AWS CloudHSM

HSM gerenciado na Nuvem AWS.

O AWS CloudHSM é um Hardware Security Module (HSM – Módulo de segurança de hardware) baseado na nuvem que permite gerar e usar facilmente suas próprias chaves de criptografia na Nuvem AWS. Com o CloudHSM, você pode gerenciar suas próprias chaves de criptografia usando HSMs validados pelo FIPS 140-2 nível 3. O CloudHSM oferece a flexibilidade de integrar-se aos seus aplicativos usando APIs padrão do setor, como bibliotecas Microsoft CryptoNG (CNG), PKCS#11 e Java Cryptography Extensions (JCE).

O CloudHSM está em conformidade com as normas do setor e permite exportar todas as chaves para a maioria dos outros HSMs disponíveis no mercado, dependendo das suas configurações. Ele é um serviço gerenciado que automatiza para você tarefas administrativas demoradas, como provisionamento de hardware, aplicação de patches de software, alta disponibilidade e backups. O CloudHSM também permite que você ajuste a escala rapidamente ao adicionar e remover capacidade HSM sob demanda, sem custos antecipados.

Introdução ao AWS CloudHSM

Benefícios

Gere e use chaves de criptografia em HSMs validados pelo FIPS 140-2 nível 3

O AWS CloudHSM permite gerar e usar chaves de criptografia em um hardware validado pelo FIPS 140-2 nível 3. O CloudHSM protege suas chaves com acesso exclusivo e unilocatário a instâncias de HSMs invioláveis na sua própria Amazon Virtual Private Cloud (VPC).

Implante cargas de trabalho seguras e em conformidade

O uso de HSMs como raiz de confiança ajuda a demonstrar conformidade com regulamentos de segurança, privacidade e inviolabilidade, como HIPAA, FedRAMP e PCI. O AWS CloudHSM possibilita que você crie cargas de trabalho seguras e em conformidade com alta confiabilidade e baixa latência usando instâncias de HSM na Nuvem AWS.

Use um HSM aberto e desenvolvido de acordo com as normas do setor

Você pode usar o AWS CloudHSM para fazer a integração a aplicativos personalizados usando APIs padrão do setor, como bibliotecas Microsoft CryptoNG (CNG), PKCS#11 e Java Cryptography Extensions (JCE). Você também pode transferir suas chaves para outras soluções comerciais de HSM para facilitar a importação de chaves para a AWS, bem como sua exportação dela.

Mantenha o controle sobre as chaves de criptografia

O AWS CloudHSM disponibiliza acesso aos HSMs em um canal seguro para criar usuários e definir políticas de HSM. As chaves de criptografia geradas e usadas com o CloudHSM só podem ser acessadas pelos usuários de HSM que você especificar. O AWS não tem visibilidade ou acesso às suas chaves de criptografia.

Balanceamento de carga e alta disponibilidade

O AWS CloudHSM faz automaticamente o balanceamento de carga de solicitações e duplica com segurança as chaves armazenadas em qualquer HSM para todos os outros HSMs no cluster. O uso de pelo menos dois HSMs em várias AZs é a configuração recomendada pela Amazon para obter disponibilidade e resiliência.

Fácil de gerenciar

O AWS CloudHSM é um serviço gerenciado que automatiza para você tarefas administrativas demoradas, como provisionamento de hardware, aplicação de patches de software, alta disponibilidade e backups. É possível ajustar rapidamente a escala da capacidade do HSM ao adicionar e remover HSMs do cluster sob demanda.

Como ele funciona

CloudHSM_Diagrams_2-final

O AWS CloudHSM é executado na sua própria Amazon Virtual Private Cloud (VPC), o que permite usar de modo fácil os HSMs com aplicativos que rodam nas instâncias do Amazon EC2. Com o CloudHSM, é possível usar controles de segurança padrão da VPC para gerenciar o acesso aos HSMs. Os aplicativos conectam-se ao HSMs usando canais SSL mutuamente autenticados e estabelecidos pelo software cliente do HSM. Como os HSMs estão localizados nos datacenters da Amazon perto das instâncias do EC2, é possível reduzir a latência da rede entre os aplicativos e os HSMs, o que não é possível fazer da mesma maneira usando HSMs locais.

A: A AWS gerencia o dispositivo HSM, mas não tem acesso às chaves

B: Você controla e gerencia suas próprias chaves

C: A performance do aplicativo melhora (graças à grande proximidade com as cargas de trabalho da AWS)

D: O armazenamento seguro de chaves em hardware inviolável e disponível em várias zonas de disponibilidade (AZs)

E: Os HSMs estão na Virtual Private Cloud (VPC), isolados de outras redes da AWS.

A separação de responsabilidades e o controle de acesso baseado em funções são inerentes ao projeto do AWS CloudHSM. A AWS monitora a integridade e a disponibilidade de rede dos HSMs, mas não se envolve na criação e no gerenciamento do material de chaves armazenado dentro dos HSMs. Você controla os HSMs, bem como a geração e o uso das chaves de criptografia.

Casos de uso

Descarregar o processamento de SSL para servidores web

Os protocolos Secure Sockets Layer (SSL) e Transport Layer Security (TLS) são usados para confirmar a identidades dos servidores web e estabelecer conexões HTTPS seguras na internet. Você pode usar o AWS CloudHSM para descarregar o processamento de SSL/TLS dos seus servidores web. O uso do CloudHSM para esse processamento reduz a carga sobre o servidor web, bem como disponibiliza uma camada extra de segurança ao armazenar a chave privada do servidor web no CloudHSM.

product-page-diagram_CloudHSM_offload-ssl

Proteger chaves privadas para uma Certificate Authority (CA – Autoridade de certificação) emissora

Em uma Public key infrastructure (PKI – Infraestrutura de chave pública), uma Certificate Authority (CA – Autoridade de certificação) é uma entidade confiável que emite certificados digitais. Esses certificados digitais são usados para identificar uma pessoa ou uma organização. É possível usar o AWS CloudHSM para armazenar chaves privadas e assinar solicitações de certificados para que você possa atuar de forma segura como uma CA para emitir certificados para uma organização.

product-page-diagram_CloudHSM_ca-1

Habilitar Transparent Data Encryption (TDE – Criptografia de dados transparente) para bancos de dados Oracle

É possível usar o AWS CloudHSM para armazenar a chave principal de criptografia para servidores do banco de dados Oracle que aceitem a TDE. O suporte ao SQL Server será disponibilizado em breve. Com a TDE, servidores de banco de dados Oracle compatíveis podem criptografar dados antes de armazená-los em disco. O Amazon RDS for Oracle does não oferece suporte à TDE com o CloudHSM. Para esse caso de uso, você deve usar o AWS Key Management Service.

product-page-diagram_CloudHSM_database

Conceitos básicos da AWS

icon1

Cadastre-se para obter uma conta na AWS

Obtenha acesso instantâneo ao nível gratuito da AWS.
icon2

Aprenda com tutoriais de 10 minutos

Explore e aprenda com tutoriais simples.
icon3

Comece a criar com a AWS

Comece a compilar com os guias passo a passo que ajudam a iniciar seu projeto da AWS.

Saiba mais sobre o AWS CloudHSM

Pronto para criar?
Comece a usar o CloudHSM
Mais dúvidas?
Entre em contato conosco