS), ti consigliamo di valutare l'utilizzo di AWS Key Management Service. In futuro integreremo probabilmente CloudHSM con altri servizi AWS. Se questo aspetto ti interessa, contattaci.

D: È possibile utilizzare CloudHSM per eseguire la traduzione di blocchi di numeri di identificazione personale (PIN) o altre operazioni crittografiche utilizzate nelle transazioni di pagamento con addebito?

Attualmente CloudHSM fornisce HSM per utilizzo generico. In futuro aggiungeremo probabilmente funzionalità di pagamento. Se questo aspetto ti interessa, contattaci.

D: Quali sono le differenze tra AWS Key Management Service (KMS) e AWS CloudHSM?

AWS Key Management Service (KMS) è un servizio multi-tenant gestito che permette di utilizzare e gestire chiavi di crittografia. Entrambi i servizi offrono sicurezza di alto livello per tali chiavi. AWS CloudHSM offre moduli di sicurezza hardware conformi allo standard FIPS 140-2 Level 3 sotto il controllo esclusivo dell'utente, direttamente all'interno di un cloud privato virtuale di Amazon VPC.

D: In quali casi è più indicato utilizzare AWS CloudHSM o AWS KMS?

AWS CloudHSM è più indicato se occorrono:

  • Chiavi memorizzati su moduli di sicurezza hardware dedicati e convalidati da terze parti sotto il controllo esclusivo dell'utente.
  • Conformità allo standard FIPS 140-2.
  • Integrazione con le applicazioni che utilizzano le interfacce PKCS#11, Java JCE o Microsoft CNG.
  • Accelerazione di crittografia ad alte prestazioni in VPC (crittografia in blocco).

D: I moduli di sicurezza hardware basati su SafeNet saranno interrotti?

No. Sebbene riteniamo che le caratteristiche e le tariffe offerte dal nuovo servizio CloudHSM siano molto più vantaggiose, manterremo il supporto per AWS CloudHSM Classic per gli utenti esistenti. A breve saranno disponibili risorse con istruzioni per eseguire la migrazione da CloudHSM al nuovo servizio.

D: Come si inizia a usare CloudHSM?

È possibile effettuare il provisioning di un cluster CloudHSM nella console di CloudHSM oppure con poche chiamate tramite API o kit SDK AWS. Per ulteriori informazioni consulta il documento CloudHSM User Guide per informazioni su come iniziare, la documentazione per informazioni sull'API CloudHSM o la pagina Strumenti per Amazon Web Services per maggiori informazioni sul kit SDK.

D: Come si termina un servizio CloudHSM?

Per eliminare i moduli di sicurezza hardware e terminare l'utilizzo del servizio, è possibile impiegare il kit SDK o l'API CloudHSM. Per ulteriori istruzioni, consulta la CloudHSM User Guide.

D: Come viene addebitato e fatturato l'utilizzo del servizio AWS CloudHSM?

Sarà applicata una tariffa oraria per le ore (intere o parziali) di provisioning di ciascun modulo di sicurezza hardware in un cluster CloudHSM. Non sarà addebitato alcun costo per i cluster senza moduli di sicurezza hardware né per lo storage automatico di backup crittografati. Amazon si riserva il diritto di addebitare i trasferimenti dei dati di rete da e verso AWS CloudHSM che superino 5.000 GB mensili. Per ulteriori informazioni, consulta la pagina dei prezzi di CloudHSM.

D: È previsto un piano gratuito per il servizio CloudHSM?

No, non è previsto alcun piano gratuito per CloudHSM.

D: Sono previsti requisiti preliminari per la registrazione a CloudHSM?

Sì. Per iniziare a utilizzare CloudHSM vi sono alcuni prerequisiti, fra cui un Virtual Private Cloud (VPC) nell'area geografica in cui desideri usufruire del servizio CloudHSM. Per maggiori dettagli, consulta il documento CloudHSM User Guide.

D: È necessario gestire il firmware dei moduli sicurezza hardware?

No. AWS gestisce sia firmware sia hardware. Il firmware viene gestito da terzi e dovrà essere prima valutato dal NIST per la conformità allo standard FIPS 140-2 Level 3. Solo il firmware con crittografia firmata secondo lo standard FIPS (a cui AWS non ha accesso) può essere installato.

D: Quanti moduli di sicurezza hardware è consigliato configurare in un cluster CloudHSM?

AWS consiglia vivamente di utilizzare almeno due moduli di sicurezza hardware in due zone di disponibilità differenti per tutti gli ambienti di produzione. Per i carichi di lavoro mission critical, sono consigliati almeno tre moduli in almeno due zone di disponibilità differenti. Il client CloudHSM gestirà automaticamente i moduli guasti e bilancerà il carico tra due o più moduli in modo trasparente.

D: Chi è responsabile della durabilità delle chiavi?

AWS effettua automaticamente backup crittografati di cluster CloudHSM tutti i giorni ed eventuali backup aggiuntivi nel momento in cui si verificano eventi del ciclo di vita del cluster (ad esempio l'aggiunta o la rimozione di moduli). Nel periodo di 24 ore che intercorre tra due backup, la responsabilità del materiale di crittografia creato o importato nel cluster spetta all'utente. Per assicurare la massima durevolezza, AWS consiglia vivamente di sincronizzare le nuove chiavi in almeno due moduli in due zone di disponibilità differenti. Consulta il documento CloudHSM User Guide per ulteriori informazioni sulla verifica della sincronizzazione delle chiavi.

D: Come si crea una configurazione a elevata disponibilità?

La disponibilità elevata è una caratteristica implementata automaticamente quando sono presenti almeno due moduli di sicurezza hardware in un cluster CloudHSM. Non è necessario procedere a ulteriori configurazioni. Nel caso in cui si dovesse verificare un guasto in un modulo di un cluster, verrà automaticamente sostituito e tutti i client saranno aggiornati in modo da riflettere la nuova configurazione senza interrompere il flusso di elaborazione. È anche possibile aggiungere moduli al cluster senza interrompere l'applicazione utilizzando l'API o il kit SDK AWS.

D: Quanti moduli di sicurezza hardware è possibile connettere a un cluster CloudHSM?

Un singolo cluster CloudHSM può contenere fino a 32 moduli di sicurezza hardware.

D: È possibile eseguire il backup dei contenuti di un'istanza CloudHSM?

AWS esegue tutti i giorni un backup dei cluster CloudHSM. Le chiavi possono inoltre essere esportate da un cluster e memorizzate in locale, sempre che non siano state generate con l'attributo "non-exportable". Al momento non sono disponibili altre opzioni di backup, anche se a breve sarà fornita una caratteristica di backup in locale più completa.

D: Esiste un SLA per CloudHSM?

Al momento non vi è alcun SLA per CloudHSM.

D: Un'appliance CloudHSM è in condivisione con altri clienti AWS?

No. Incluso nel servizio, riceverai l'accesso single-tenant al modulo di sicurezza hardware. Il relativo hardware può essere condiviso con altri clienti, ma l'istanza HSM offre accesso esclusivo.

D: In che modo AWS gestisce i moduli di sicurezza hardware senza l'accesso alle chiavi di crittografa?

La separazione delle attività e il controllo degli accessi basato sui ruoli è intrinseco nella progettazione di CloudHSM. AWS dispone di credenziali limitate ai moduli di sicurezza hardware, ma sufficienti a monitorarne e mantenerne lo stato di integrità e la disponibilità, eseguire backup crittografati ed estrarre e pubblicare log di audit per CloudWatch Logs. AWS non è in grado di visualizzare, accedere o utilizzare la chiavi, né di eseguire operazioni di crittografia utilizzando tali chiavi.

Consulta il documento CloudHSM User Guide per ulteriori informazioni su separazione delle attività e sulle autorizzazioni relative ai moduli delle diverse classi di utenti.

D: È possibile monitorare l’appliance HSM?

Sì. CloudHSM pubblica diversi parametri di CloudWatch per cluster CloudHSM e singoli moduli di crittografia hardware. Per ottenere i parametri o basarvi degli allarmi è possibile utilizzare la console di AWS CloudWatch, l'API o l'interfaccia a riga di comando.

D: Di quale "sorgente di entropia" si avvale CloudHSM?

Ogni modulo di sicurezza hardware dispone di un generatore deterministico di bit casuali o DRBG (Deterministic Random Bit Generator), alimentato da un generatore hardware di numeri casuali o TRNG (True Random Number Generator) integrato nel modulo hardware, in conformità allo standard SP800-90B. Si tratta di una sorgente di entropia di alta qualità in grado di generare 20 MB al secondo di entropia per modulo di crittografia hardware.

D: Che cosa accade in caso di manomissione di un'appliance HSM?

CloudHSM offre rilevamento sia fisico sia logico delle manomissioni e meccanismi di risposta che attivano l'eliminazione a più fasi delle chiavi dall'appliance. I moduli di sicurezza hardware sono progettati in modo da rilevare una manomissione non appena viene violata la barriera fisica dell'appliance. Inoltre, dopo cinque tentativi di accesso con credenziali Crypto Officer (CO) non andati a buon fine, l'appliance cancellerà tutti i propri dati. Dopo cinque tentativi di accesso con credenziali Crypto User (CU) non andati a buon fine, l'appliance verrà bloccata e richiederà un CO per essere sbloccata.

D: Che cosa accade in caso di guasto?

Amazon monitora la disponibilità e le eventuali condizioni di errore del modulo e della rete e provvede alla loro manutenzione. In caso di guasto o di perdita di connessione di rete, il modulo di sicurezza hardware verrà automaticamente sostituito. Puoi verificare le condizioni di un determinato HSM utilizzando l’API, il kit SDK o gli strumenti CLI di CloudHSM, nonché controllare in qualunque momento le condizioni complessive del servizio con il pannello di controllo per lo stato dei servizi AWS.

D: È possibile che le mie chiavi vadano perdute in caso di guasto di una singola appliance HSM?

Sì. È possibile che vadano perdute chiavi create dopo il backup giornaliero più recente se si verifica un guasto nel cluster CloudHSM in uso e non sono configurati almeno due moduli di sicurezza hardware. Amazon consiglia vivamente di utilizzare almeno due moduli in zone di disponibilità separate per tutti i cluster CloudHSM in produzione, in modo da evitare la perdita di chiavi di crittografia.

D: Amazon è in grado di recuperare chiavi qualora vengano smarrite le credenziali per l'appliance?

No. Amazon non ha accesso alle tue chiavi o alle tue credenziali, e non ha pertanto alcun modo di recuperare le tue chiavi qualora tu smarrisca le tue credenziali.

D: Cosa garantisce l'affidabilità delle appliance CloudHSM?

CloudHSM è stato progettato per mantenere la conformità allo standard 140-2 Level 3 della Federal Information Processing Standard (FIPS). Il profilo di sicurezza dello standard FIPS 140-2 per l'hardware utilizzato da CloudHSM è disponibile in questa pagina: http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2850.pdf

Segui la procedura illustrata nella sezione Verify the Authenticity of Your HSM del documento CloudHSM User Guide per verificare che l'hardware del modulo corrisponda a quello indicato nella pagina delle policy di sicurezza NIST indicata in alto.

D: In che modo è possibile utilizzare un'istanza CloudHSM conforme allo standard FIPS 140-2?

CloudHSM è sempre conforme allo standard FIPS 140-2. Per verificare la conformità, segui le istruzioni nel documento CloudHSM User Guide ed esegui il comando getHsmInfo nell'interfaccia a riga di comando per visualizzare lo stato dello standard FIPS.

D: Il servizio CloudHSM supporta lo standard FIPS 140-2 Level 3?

Sì, CloudHSM è sempre conforme allo standard FIPS 140-2 Level 3.

D: Come faccio a distribuire in modo sicuro le credenziali di una partizione HSM alle mie istanze?

Fai riferimento al post indicato di seguito del blog di AWS sulla sicurezza, che descrive l’uso dei ruoli IAM per la distribuzione delle credenziali non AWS alle istanze EC2.

D: È possibile visionare uno storico di tutte le chiamate API CloudHSM effettuate da un account?

Sì. AWS CloudTrail registra le chiamate API di AWS dell'intero account. Lo storico delle chiamate API di AWS creato da CloudTrail consente di eseguire analisi di sicurezza, monitoraggio delle modifiche delle risorse e audit di conformità. Per ulteriori informazioni su CloudTrail, consulta la sua homepage e attiva il servizio tramite la console di gestione di AWS CloudTrail.

D: Quali eventi non vengono registrati in CloudTrail?

CloudTrail non include i log di dispositivo o di accesso dei moduli di crittografia hardware. Tali parametri sono disponibili direttamente nell'account AWS tramite CloudWatch Logs. Per ulteriori informazioni, consulta il documento CloudHSM User Guide.

D: Quali iniziative di AWS volte alla conformità includono CloudHSM?

Consulta la pagina Conformità di sicurezza nel cloud AWS per ulteriori informazioni sui programmi di conformità che includono CloudHSM. Diversamente dagli altri servizi AWS, i requisiti di conformità che riguardano CloudHSM sono affrontati nella maggior parte dei casi direttamente dallo standard FIPS 140-2 Level 3 relativo all'hardware, piuttosto che in programmi di audit separati.

D: Perché lo standard FIPS 140-2 Level 3 è importante?

Lo standard FIPS 140-2 Level 3 è un requisito necessario per alcuni casi d'uso, ad esempio la firma di documenti, i pagamenti o l'utilizzo come autorità di certificazione per i certificati SSL.

D: Come si fa a richiedere i report di conformità nel cui ambito è incluso CloudHSM?

Puoi richiedere i report di conformità tramite il tuo rappresentante per lo sviluppo aziendale. Se non lo hai ancora, puoi richiederlo qui.

D: Quante operazioni di crittografia al secondo è in grado di eseguire CloudHSM?

Le prestazioni delle singole istanze HSM varia in base al carico di lavoro. La tabella di seguito mostra una stima delle operazioni di un singolo modulo per diversi algoritmi di crittografia comuni. Ogni cluster CloudHSM può contenere fino a 32 moduli, offrendo quindi prestazioni fino a 32 volte maggiori rispetto a quelle indicate. Le prestazioni possono variare in base alla configurazione specifica e al volume di dati, quindi si consiglia di effettuare test di carico con CloudHSM per determinare l'effettiva capacità necessaria.

Firma/verifica RSA a 2048 bit

1.100/s

EC P256

315 point mul/s

AES 256

300 Mb/s – crittografia in blocco full duplex

Generazione di chiavi RSA a 2048

Circa 2/s

Generazione randomica di numeri (CSPRNG)

20 Mb/s

D: Quante chiavi è possibile archiviare in un'istanza CloudHSM?

Un cluster CloudHSM può memorizzare fino a 3.500 chiavi di qualsiasi tipo e dimensione.

D: CloudHSM supporta Amazon RDS per Oracle TDE?

No. Amazon RDS per Oracle TDE non è supportato; tuttavia Oracle TDE è supportato per Oracle Databases (11g e 12c) in EC2. Per ulteriori informazioni, consulta il documento CloudHSM User Guide.

D: In cosa consiste il client CloudHSM?

Il client CloudHSM è un pacchetto software fornito da AWS che permette all'utente e alle applicazioni di interagire con i cluster CloudHSM.

D: Il client CloudHSM consente ad AWS l'accesso ai cluster CloudHSM?

No. Il cliente CloudHSM è open source e pubblicato con licenza BSD. La distribuzione con codice sorgente completo è disponibile su richiesta ed è possibile crearne una build con i compilatori in uso. Per comodità, AWS fornisce un file RPM binario.

D: In cosa consistono gli strumenti dell’interfaccia a riga di comando (CLI) di CloudHSM?

Il client CloudHSM include un set di strumenti dell'interfaccia a riga di comando che permettono di amministrare e utilizzare il modulo di sicurezza hardware dalle righe di comando. Attualmente Linux è supportato. Il supporto per MacOS e Windows sarà disponibile a breve. Questi strumenti sono disponibili nel pacchetto del client CloudHSM.

D: In che modo è possibile scaricare e iniziare a utilizzare gli strumenti dell'interfaccia a riga di comando di CloudHSM?

Le istruzioni sono disponibili nel documento CloudHSM User Guide.

D: Gli strumenti CLI di CloudHSM permettono ad AWS di accedere al contenuto dell'HSM?

No. Gli strumenti di CloudHSM comunicano direttamente con il cluster CloudHSM tramite il client su un canale sicuro e autenticato in entrambe le direzioni. AWS non può intercettare alcuna comunicazione tra client, strumenti e moduli di sicurezza hardware, perché sono crittografate.

D: Con quali sistemi operativi è possibile utilizzare gli strumenti della riga di comando e il client di CloudHSM?

Diverse distribuzioni di Linux (versioni moderne di Amazon Linux, Redhat, Centos e Ubuntu), Microsoft Windows e Apple macOS. Se desideri utilizzare gli strumenti dell'interfaccia a riga di comando o il client CloudHSM su altri sistemi operativi, contattaci.

D: Quali sono i requisiti di connettività di rete per l'uso degli strumenti dell'interfaccia a riga di comando di CloudHSM?

L'host su cui è in esecuzione il client CloudHSM e/o su cui vengono impiegati gli strumenti dell'interfaccia a riga di comando deve essere raggiungibile in rete da tutti i moduli di sicurezza hardware nel cluster.

D: Cosa è possibile fare con gli strumenti API e kit SDK CloudHSM?

È possibile creare, modificare, eliminare e consultare lo stato di cluster CloudHSM e moduli. Le operazioni eseguibili con l'API AWS CloudHSM sono limitate dalle ristrette autorizzazioni di accesso di AWS. L'API non potrà accedere ai contenuti dei moduli di sicurezza hardware né modificare utenti, policy e altre impostazioni. Per ulteriori informazioni, consulta il documento CloudHSM Developer Guide per informazioni sull'API o la pagina Strumenti per Amazon Web Services per maggiori informazioni sul kit SDK.

D: Come viene eseguita la manutenzione di routine delle appliance HSM?

Le procedure di AWS per la manutenzione di routine delle appliance HSM sono state studiate per evitare tempi di inattività simultanei di più zone di disponibilità della stessa regione.

AWS monitora e provvede alla manutenzione dei moduli di sicurezza hardware; in alcuni casi potrà disattivare un modulo per poter aggiornare, sostituire o testare dispositivi hardware. In circostanze normali, tali operazioni non dureranno più di pochi minuti in caso di sostituzione di hardware e non interferiranno con le prestazioni del cluster CloudHSM. In un'applicazione che utilizzi attivamente uno specifico modulo potrà verificarsi una momentanea interruzione nel momento in cui il client CloudHSM ritenta un'operazione su un modulo differente del cluster.

AWS non esegue la manutenzione di routine delle appliance HSM di più zone di disponibilità della stessa area geografica nelle stesse 24 ore.

In circostanze impreviste è tuttavia possibile che AWS esegua interventi di manutenzione di emergenza senza preavviso. AWS tenta di evitare tali situazioni, come pure l’esecuzione di interventi di manutenzione di emergenza nelle stesse 24 ore su appliance HSM di più zone di disponibilità della area geografica.

AWS consiglia vivamente di utilizzare i cluster CloudHSM con almeno due moduli di sicurezza hardware in zone di disponibilità differenti per evitare potenziali interruzioni.

D: Ho un problema con CloudHSM. Che cosa devo fare?

Contatta AWS Support.


In caso di domande su AWS CloudHSM Classic, consulta le domande frequenti su AWS CloudHSM Classic.