AWS CloudHSM は、安全なキーストレージや高パフォーマンスの暗号化オペレーションを AWS アプリケーションに簡単に追加できるようにするクラウドベースのハードウェアセキュリティモジュール (HSM) です。CloudHSM では、HSM をオンデマンドで開始および停止できるため、必要な時に必要な場所で迅速かつコスト効率の高い方法でキャパシティーをプロビジョニングできます。前払いは必要ありません。CloudHSM は、ハードウェアのプロビジョニング、ソフトウェアへのパッチ適用、高可用性、バックアップといった時間のかかる管理タスクを自動化するマネージド型のサービスです。

CloudHSM は AWS のサービスのうちの 1 つで、その中には AWS Key Management Service (KMS) も含まれます。どちらのサービスも暗号化キーの高度なセキュリティを提供します。KMS では、AWS で暗号化キーを管理するための簡単かつコスト効率の高い方法を利用できるため、お客様のデータの大部分についてセキュリティニーズを満たすことができます。CloudHSM では、HSM へのシングルテナントアクセスおよびコントロールを要件とするお客様向けの機能が提供されます。

AWS CloudHSM の使用を開始する

AWS CloudHSM にサインアップする
cloudhsm_webinar
AWS CloudHSM: AWS での安全かつスケーラブルなキーストレージ
100x100_benefit_ecryption-lock

AWS CloudHSM では不正使用防止策が施された HSM へのシングルテナントアクセスを利用できます。HSM は米国政府により開発された暗号化モジュール向けの FIPS 140-2 レベル 3 標準に準拠しています。

100x100_benefit_increase-upward2

AWS CloudHSM では、HSM キャパシティーを簡単にスケールできます。AWS マネジメントコンソールと AWS API を使用して、オンデマンドで HSM を追加および削除できます。

100x100_benefit_transparency

AWS CloudHSM はオープンなソリューションであるため、ベンダーによる囲い込みが行われることはありません。CloudHSM では、キーを他の市販の HSM ソリューションに転送して、AWS クラウド内外にキーを簡単に移行できます。

100x100_benefit_ingergration

AWS CloudHSM では、業界標準の API を使用してカスタムアプリケーションと統合できるようになっており、PKCS#11、Java Cryptography Extensions (JCE)、Microsoft CryptoNG (CNG) ライブラリなどの複数のプログラミング言語がサポートされています。

100x100_benefit_secure

AWS CloudHSM では、重要な管理機能とキー管理機能のためのクォーラム認証がサポートされています。また、CloudHSM では、お客様が提供するトークンを使用した多要素認証 (MFA) もサポートされています。

100x100_benefit_management2

AWS CloudHSM は、ハードウェアのプロビジョニング、ソフトウェアへのパッチ適用、高可用性、バックアップといった時間のかかる管理タスクを自動化するマネージド型のサービスです。

AWS CloudHSM はお客様の Amazon Virtual Private Cloud (VPC) 内で実行されるため、お客様の Amazon EC2 インスタンスで実行されているアプリケーションで HSM を簡単に使用できます。CloudHSM では、HSM へのアクセスを管理するために、標準の VPC セキュリティコントロールを使用できます。アプリケーションは、HSM クライアントソフトウェアによって確立された相互認証済み SSL チャネルを使用して HSM に接続されます。HSM は、EC2 インスタンスの近くにある Amazon データセンターに配置されるため、アプリケーションと HSM 間のネットワークレイテンシーはオンプレミスの HSM よりも低くなります。

A: AWS では、ハードウェアセキュリティモジュール (HSM) アプライアンスが管理されるが、キーへのアクセス権は持たない

B: お客様は自分のキーを制御して、管理する

C: アプリケーションのパフォーマンスが向上する (AWS ワークロードと近接しているため)

D: 複数のアベイラビリティーゾーン (AZ) で利用できる、不正使用防止策が施されたハードウェアでの安全なキーストレージ

E: HSM は Virtual Private Cloud (VPC) 内にあり、他の AWS ネットワークから分離されている

CloudHSM_Diagrams_2-final

責任の分離とロールベースのアクセスコントロールは、AWS CloudHSM の設計の特徴です。AWS は HSM の状態およびネットワークの可用性を監視しますが、HSM 内に保存されるキーマテリアルの作成や管理は行いません。HSM、および暗号化キーの生成と使用は、お客様がコントロールします。

CloudHSM_Diagrams_3 copy

AWS CloudHSM では、リクエストを自動的に負荷分散し、HSM に保存されているキーをクラスター内のその他の HSM すべてに対して安全に複製します。これにより暗号化の機能性がさらに高まり、キーの耐久性が向上します。キーの複数のコピーが、異なるアベイラビリティーゾーン (AZ) に配置された HSM に保存されるため、1 つの HSM が利用できなくなった場合でもキーの可用性は保たれ、キーは安全に保護されます。可用性と耐久性のある構成にするには、複数の AZ 間で少なくとも 2 つの HSM を使用することをお勧めします。

CloudHSM_Diagrams_1-b

AWS CloudHSM クライアントは、リクエストを負荷分散し、クラスターに参加している HSM 間でキーマテリアルを安全に複製します。