P: O que é o AWS CloudHSM?

O serviço AWS CloudHSM ajuda a atender requisitos de conformidade corporativos, contratuais e normativos para a segurança de dados usando dispositivos HSM (Hardware Security Module) dedicados na Nuvem AWS. Os parceiros da AWS e da AWS Marketplace oferecem diversas soluções para a proteção de dados confidenciais dentro da plataforma AWS. Porém, para alguns aplicativos e dados sujeitos a obrigações contratuais ou normativas rigorosas para o gerenciamento de chaves criptográficas, ocasionalmente é necessário oferecer proteção adicional. O CloudHSM complementa as soluções existentes de proteção de dados e permite proteger as chaves de criptografia dentro de HSMs projetados e validados de acordo com padrões governamentais para o gerenciamento seguro de chaves. O CloudHSM permite gerar, armazenar e gerenciar chaves de criptografia usadas para a criptografia de dados de tal forma que somente você tenha acesso a elas.

P: O que é um Hardware Security Module (HSM)?

Um Hardware Security Module (HSM) é um dispositivo de hardware que oferece armazenamento de chaves e operações criptográficas seguras em um dispositivo de hardware inviolável. Os HSMs são projetados para armazenar material de chaves criptográficas com segurança e usar esse material sem exposição ao exterior do perímetro de criptografia do aplicativo.

P: O que posso fazer com o CloudHSM?

Você pode usar o serviço CloudHSM para apoiar diversos casos de uso e aplicativos, como criptografia de banco de dados, Digital Rights Management (DRM – Gerenciamento de direitos digitais), Public Key Infrastructure (PKI – Infraestrutura de chaves públicas), autenticação e autorização, assinatura de documentos e processamento de transações.

P: Como funciona o CloudHSM?

Ao usar o serviço AWS CloudHSM, você cria um cluster do CloudHSM. Os Clusters podem conter até 32 HSMs individuais espalhados entre várias AZs, cujo balanceamento de carga e sincronização são feitos automaticamente. Você recebe acesso unilocatário dedicado a cada HSM no cluster. Cada HSM é exibido como um recurso de rede na Virtual Private Cloud (VPC). Como parte do provisionamento, você recebe credenciais de administrador para o cluster e pode criar outros usuários e administradores, conforme for exigido. A adição e a remoção de HSMs do cluster requer uma chamada única para a API do AWS CloudHSM (ou na linha de comando usando a AWS CLI). Depois de criar e inicializar um cluster do CloudHSM, você poderá configurar um cliente na instância EC2 que permita que aplicativos usem o cliente em uma conexão de rede segura e autenticada.

Os administradores da Amazon monitoram a integridade dos HSMs, mas não dispõem de nenhum tipo de acesso para configurá-los, gerenciá-los nem usá-los. Os seus aplicativos usam APIs padrão de criptografia juntamente com o software cliente do HSM, instalado na instância do aplicativo, para enviar solicitações de criptografia ao HSM. O software cliente mantém um canal seguro para todos os HSMs no cluster e envia solicitações nesse canal. Então, o HSM executa as operações e retorna os resultados pelo canal seguro. Em seguida, o cliente envia o resultado ao aplicativo por meio da API de criptografia.

P: Eu não tenho uma VPC no momento. Ainda posso usar o AWS CloudHSM?

Não. Para proteger e isolar o seu CloudHSM de outros clientes da Amazon, ele deve ser provisionado dentro de uma VPC. É fácil criar uma VPC. Consulte o Guia de conceitos básicos do Amazon VPC para obter mais informações.

P: O meu aplicativo precisa residir na mesma VPC que o cluster do CloudHSM?

Não, mas é necessário que o servidor ou a instância em que o aplicativo e o cliente HSM estejam em execução apresentem disponibilidade de rede (IP) para todos os HSMs no cluster. Você pode estabelecer conectividade de rede do seu aplicativo ao HSM de diversas formas, incluindo a operação do aplicativo na mesma VPC, com emparelhamento de VPCs, com uma conexão VPN ou com o Direct Connect. Consulte o VPC Peering Guide e o VPC User Guide para obter mais detalhes.

P: O CloudHSM funciona com HSMs locais?

Sim. Embora o CloudHSM não interopere diretamente com HSMs locais, existe a possibilidade de migrar ou sincronizar chaves entre eles, dependendo do caso de uso, do tipo de chaves e do tipo de HSM local. Abra um caso com o nosso suporte técnico no Console da AWS para obter auxílio relacionado a esse assunto.

P: Como o meu aplicativo usa o CloudHSM?

Integramos e testamos o CloudHSM com várias soluções de software de terceiros, como banco de dados Oracle 11g e 12c, e servidores web, como Apache e Nginx, para transferir o processamento de SSL. Consulte o Guia do usuário do CloudHSM para obter mais informações.

Se você estiver desenvolvendo o seu próprio aplicativo personalizado, ele poderá usar as APIs padrão com suporte do CloudHSM, como PKCS#11 e Java JCA/JCE (Java Cryptography Architecture/Java Cryptography Extensions). O suporte para Microsoft CAPI/CNG será disponibilizado em breve. Consulte o Guia do usuário do CloudHSM para obter exemplos de código e ajuda com os conceitos básicos.

P: Posso usar o CloudHSM para armazenar chaves ou criptografar dados usados por outros serviços da AWS?

Sim. Você pode fazer toda a criptografia no aplicativo integrado ao CloudHSM. Nesse caso, os Serviços da AWS, como o S3 ou o EBS, só conseguiriam ver seus dados criptografados.

P: Outros Serviços da AWS podem usar o CloudHSM para armazenar e gerenciar chaves?

Hoje, os Serviços da AWS não se integram diretamente ao CloudHSM. Se você desejar usar a criptografia no lado do servidor oferecida por vários Serviços da AWS (como o EBS, o S3 ou o RDS), considere utilizar o AWS Key Management Service. Ao longo do tempo, poderemos integrar o CloudHSM com outros serviços da AWS. Se você está interessado, entre em contato conosco.

P: O CloudHSM pode ser usado para executar tradução de bloco de número de identificação pessoal (PIN) ou outras operações de criptografia usadas com transações de pagamento de débito?

No momento, o CloudHSM oferece HSMs de propósito geral. Com o tempo, poderemos oferecer funções de pagamento. Se você está interessado, entre em contato conosco.

P: Como é feita a comparação entre o AWS Key Management Service (KMS) ao AWS CloudHSM?

O AWS Key Management Service (KMS) é um serviço gerenciado multilocatário que permite o uso e o gerenciamento de chaves de criptografia. Ambos os serviços oferecem um alto nível de segurança para suas chaves criptográficas. O AWS CloudHSM disponibiliza um HSM dedicado, compatível com FIPS 140-2 nível 3, sob seu controle exclusivo, diretamente na Amazon Virtual Private Cloud (VPC).

P: Quando devo usar o AWS CloudHSM em vez do AWS KMS?

Você deve considerar o uso do AWS CloudHSM se precisar dos itens abaixo:

  • Chaves armazenadas em módulos de segurança de hardware validados, dedicados e de terceiros sob seu controle exclusivo.
  • Compatibilidade com o FIPS 140-2.
  • Integração a aplicativos que usem interfaces do tipo PKCS#11, Java JCE ou Microsoft CNG.
  • Aceleração criptográfica na VPC de alta performance (criptografia em massa).

P: Os HSMs do Safenet serão descontinuados?

Não. Apesar de acharmos o conjunto de recursos e o custo do novo serviço CloudHSM alternativas bem mais interessantes, manteremos o AWS CloudHSM Classic para os clientes atuais. Os recursos estarão disponíveis em breve para auxiliar na migração do CloudHSM Classic para o novo serviço.

P: Como faço para começar a usar o CloudHSM?

Você pode provisionar um cluster do CloudHSM no Console do CloudHSM, ou ao fazer algumas chamadas de API por meio do AWS SDK ou da API. Para saber mais, consulte o Guia do usuário do CloudHSM, para obter informações sobre os conceitos básicos, a documentação do CloudHSM, para obter informações sobre a API do CloudHSM, ou a página Ferramentas da Amazon Web Services, para obter mais informações sobre o SDK.

P: Como faço para encerrar o serviço CloudHSM?

Você pode usar a API ou o SDK do CloudHSM para excluir HSMs e parar de usar o serviço. Consulte o CloudHSM User Guide para obter mais instruções.

P: Como serão a cobrança e o faturamento do uso do serviço AWS CloudHSM?

Será cobrada uma taxa por hora para cada hora (ou hora parcial) em que um HSM for provisionado para um cluster do CloudHSM. Um cluster sem HSMs não será cobrado. Também não será cobrado o armazenamento automático de backups criptografados. A Amazon se reserva o direito de cobrar pela importação e pela exportação de dados na rede de um AWS CloudHSM que excedam 5.000 GB por mês. Para obter mais informações, acesse a página de definição de preço do CloudHSM.

P: Há um nível gratuito para o serviço CloudHSM?

Não há nível gratuito disponível para o CloudHSM.

P: Há pré-requisitos para o cadastramento no CloudHSM?

Sim. Para começar a usar o CloudHSM, há alguns pré-requisitos, incluindo uma Virtual Private Cloud (VPC) na região onde você deseja usar o serviço CloudHSM. Consulte o Guia do usuário do CloudHSM para obter mais detalhes.

P: É necessário gerenciar o firmware no HSM?

Não. A AWS gerencia o firmware no hardware. O Firmware é mantido por um terceiro, e cada firmware deve ser avaliado pela NIST para comprovar a compatibilidade com o FIPS 140-2 nível 3. Apenas o firmware que tenha sido criptograficamente assinado pela chave do FIPS (à qual a AWS não tem acesso) poderá ser instalado.

P: Quantos HSMs devo ter no meu cluster do CloudHSM?

A AWS recomenda enfaticamente o uso de pelo menos dois HSMs em duas AZs diferentes para qualquer carga de trabalho de produção. Para cargas de trabalho de missão crítica, recomendamos no mínimo três HSMs em pelo menos duas AZs separadas. O cliente CloudHSM administrará automaticamente qualquer falha e balanceamento de carga de HSM em dois ou mais HSMs de modo transparente para o seu aplicativo.

P: Quem é responsável pela durabilidade das chaves?

Diariamente, a AWS faz backups criptografados automáticos do cluster do CloudHSM, bem como faz backups adicionais quando ocorrem eventos de ciclo de vida do cluster (como a adição ou a remoção de um HSM). Durante o período de 24 horas entre os backups, você será inteiramente responsável pela durabilidade do material de chaves criado ou importado para o cluster. Recomendamos enfaticamente garantir que qualquer chave criada seja sincronizada com pelo menos dois HSMs em duas AZs diferentes para garantir a durabilidade das chaves. Consulte o Guia do usuário do CloudHSM para obter mais detalhes sobre a verificação da sincronização de chaves.

P: Como faço para definir uma configuração de alta disponibilidade (HA)?

A alta disponibilidade será disponibilizada automaticamente quando existirem pelos menos dois HSMs no cluster do CloudHSM. Não é exigida nenhuma configuração adicional. No caso de falha de um HSM no cluster, ele será substituído automaticamente. Além disso, todos os clientes serão atualizados para refletir a nova configuração sem que nenhum processamento seja interrompido. HSMs adicionais podem ser incluídos no cluster por meio da API da AWS ou do AWS SDK, o que aumenta a disponibilidade sem interromper aplicativos.

P: Quantos HSMs podem ser conectados em um cluster do CloudHSM?

Um único cluster do CloudHSM pode conter até 32 HSMs.

P: Posso fazer backup do conteúdo de um CloudHSM?

O backup do cluster do CloudHSM é feito diariamente pela AWS. As chaves também podem ser exportadas ("encapsuladas") do cluster e armazenadas localmente, contanto que elas não tenham sido geradas como "não exportáveis". No momento, nenhuma outra opção de backup está disponível, apesar de termos a intenção de disponibilizar um recurso de backup local mais abrangente em breve.

P: Há algum SLA para o CloudHSM?

No momento, não há SLA para o CloudHSM.

P: O meu CloudHSM é compartilhado com outros clientes da AWS?

Não. Como parte do serviço, você recebe acesso unilocatário ao HSM. O hardware subjacente pode ser compartilhado com outros clientes, mas o HSM só pode ser acessado por você.

P: Como a AWS gerencia o HSM sem ter acesso às minhas chaves de criptografia?

A separação de responsabilidades e o controle de acesso baseado em funções são inerentes ao projeto do AWS CloudHSM. A AWS tem uma credencial limitada ao HSM que nos permite monitorar e manter a integridade e a disponibilidade do HSM, fazer backups criptografados, além de extrair e publicar logs de auditorias para os CloudWatch Logs. A AWS não pode ver, acessar nem usar chaves, tampouco usar o HSM para executar nenhuma operação criptográfica com elas.

Consulte o Guia do usuário do CloudHSM para obter mais informações sobre a separação de responsabilidades e os recursos que cada categoria de usuário tem no HSM.

P: Posso monitorar o dispositivo HSM?

Sim. O CloudHSM publica várias métricas do CloudWatch para clusters do CloudHSM e HSMs individuais. É possível usar o Console, a API ou o SDK do AWS CloudWatch para obter ou enviar alarmes sobre essas métricas.

P: Qual é a "fonte de entropia" (fonte de aleatoriedade) do CloudHSM?

Cada HSM tem um Deterministic Random Bit Generator (DRBG – Gerador de bits aleatórios determinísticos) validado pelo FIPS e propagado por um True Random Number Generator (TRNG – Gerador de números aleatórios verdadeiros) no módulo de hardware do HSM compatível com o SP800-90B. Essa é uma fonte de entropia de alta qualidade capaz de produzir 20 Mb por segundo de entropia por HSM.

P: O que acontece se alguém tentar violar o dispositivo HSM?

O CloudHSM tem detecção de tentativas de violação física e lógica, bem como mecanismos de resposta que acionam a exclusão da chave ("zeroização") do dispositivo. O HSM foi projetado para detectar tentativas de violação, caso a barreira física do HSM seja violada. Além disso, depois de cinco tentativas malsucedidas de acessar um HSM usando credenciais de Crypto Officer (CO), o dispositivo HSM se autoexclui. Depois de cinco tentativas malsucedidas de acessar um HSM usando credenciais de Crypto User (CU), o usuário será bloqueado e deverá ser desbloqueado por um CO.

P: O que acontece em caso de falha?

A Amazon monitora e mantém o HSM e a rede para verificar as condições de disponibilidade e erros. Se um HSM falhar ou perder a conectividade de rede, o HSM será substituído automaticamente. Você pode verificar a saúde de um HSM individual usando a API, o SDK ou as ferramentas ILC do CloudHSM, bem como verificar a saúde geral do serviço a qualquer momento usando o Painel de status dos serviços AWS.

P: Posso perder minhas chaves se um único dispositivo HSM falhar?

Sim. Existe a possibilidade de perda das chaves criadas desde o backup diário mais recente, caso o cluster do CloudHSM usado falhe e dois HSMs ou mais não estejam sendo utilizados. A Amazon recomenda enfaticamente o uso de dois ou mais HSMs, em zonas de disponibilidade separadas e em qualquer cluster do CloudHSM de produtividade para evitar a perda de chaves criptográficas.

P: A Amazon consegue recuperar minhas chaves se eu perder as credenciais para acesso ao dispositivo?

Não. A Amazon não tem acesso a suas chaves ou credenciais e, portanto, não será capaz de recuperar suas chaves se você perder suas credenciais.

P: Como saber se posso confiar nos dispositivos CloudHSM?

O CloudHSM foi criado para cumprir as normas do Federal Information Processing Standard (FIPS) 140-2 nível 3. Você pode encontrar o perfil de segurança do FIPS 140-2 para o hardware subjacente usado pelo CloudHSM aqui: http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2850.pdf

Siga o procedimento do Guia do usuário do CloudHSM (sob o item Verify the Authenticity of Your HSM) para confirmar se você tem um HSM autêntico no mesmo hardware de modelo especificado na política de segurança da NIST vinculada acima.

P: Como faço para operar o CloudHSM no modo FIPS 140-2?

O CloudHSM encontra-se permanentemente no modo FIPS 140-2. Isso pode ser verificado usando as ferramentas da ILC, conforme está documentado no Guia do usuário do CloudHSM, e executando o comando getHsmInfo, que indicará o status do modo FIPS.

P: O serviço CloudHSM aceita o FIPS 140-2 nível 3?

Sim. O CloudHSM encontra-se permanentemente no modo FIPS 140-2 nível 3.

P: Como posso distribuir a credencial de partição HSM com segurança para as minhas instâncias?

Consulte o post do AWS Security Blog a seguir que descreve o processo em Using IAM roles to distribute non-AWS credentials to your EC2 instances.

P: Posso obter um histórico de todas as chamadas de API do CloudHSM realizadas na minha conta?

Sim. O AWS CloudTrail registra as chamadas de API da AWS realizadas na sua conta. O histórico de chamadas de API da AWS gerado pelo CloudTrail permite executar análises de segurança, rastreamento de alterações de recursos e auditoria de compatibilidade. Saiba mais sobre o CloudTrail na página inicial do CloudTrail e ative-o no Console de Gerenciamento da AWS do CloudTrail.

P: Quais eventos não são registrados no CloudTrail?

O CloudTrail não inclui nenhum dispositivo HSM nem logs de acesso. Esses itens são disponibilizados diretamente na sua conta da AWS por meio do CloudWatch Logs. Consulte o Guia do usuário do CloudHSM para obter mais detalhes.

P: Quais iniciativas de compatibilidade da AWS incluem o CloudHSM?

Consulte o site de compatibilidade com a AWS para obter mais informações sobre quais programas de compatibilidade abordam o CloudHSM. Diferentemente de outros Serviços da AWS, os requisitos de compatibilidade relacionados ao CloudHSM são atendidos com frequência pela validação do FIPS 140-2 nível 3 do próprio hardware, em vez de como parte de um programa de auditoria.

P: Por que o FIPS 140-2 nível 3 é importante?

O FIPS 140-2 nível 3 é um requisito de determinados casos de uso, inclusive da assinatura de documentos, de pagamentos ou da operação como uma CA pública para certificados SSL.

P: Como posso solicitar relatórios de conformidade que incluem o CloudHSM no escopo?

Você pode solicitar relatórios de conformidade por meio do representante de desenvolvimento de negócios. Se você não tem um, pode solicitá-lo aqui.

P: Quantas operações de criptografia por segundo o CloudHSM pode executar?

A performance de HSMs individuais variam com base em uma carga de trabalho específica. A tabela abaixo mostra a performance aproximada de HSMs únicos para vários algoritmos criptográficos comuns. Cada cluster do CloudHSM pode ter no máximo 32 HSMs, disponibilizando uma performance aproximadamente 32 vezes maior do que o apresentado na tabela abaixo. A performance pode variar com base na configuração exata e nos tamanhos de dados, por isso nós recomendamos fazer o teste de carga de aplicativos com o CloudHSM para determinar as necessidades de escalabilidade exatas.

Assinatura/verificação de RSA de 2048 bits

1.100 por segundo

EC P256

315 pontos de mul por segundo

AES 256

Criptografia em massa 300 Mb por segundo full-duplex

Geração de chaves de RSA de 2048 bits

Aproximadamente 0,5 por segundo

Geração de número aleatório (CSPRNG)

20 MB por segundo

P: Quantas chaves podem ser armazenadas em uma instância do CloudHSM?

Um cluster do CloudHSM pode armazenar até 3.500 chaves de qualquer tipo ou tamanho.

P: O CloudHSM aceita o Amazon RDS Oracle TDE?

Não. O Amazon RDS Oracle TDE não é aceito. No entanto, o Oracle TDE é aceito nos bancos de dados Oracle (11g e 12c) em operação no EC2. Consulte o Guia do usuário do CloudHSM para obter detalhes adicionais.

P: O que é o cliente CloudHSM?

O cliente CloudHSM é um pacote de software disponibilizado pela AWS que permite que você e seus aplicativos interajam com clusters do CloudHSM.

P: O cliente CloudHSM disponibiliza acesso da AWS ao meu cluster do CloudHSM?

Não. O cliente CloudHSM é de código aberto e publicado sob uma licença BSD. A distribuição de fonte completa está disponível mediante solicitação e pode ser criada usando suas próprias ferramentas de compilador. Para sua conveniência, como padrão, disponibilizamos um RPM binário.

P: O que são as ferramentas da Interface da Linha de Comando (ILC) do CloudHSM?

O cliente CloudHSM é disponibilizado com um conjunto de ferramentas da ILC que permite administrar e usar o HSM da linha de comando. O suporte para Linux já está disponível hoje. O suporte para macOS e Windows será disponibilizado em breve. Essas ferramentas também estão disponíveis no mesmo pacote do cliente CloudHSM.

P: Como fazer download e começar a usar as ferramentas da ILC do CloudHSM?

Você encontrará instruções no Guia do usuário do CloudHSM.

P: As ferramentas ILC do CloudHSM permitem que a AWS acesse o conteúdo do HSM?

Não. As ferramentas do CloudHSM se comunicam diretamente com o cluster do CloudHSM por meio de um canal protegido e mutuamente autenticado. A AWS não pode observar nenhuma comunicação entre o cliente, as ferramentas e o HSM, ela é criptografada de ponta a ponta.

P: Em quais sistemas operacionais posso usar as ferramentas do cliente e da ILC do CloudHSM?

Hoje, diversas variações de Linux contam com suporte (versões modernas de Amazon Linux, Redhat, Centos e Ubuntu). O suporte para Microsoft Windows e Apple macOS será disponibilizado em breve. Entre em contato conosco, caso deseje usar as ferramentas da ILC e do cliente CloudHSM em outros sistemas operacionais.

P: Quais são os requisitos de conectividade de rede para usar as ferramentas da ILC do CloudHSM?

O host em que você está executando o cliente CloudHSM e/ou usando as ferramentas da ILC devem apresentar disponibilidade de rede para todos os HSMs no cluster do CloudHSM.

P: O que posso fazer com a API e o SDK do CloudHSM?

É possível criar, modificar, excluir e obter o status dos HSMs e dos clusters do CloudHSM. O que você pode fazer com a API do AWS CloudHSM é limitado às operações que a AWS pode executar com o acesso restrito que ela tem. A API não pode acessar o conteúdo do HSM, modificar nenhum usuário/nenhuma política, nem outras configurações. Para saber mais, consulte a documentação do CloudHSM, para obter informações sobre a API, ou a página Ferramentas da Amazon Web Services, para obter mais informações sobre o SDK.

P: Como é executada a manutenção de rotina nos dispositivos HSM?

Os procedimentos de manutenção de rotina da AWS para dispositivos HSM foram projetados para evitar tempo de inatividade simultâneo em várias AZs na mesma região.

A AWS monitora e mantém o HSM, e pode ser necessário remover um HSM do serviço para fazer upgrade, substituir ou testar um hardware específico. Em circunstâncias normais, essas operações não devem levar mais de alguns minutos, no caso de uma substituição, e não devem interferir com a performance do cluster do CloudHSM. É possível que aplicativos que estejam usando ativamente um HSM específico no cluster apresentem uma interrupção momentânea quando substituídos, enquanto o cliente CloudHSM tenta mais uma vez executar a operação em outro HSM no cluster.

A AWS não executará manutenção de rotina em dispositivos HSM em várias AZs dentro da mesma região no mesmo período de 24 horas.

Em circunstâncias imprevistas, é possível que a AWS possa executar manutenções de emergência sem notificação prévia. A AWS tentará evitar essa situação, bem como situações em que a manutenção de emergência seja executada dentro do mesmo período de 24 horas em dispositivos HSM em várias AZs na mesma região.

A AWS recomenda enfaticamente o uso de clusters do CloudHSM com dois ou mais HSMs em zonas de disponibilidade separadas para evitar qualquer possível interrupção.

P: Estou tendo um problema com o CloudHSM. O que posso fazer?

Entre em contato com o AWS Support.


Para dúvidas quanto ao AWS CloudHSM Classic, consulte as perguntas frequentes sobre o AWS CloudHSM Classic.