AWS CloudHSM

HSM gerenciado na Nuvem AWS.

O AWS CloudHSM é um Hardware Security Module (HSM – Módulo de segurança de hardware) baseado na nuvem que permite gerar e usar facilmente suas próprias chaves de criptografia na Nuvem AWS. Com o CloudHSM, você pode gerenciar suas próprias chaves de criptografia usando HSMs validados pelo FIPS 140-2 nível 3. O CloudHSM oferece a flexibilidade de integrar-se aos seus aplicativos usando APIs padrão do setor, como bibliotecas Microsoft CryptoNG (CNG), PKCS#11 e Java Cryptography Extensions (JCE).

O CloudHSM está em conformidade com as normas do setor e permite exportar todas as chaves para a maioria dos outros HSMs disponíveis no mercado, dependendo das suas configurações. Ele é um serviço gerenciado que automatiza para você tarefas administrativas demoradas, como provisionamento de hardware, aplicação de patches de software, alta disponibilidade e backups. O CloudHSM também permite que você ajuste a escala rapidamente ao adicionar e remover capacidade HSM sob demanda, sem custos antecipados.

Introdução ao AWS CloudHSM

Benefícios

Gere e use chaves de criptografia em HSMs validados pelo FIPS 140-2 nível 3

O AWS CloudHSM permite gerar e usar chaves de criptografia em um hardware validado pelo FIPS 140-2 nível 3. O CloudHSM protege suas chaves com acesso exclusivo e unilocatário a instâncias de HSMs invioláveis na sua própria Amazon Virtual Private Cloud (VPC).

Implante cargas de trabalho seguras e em conformidade

O uso de HSMs como raiz de confiança ajuda a demonstrar conformidade com regulamentos de segurança, privacidade e inviolabilidade, como o HIPAA, o FedRAMP e o PCI. O AWS CloudHSM possibilita que você crie cargas de trabalho seguras e em conformidade com alta confiabilidade e baixa latência usando instâncias de HSM na Nuvem AWS.

Use um HSM aberto e desenvolvido de acordo com as normas do setor

Você pode usar o AWS CloudHSM para fazer a integração a aplicativos personalizados usando APIs padrão do setor, como bibliotecas Microsoft CryptoNG (CNG), PKCS#11 e Java Cryptography Extensions (JCE). Você também pode transferir suas chaves para outras soluções comerciais de HSM para facilitar a importação de chaves para a AWS, bem como sua exportação dela.

Mantenha o controle sobre as chaves de criptografia

O AWS CloudHSM disponibiliza acesso aos HSMs em um canal seguro para criar usuários e definir políticas de HSM. As chaves de criptografia geradas e usadas com o CloudHSM só podem ser acessadas pelos usuários de HSM que você especificar. A AWS não tem visibilidade ou acesso às suas chaves de criptografia.

Fácil de gerenciar e escalar

O AWS CloudHSM automatiza tarefas administrativas demoradas, como provisionamento de hardware, aplicação de patches de software, alta disponibilidade e backups. É possível ajustar rapidamente a escala da capacidade do HSM ao adicionar e remover HSMs do cluster sob demanda. O AWS CloudHSM faz automaticamente as solicitações de balanceamento de carga e duplica com segurança as chaves armazenadas em qualquer HSM para todos os outros HSMs no cluster.

Controle das chaves do AWS KMS

É possível configurar o AWS Key Management Service (KMS) para usar o cluster do AWS CloudHSM como um armazenamento de chaves personalizadas ao invés do armazenamento de chaves KMS padrão. Com um armazenamento de chaves personalizadas do KMS, você se beneficia da integração entre os serviços KMS e AWS que criptografam dados, mantendo o controle dos HSMs que protegem suas chaves mestras do KMS. O armazenamento de chaves personalizadas do KMS oferece o melhor dos dois mundos, combinando os HSMs de unilocatário sob seu controle com a facilidade de uso e a integração do AWS KMS.

Casos de uso

Descarregar o processamento de SSL para servidores web

Os protocolos Secure Sockets Layer (SSL) e Transport Layer Security (TLS) são usados para confirmar a identidades dos servidores web e estabelecer conexões HTTPS seguras na internet. Você pode usar o AWS CloudHSM para descarregar o processamento de SSL/TLS dos seus servidores web. O uso do CloudHSM para esse processamento reduz a carga sobre o servidor web, bem como disponibiliza uma camada extra de segurança ao armazenar a chave privada do servidor web no CloudHSM.

product-page-diagram_CloudHSM_offload-ssl

Proteger chaves privadas para uma Certificate Authority (CA – Autoridade de certificação) emissora

Em uma Public key infrastructure (PKI – Infraestrutura de chave pública), uma Certificate Authority (CA – Autoridade de certificação) é uma entidade confiável que emite certificados digitais. Esses certificados digitais são usados para identificar uma pessoa ou uma organização. É possível usar o AWS CloudHSM para armazenar chaves privadas e assinar solicitações de certificados para que você possa atuar de forma segura como uma CA para emitir certificados para uma organização.

product-page-diagram_CloudHSM_ca-1

Habilitar Transparent Data Encryption (TDE – Criptografia de dados transparente) para bancos de dados Oracle

É possível usar o AWS CloudHSM para armazenar a chave principal de criptografia para servidores do banco de dados Oracle que aceitem a TDE. O suporte ao SQL Server será disponibilizado em breve. Com a TDE, servidores de banco de dados Oracle compatíveis podem criptografar dados antes de armazená-los em disco. O Amazon RDS for Oracle não oferece suporte à TDE com o CloudHSM. Para esse caso de uso, você deve usar o AWS Key Management Service.

product-page-diagram_CloudHSM_database
Standard Product Icons (Features) Squid Ink
Confira os recursos do produto

Saiba mais sobre o módulo de segurança de hardware gerenciado (HSM) na Nuvem AWS.

Saiba mais 
Sign up for a free account
Cadastre-se para obter uma conta gratuita

Obtenha acesso instantâneo ao nível gratuito da AWS. 

Cadastrar-se 
Standard Product Icons (Start Building) Squid Ink
Comece a criar no console

Comece a criar com o AWS CloudHSM no Console de Gerenciamento da AWS.

Faça login