O serviço AWS CloudHSM ajuda a atender requisitos de conformidade corporativos, contratuais e normativos para a segurança de dados usando dispositivos Hardware Security Module (HSM – Módulo de segurança de hardware) dedicados dentro da Nuvem AWS. Com o CloudHSM, você controla as chaves e as operações de criptografia executadas pelo HSM.

Os parceiros da AWS e do AWS Marketplace oferecem diversas soluções para a proteção de dados confidenciais dentro da plataforma AWS. Porém, para aplicativos e dados sujeitos a requisitos contratuais ou normativos rigorosos para o gerenciamento de chaves criptográficas, ocasionalmente pode ser necessário oferecer proteção adicional. Até agora, a única opção disponível era armazenar os dados confidenciais (ou as chaves de criptografia que protegem os dados confidenciais) em datacenters locais. Infelizmente, essa opção impedia a migração desses aplicativos para a nuvem ou reduzia consideravelmente o seu desempenho. O serviço AWS CloudHSM permite que você proteja suas chaves de criptografia dentro de HSMs designados e validados de acordo com padrões governamentais para o gerenciamento seguro de chaves. É possível gerar, armazenar e gerenciar as chaves de criptografia usadas na criptografia de dados de tal forma que somente você tenha acesso a elas. O AWS CloudHSM ajuda a cumprir requisitos estritos de gerenciamento de chaves sem sacrificar o desempenho dos aplicativos.

O serviço AWS CloudHSM funciona com a Amazon Virtual Private Cloud (VPC). As instâncias de CloudHSM são provisionadas dentro da sua VPC com o endereço IP que você especificar, oferecendo conectividade a redes simples e privadas para as suas instâncias do Amazon Elastic Compute Cloud (EC2). O posicionamento das instâncias do CloudHSM perto das instâncias do EC2 reduz a latência de rede, o que pode melhorar o desempenho do aplicativo. A AWS oferece acesso dedicado e exclusivo (único locatário) a instâncias do CloudHSM de forma isolada dos outros clientes da AWS. Disponível em várias regiões e zonas de disponibilidade (AZs), o AWS CloudHSM permite que você adicione armazenamento seguro e durável de chaves aos seus aplicativos.

Comece a usar a AWS gratuitamente

Crie uma conta gratuita
Ou faça login no console

Receba doze meses de acesso ao nível de uso gratuito da AWS e aproveite os recursos do AWS Basic Support, como atendimento ao cliente 24x7x365 e fóruns de suporte, entre outros recursos.

Como parte do serviço, você tem acesso dedicado aos recursos do HSM na nuvem. O AWS CloudHSM protege suas chaves de criptografia com dispositivos HSM invioláveis que foram projetados para cumprir padrões normativos internacionais (Common Criteria EAL4+) e do governo americano (NIST FIPS 140-2) para módulos de criptografia. Você mantém controle completo sobre suas chaves e operações de criptografia no HSM, enquanto a Amazon gerencia e mantém o hardware sem ter acesso às suas chaves.

Com a proteção das suas chaves em hardware e a impossibilidade de acesso por terceiros, o AWS CloudHSM pode ajudar você a cumprir os requisitos normativos e contratuais mais estritos para a proteção de chaves.

A API do CloudHSM, as ferramentas de Interface da Linha de Comando (ILC) e o SDK permitem iniciar e parar instâncias dedicadas do CloudHSM sempre que você quiser.

O AWS CloudHSM está disponível em várias regiões e zonas de disponibilidade (AZs) para ajudar a criar aplicativos altamente disponíveis que exigem uma sólida proteção das chaves. As ferramentas de Interface da Linha de Comando (ILC) do CloudHSM podem ajudar a configurar grupos de alta disponibilidade (HA) que abrangem várias zonas de disponibilidade, possibilitando a criação de aplicativos resilientes. No evento improvável de uma falha de hardware, você pode lançar uma nova instância do CloudHSM e replicar as chaves para o novo HSM com apenas alguns comandos. Você também pode usar o AWS CloudHSM com HSMs locais compatíveis para armazenar chaves com segurança no datacenter. Isso aumenta a durabilidade das chaves e proporciona a flexibilidade para migrar chaves para dentro e para fora da AWS com segurança.

As instâncias do CloudHSM estão em sua VPC, o que facilita a utilização por seus aplicativos do Amazon EC2. Você usa mecanismos de segurança padrão da Amazon VPC para controlar o acesso a instâncias do CloudHSM.

Com o posicionamento das instâncias de CloudHSM em sua VPC, perto de suas instâncias do EC2, você pode reduzir a latência de rede e aumentar o desempenho de seus aplicativos da AWS que usam HSMs.

Você pode usar o CloudHSM com o Amazon Redshift, o Amazon Relational Database Service (RDS) Oracle ou aplicações de terceiros, como SafeNet Virtual KeySecure para funcionar como uma raiz de confiança, Apache (terminação de SSL) ou Microsoft SQL Server (criptografia de dados transparente). Você também pode usar o CloudHSM ao escrever seus próprios aplicativos e continuar a usar as bibliotecas de criptografia padrão que você já conhece, incluindo PKCS#11, Java JCA/JCE e Microsoft CAPI e CNG.

Se você precisa rastrear alterações de recursos ou auditar atividades para fins de segurança e conformidade, pode usar o CloudTrail para revisar todas as chamadas de API do CloudHSM efetuadas em sua conta. Além disso, é possível auditar operações no dispositivo HSM usando o syslog ou enviando mensagens de log do syslog ao seu próprio coletor.