AWS CloudHSM

HSM gerenciado na Nuvem AWS.

O AWS CloudHSM é um Hardware Security Module (HSM – Módulo de segurança de hardware) baseado na nuvem que permite gerar e usar facilmente suas próprias chaves de criptografia na Nuvem AWS. Com o CloudHSM, você pode gerenciar suas próprias chaves de criptografia usando HSMs validados pelo FIPS 140-2 nível 3. O CloudHSM oferece a flexibilidade de integrar-se aos seus aplicativos usando APIs padrão do setor, como bibliotecas Microsoft CryptoNG (CNG), PKCS#11 e Java Cryptography Extensions (JCE).

O CloudHSM está em conformidade com as normas do setor e permite exportar todas as chaves para a maioria dos outros HSMs disponíveis no mercado, dependendo das suas configurações. Ele é um serviço gerenciado que automatiza para você tarefas administrativas demoradas, como provisionamento de hardware, aplicação de patches de software, alta disponibilidade e backups. O CloudHSM também permite que você ajuste a escala rapidamente ao adicionar e remover capacidade HSM sob demanda, sem custos antecipados.

Introdução ao AWS CloudHSM

Benefícios

Gere e use chaves de criptografia em HSMs validados pelo FIPS 140-2 nível 3

O AWS CloudHSM permite gerar e usar chaves de criptografia em um hardware validado pelo FIPS 140-2 nível 3. O CloudHSM protege suas chaves com acesso exclusivo e unilocatário a instâncias de HSMs invioláveis na sua própria Amazon Virtual Private Cloud (VPC).

Implante cargas de trabalho seguras e em conformidade

O uso de HSMs como raiz de confiança ajuda a demonstrar conformidade com regulamentos de segurança, privacidade e inviolabilidade, como o HIPAA, o FedRAMP e o PCI. O AWS CloudHSM possibilita que você crie cargas de trabalho seguras e em conformidade com alta confiabilidade e baixa latência usando instâncias de HSM na Nuvem AWS.

Use um HSM aberto e desenvolvido de acordo com as normas do setor

Você pode usar o AWS CloudHSM para fazer a integração a aplicativos personalizados usando APIs padrão do setor, como bibliotecas Microsoft CryptoNG (CNG), PKCS#11 e Java Cryptography Extensions (JCE). Você também pode transferir suas chaves para outras soluções comerciais de HSM para facilitar a importação de chaves para a AWS, bem como sua exportação dela.

Mantenha o controle sobre as chaves de criptografia

O AWS CloudHSM disponibiliza acesso aos HSMs em um canal seguro para criar usuários e definir políticas de HSM. As chaves de criptografia geradas e usadas com o CloudHSM só podem ser acessadas pelos usuários de HSM que você especificar. A AWS não tem visibilidade ou acesso às suas chaves de criptografia.

Fácil de gerenciar e escalar

O AWS CloudHSM automatiza tarefas administrativas demoradas, como provisionamento de hardware, aplicação de patches de software, alta disponibilidade e backups. É possível ajustar rapidamente a escala da capacidade do HSM ao adicionar e remover HSMs do cluster sob demanda. O AWS CloudHSM faz automaticamente as solicitações de balanceamento de carga e duplica com segurança as chaves armazenadas em qualquer HSM para todos os outros HSMs no cluster.

Controle das chaves do AWS KMS

É possível configurar o AWS Key Management Service (KMS) para usar o cluster do AWS CloudHSM como um armazenamento de chaves personalizadas ao invés do armazenamento de chaves KMS padrão. Com um armazenamento de chaves personalizadas do KMS, você se beneficia da integração entre os serviços KMS e AWS que criptografam dados, mantendo o controle dos HSMs que protegem suas chaves mestras do KMS. O armazenamento de chaves personalizadas do KMS oferece o melhor dos dois mundos, combinando os HSMs de unilocatário sob seu controle com a facilidade de uso e a integração do AWS KMS.

Como funciona

CloudHSM_Diagrams_2-final

O AWS CloudHSM é executado na sua própria Amazon Virtual Private Cloud (VPC), o que permite usar de modo fácil os HSMs com aplicativos que rodam nas instâncias do Amazon EC2. Com o CloudHSM, é possível usar controles de segurança padrão da VPC para gerenciar o acesso aos HSMs. Os aplicativos conectam-se ao HSMs usando canais SSL mutuamente autenticados e estabelecidos pelo software cliente do HSM. Como os HSMs estão localizados nos datacenters da Amazon perto das instâncias do EC2, é possível reduzir a latência da rede entre os aplicativos e os HSMs, o que não é possível fazer da mesma maneira usando HSMs locais.

A: A AWS gerencia o dispositivo HSM, mas não tem acesso às chaves

B: Você controla e gerencia suas próprias chaves

C: A performance do aplicativo melhora (graças à grande proximidade com as cargas de trabalho da AWS)

D: O armazenamento seguro de chaves em hardware inviolável e disponível em várias zonas de disponibilidade (AZs)

E: Os HSMs estão na Virtual Private Cloud (VPC), isolados de outras redes da AWS.

A separação de responsabilidades e o controle de acesso baseado em funções são inerentes ao projeto do AWS CloudHSM. A AWS monitora a integridade e a disponibilidade de rede dos HSMs, mas não se envolve na criação e no gerenciamento do material de chaves armazenado dentro dos HSMs. Você controla os HSMs, bem como a geração e o uso das chaves de criptografia.

Casos de uso

Descarregar o processamento de SSL para servidores web

Os protocolos Secure Sockets Layer (SSL) e Transport Layer Security (TLS) são usados para confirmar a identidades dos servidores web e estabelecer conexões HTTPS seguras na internet. Você pode usar o AWS CloudHSM para descarregar o processamento de SSL/TLS dos seus servidores web. O uso do CloudHSM para esse processamento reduz a carga sobre o servidor web, bem como disponibiliza uma camada extra de segurança ao armazenar a chave privada do servidor web no CloudHSM.

product-page-diagram_CloudHSM_offload-ssl

Proteger chaves privadas para uma Certificate Authority (CA – Autoridade de certificação) emissora

Em uma Public key infrastructure (PKI – Infraestrutura de chave pública), uma Certificate Authority (CA – Autoridade de certificação) é uma entidade confiável que emite certificados digitais. Esses certificados digitais são usados para identificar uma pessoa ou uma organização. É possível usar o AWS CloudHSM para armazenar chaves privadas e assinar solicitações de certificados para que você possa atuar de forma segura como uma CA para emitir certificados para uma organização.

product-page-diagram_CloudHSM_ca-1

Habilitar Transparent Data Encryption (TDE – Criptografia de dados transparente) para bancos de dados Oracle

É possível usar o AWS CloudHSM para armazenar a chave principal de criptografia para servidores do banco de dados Oracle que aceitem a TDE. O suporte ao SQL Server será disponibilizado em breve. Com a TDE, servidores de banco de dados Oracle compatíveis podem criptografar dados antes de armazená-los em disco. O Amazon RDS for Oracle does não oferece suporte à TDE com o CloudHSM. Para esse caso de uso, você deve usar o AWS Key Management Service.

product-page-diagram_CloudHSM_database

Publicações e artigos de blog

Nenhum resultado encontrado.

Conceitos básicos da AWS

icon1

Cadastre-se para obter uma conta da AWS

Obtenha acesso instantâneo ao nível gratuito da AWS.
icon2

Aprenda com tutoriais de 10 minutos

Explore e aprenda com tutoriais simples.
icon3

Comece a criar com a AWS

Comece a compilar com os guias passo a passo que ajudam a iniciar seu projeto da AWS.

Saiba mais sobre o AWS CloudHSM

Pronto para criar?
Comece a usar o CloudHSM
Mais dúvidas?
Entre em contato conosco