P: O que é o AWS CloudHSM?

O serviço AWS CloudHSM ajuda a cumprir requisitos de conformidade corporativos, contratuais e normativos para a segurança de dados usando instâncias de Hardware Security Module (HSM – Módulo de segurança de hardware) dedicadas dentro da Nuvem AWS. Os parceiros da AWS e da AWS Marketplace oferecem diversas soluções para a proteção de dados confidenciais dentro da plataforma AWS. Porém, para alguns aplicativos e dados sujeitos a obrigações contratuais ou normativas rigorosas para o gerenciamento de chaves criptográficas, ocasionalmente é necessário oferecer proteção adicional. O CloudHSM complementa as soluções existentes de proteção de dados e permite proteger as chaves de criptografia dentro de HSMs projetados e validados de acordo com padrões governamentais para o gerenciamento seguro de chaves. O CloudHSM permite gerar, armazenar e gerenciar chaves de criptografia usadas para a criptografia de dados de tal forma que somente você tenha acesso a elas.

P: O que é um Hardware Security Module (HSM)?

Um Hardware Security Module (HSM) oferece armazenamento de chaves e operações criptográficas seguras em um dispositivo de hardware inviolável. Os HSMs são projetados para armazenar material de chaves criptográficas com segurança e usar esse material sem exposição ao exterior do perímetro de criptografia do hardware.

P: O que posso fazer com o CloudHSM?

Você pode usar o serviço CloudHSM para apoiar diversos casos de uso e aplicativos, como criptografia de banco de dados, Digital Rights Management (DRM – Gerenciamento de direitos digitais), Public Key Infrastructure (PKI – Infraestrutura de chaves públicas), autenticação e autorização, assinatura de documentos e processamento de transações.

P: Como funciona o CloudHSM?

Ao usar o serviço AWS CloudHSM, você cria um cluster do CloudHSM. Os clusters podem conter até 32 instâncias individuais de HSMs distribuídas entre várias zonas de disponibilidade, com sincronização e balanceamento de carga automáticos. Você recebe acesso unilocatário dedicado a cada instância de HSM no cluster. Cada HSM é exibido como um recurso de rede na Virtual Private Cloud (VPC). Como parte do provisionamento, você recebe credenciais de administrador para o cluster e pode criar outros usuários e administradores, conforme for exigido. A adição e a remoção de HSMs do cluster requer uma chamada única para a API do AWS CloudHSM (ou na linha de comando usando a AWS CLI). Depois de criar e inicializar um cluster do CloudHSM, você poderá configurar um cliente na instância EC2 que permita que aplicativos usem o cliente em uma conexão de rede segura e autenticada.

Os administradores da Amazon monitoram a integridade dos HSMs, mas não dispõem de nenhum tipo de acesso para configurá-los, gerenciá-los nem usá-los. Os seus aplicativos usam APIs padrão de criptografia juntamente com o software cliente do HSM, instalado na instância do aplicativo, para enviar solicitações de criptografia ao HSM. O software cliente mantém um canal seguro para todos os HSMs no cluster e envia solicitações nesse canal. Então, o HSM executa as operações e retorna os resultados pelo canal seguro. Em seguida, o cliente envia o resultado ao aplicativo por meio da API de criptografia.

P: Eu não tenho uma VPC no momento. Ainda posso usar o AWS CloudHSM?

Não. Para proteger e isolar o seu CloudHSM de outros clientes da Amazon, ele deve ser provisionado dentro de uma VPC. É fácil criar uma VPC. Consulte o Guia de conceitos básicos do Amazon VPC para obter mais informações.

P: O meu aplicativo precisa residir na mesma VPC que o cluster do CloudHSM?

Não, mas é necessário que o servidor ou a instância em que o aplicativo e o cliente HSM estejam em execução possam ser alcançados pela rede (IP) por todos os HSMs no cluster. Você pode estabelecer conectividade de rede do seu aplicativo ao HSM de diversas formas, incluindo a operação do aplicativo na mesma VPC, com emparelhamento de VPCs, com uma conexão VPN ou com o Direct Connect. Consulte o VPC Peering Guide e o VPC User Guide para obter mais detalhes.

P: O CloudHSM funciona com HSMs locais?

Sim. Embora o CloudHSM não interopere diretamente com HSMs locais, existe a possibilidade de migrar ou sincronizar chaves entre eles, dependendo do caso de uso, do tipo de chaves e do tipo de HSM local. Abra um caso com o nosso suporte técnico no Console da AWS para obter auxílio relacionado a esse assunto.

P: Como o meu aplicativo usa o CloudHSM?

Integramos e testamos o CloudHSM com várias soluções de software de terceiros, como banco de dados Oracle 11g e 12c, e servidores web, como Apache e Nginx, para transferir o processamento de SSL. Consulte o Guia do usuário do CloudHSM para obter mais informações.

Se você estiver desenvolvendo o seu próprio aplicativo personalizado, ele poderá usar as APIs padrão com suporte do CloudHSM, como PKCS#11 e Java JCA/JCE (Java Cryptography Architecture/Java Cryptography Extensions). O suporte para Microsoft CAPI/CNG será disponibilizado em breve. Consulte o Guia do usuário do CloudHSM para obter exemplos de código e ajuda com os conceitos básicos.

P: Posso usar o CloudHSM para armazenar chaves ou criptografar dados usados por outros serviços da AWS?

Sim. Você pode fazer toda a criptografia no aplicativo integrado ao CloudHSM. Nesse caso, os Serviços da AWS, como o S3 ou o EBS, só conseguiriam ver seus dados criptografados.

P: Outros Serviços da AWS podem usar o CloudHSM para armazenar e gerenciar chaves?

Hoje, os Serviços da AWS não se integram diretamente ao CloudHSM. Se você desejar usar a criptografia no lado do servidor oferecida por vários Serviços da AWS (como o EBS, o S3 ou o RDS), considere utilizar o AWS Key Management Service. Ao longo do tempo, poderemos integrar o CloudHSM com outros serviços da AWS. Se você está interessado, entre em contato conosco.

P: O CloudHSM pode ser usado para executar tradução de bloco de número de identificação pessoal (PIN) ou outras operações de criptografia usadas com transações de pagamento de débito?

No momento, o CloudHSM oferece HSMs de propósito geral. Com o tempo, poderemos oferecer funções de pagamento. Se você está interessado, entre em contato conosco.

P: Como é feita a comparação entre o AWS Key Management Service (KMS) ao AWS CloudHSM?

O AWS Key Management Service (KMS) é um serviço gerenciado multilocatário que permite o uso e o gerenciamento de chaves de criptografia. Ambos os serviços oferecem um alto nível de segurança para suas chaves criptográficas. O AWS CloudHSM disponibiliza um HSM dedicado, compatível com FIPS 140-2 nível 3, sob seu controle exclusivo, diretamente na Amazon Virtual Private Cloud (VPC).

P: Quando devo usar o AWS CloudHSM em vez do AWS KMS?

Você deve considerar o uso do AWS CloudHSM se precisar dos itens abaixo:

  • Chaves armazenadas em módulos de segurança de hardware validados, dedicados e de terceiros sob seu controle exclusivo.
  • Compatibilidade com o FIPS 140-2.
  • Integração a aplicativos que usem interfaces do tipo PKCS#11, Java JCE ou Microsoft CNG.
  • Aceleração criptográfica na VPC de alta performance (criptografia em massa).

P: Os HSMs do Safenet serão descontinuados?

Não. Apesar de acharmos o conjunto de recursos e o custo do novo serviço CloudHSM alternativas bem mais interessantes, manteremos o AWS CloudHSM Classic para os clientes atuais. Os recursos estarão disponíveis em breve para auxiliar na migração do CloudHSM Classic para o novo serviço.

P: Como faço para começar a usar o CloudHSM?

Você pode provisionar um cluster do CloudHSM no Console do CloudHSM, ou ao fazer algumas chamadas de API por meio do AWS SDK ou da API. Para saber mais, consulte o Guia do usuário do CloudHSM, para obter informações sobre os conceitos básicos, a documentação do CloudHSM, para obter informações sobre a API do CloudHSM, ou a página Ferramentas da Amazon Web Services, para obter mais informações sobre o SDK.

P: Como faço para encerrar o serviço CloudHSM?

Você pode usar a API ou o SDK do CloudHSM para excluir HSMs e parar de usar o serviço. Consulte o CloudHSM User Guide para obter mais instruções.

P: Como serão a cobrança e o faturamento do uso do serviço AWS CloudHSM?

Será cobrada uma taxa por hora para cada hora (ou hora parcial) em que um HSM for provisionado para um cluster do CloudHSM. Um cluster sem HSMs não será cobrado. Também não será cobrado o armazenamento automático de backups criptografados. A Amazon se reserva o direito de cobrar pela importação e pela exportação de dados na rede de um AWS CloudHSM que excedam 5.000 GB por mês. Para obter mais informações, acesse a página de definição de preço do CloudHSM.

P: Há um nível gratuito para o serviço CloudHSM?

Não há nível gratuito disponível para o CloudHSM.

P: Há pré-requisitos para o cadastramento no CloudHSM?

Sim. Para começar a usar o CloudHSM, há alguns pré-requisitos, incluindo uma Virtual Private Cloud (VPC) na região onde você deseja usar o serviço CloudHSM. Consulte o Guia do usuário do CloudHSM para obter mais detalhes.

P: É necessário gerenciar o firmware no HSM?

Não. A AWS gerencia o firmware no hardware. O Firmware é mantido por um terceiro, e cada firmware deve ser avaliado pela NIST para comprovar a compatibilidade com o FIPS 140-2 nível 3. Apenas o firmware que tenha sido criptograficamente assinado pela chave do FIPS (à qual a AWS não tem acesso) poderá ser instalado.

P: Quantos HSMs devo ter no meu cluster do CloudHSM?

A AWS recomenda enfaticamente o uso de pelo menos dois HSMs em duas AZs diferentes para qualquer carga de trabalho de produção. Para cargas de trabalho de missão crítica, recomendamos no mínimo três HSMs em pelo menos duas AZs separadas. O cliente CloudHSM administrará automaticamente qualquer falha e balanceamento de carga de HSM em dois ou mais HSMs de modo transparente para o seu aplicativo.

P: Quem é responsável pela durabilidade das chaves?

Diariamente, a AWS faz backups criptografados automáticos do cluster do CloudHSM, bem como faz backups adicionais quando ocorrem eventos de ciclo de vida do cluster (como a adição ou a remoção de um HSM). Durante o período de 24 horas entre os backups, você será inteiramente responsável pela durabilidade do material de chaves criado ou importado para o cluster. Recomendamos enfaticamente garantir que qualquer chave criada seja sincronizada com pelo menos dois HSMs em duas AZs diferentes para garantir a durabilidade das chaves. Consulte o Guia do usuário do CloudHSM para obter mais detalhes sobre a verificação da sincronização de chaves.

P: Como faço para definir uma configuração de alta disponibilidade (HA)?

A alta disponibilidade será disponibilizada automaticamente quando existirem pelos menos dois HSMs no cluster do CloudHSM. Não é exigida nenhuma configuração adicional. No caso de falha de um HSM no cluster, ele será substituído automaticamente. Além disso, todos os clientes serão atualizados para refletir a nova configuração sem que nenhum processamento seja interrompido. HSMs adicionais podem ser incluídos no cluster por meio da API da AWS ou do AWS SDK, o que aumenta a disponibilidade sem interromper aplicativos.

P: Quantos HSMs podem ser conectados em um cluster do CloudHSM?

Um único cluster do CloudHSM pode conter até 32 HSMs.

P: Posso fazer backup do conteúdo de um CloudHSM?

O backup do cluster do CloudHSM é feito diariamente pela AWS. As chaves também podem ser exportadas ("encapsuladas") do cluster e armazenadas localmente, desde que não tenham sido geradas como "não exportáveis". No momento, nenhuma outra opção de backup está disponível, apesar de termos a intenção de disponibilizar um recurso de backup local mais abrangente em breve.

P: Há algum SLA para o CloudHSM?

No momento, não há SLA para o CloudHSM.

P: O meu CloudHSM é compartilhado com outros clientes da AWS?

Não. Como parte do serviço, você recebe acesso unilocatário ao HSM. O hardware subjacente pode ser compartilhado com outros clientes, mas o HSM só pode ser acessado por você.

P: Como a AWS gerencia o HSM sem ter acesso às minhas chaves de criptografia?

A separação de responsabilidades e o controle de acesso baseado em funções são inerentes ao projeto do AWS CloudHSM. A AWS tem uma credencial limitada ao HSM que nos permite monitorar e manter a integridade e a disponibilidade do HSM, fazer backups criptografados, além de extrair e publicar logs de auditorias para os CloudWatch Logs. A AWS não pode ver, acessar nem usar chaves, tampouco usar o HSM para executar nenhuma operação criptográfica com elas.

Consulte o Guia do usuário do CloudHSM para obter mais informações sobre a separação de responsabilidades e os recursos que cada categoria de usuário tem no HSM.

P: Posso monitorar meu HSM?

Sim. O CloudHSM publica várias métricas do CloudWatch para clusters do CloudHSM e instâncias individuais de HSMs. É possível usar o Console, a API ou o SDK do AWS CloudWatch para obter ou enviar alarmes sobre essas métricas.

P: Qual é a "fonte de entropia" (fonte de aleatoriedade) do CloudHSM?

Cada HSM tem um Deterministic Random Bit Generator (DRBG – Gerador de bits aleatórios determinísticos) validado pelo FIPS e propagado por um True Random Number Generator (TRNG – Gerador de números aleatórios verdadeiros) no módulo de hardware do HSM compatível com o SP800-90B. Essa é uma fonte de entropia de alta qualidade capaz de produzir 20 Mb por segundo de entropia por HSM.

P: O que acontece se alguém tentar violar o hardware do HSM?

O CloudHSM tem detecção de tentativas de violação física e lógica, bem como mecanismos de resposta que acionam a exclusão da chave ("zeramento") do hardware. O hardware foi projetado para detectar violações se sua barreira física for rompida. As instâncias do HSM também são protegidas contra ataques de login por força bruta. Após um número fixo de tentativas malsucedidas para acessar um HSM com credenciais de Crypto Officer (CO), a instância do HSM será zerada automaticamente. Depois de um número fixo de tentativas malsucedidas de acessar um HSM usando credenciais de Crypto User (CU), o usuário será bloqueado e deverá ser desbloqueado por um CO.

P: O que acontece em caso de falha?

A Amazon monitora e mantém o HSM e a rede para verificar as condições de disponibilidade e erros. Se um HSM falhar ou perder a conectividade de rede, o HSM será substituído automaticamente. Você pode verificar a integridade de um HSM individual usando a API, o SDK ou as ferramentas da ILC do CloudHSM, bem como verificar a integridade geral do serviço a qualquer momento usando o Painel de Status de Serviços da AWS.

P: Posso perder minhas chaves se uma única instância de HSM falhar?

Sim. Existe a possibilidade de perda das chaves criadas desde o backup diário mais recente, caso o cluster do CloudHSM usado falhe e dois HSMs ou mais não estejam sendo utilizados. A Amazon recomenda enfaticamente o uso de dois ou mais HSMs, em zonas de disponibilidade separadas e em qualquer cluster do CloudHSM de produtividade para evitar a perda de chaves criptográficas.

P: A Amazon consegue recuperar minhas chaves se eu perder as credenciais para acesso ao HSM?

Não. A Amazon não tem acesso a suas chaves ou credenciais e, portanto, não será capaz de recuperar suas chaves se você perder suas credenciais.

P: Como saber se posso confiar no CloudHSM?

O CloudHSM foi criado em hardware validado pelo Federal Information Processing Standard (FIPS) 140-2 nível 3. Você pode encontrar o perfil de segurança do FIPS 140-2 para o hardware usado pelo CloudHSM aqui: http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2850.pdf

P: O serviço CloudHSM oferece suporte ao FIPS 140-2 nível 3?

Sim, o CloudHSM oferece HSMs validados pelo FIPS 140-2 nível 3. Siga o procedimento do Guia do usuário do CloudHSM (sob o item Verify the Authenticity of Your HSM) para confirmar se você tem um HSM autêntico no mesmo hardware de modelo especificado na política de segurança da NIST descrita na pergunta anterior.

P: Como faço para operar o CloudHSM no modo FIPS 140-2?

O CloudHSM encontra-se permanentemente no modo FIPS 140-2. Isso pode ser verificado usando as ferramentas da ILC, conforme está documentado no Guia do usuário do CloudHSM, e executando o comando getHsmInfo, que indicará o status do modo FIPS.

P: Como posso distribuir a credencial de partição HSM com segurança para as minhas instâncias?

Consulte o post do AWS Security Blog a seguir que descreve o processo em Using IAM roles to distribute non-AWS credentials to your EC2 instances.

P: Posso obter um histórico de todas as chamadas de API do CloudHSM realizadas na minha conta?

Sim. O AWS CloudTrail registra as chamadas de API da AWS realizadas na sua conta. O histórico de chamadas de API da AWS gerado pelo CloudTrail permite executar análises de segurança, rastreamento de alterações de recursos e auditoria de compatibilidade. Saiba mais sobre o CloudTrail na página inicial do CloudTrail e ative-o no Console de Gerenciamento da AWS do CloudTrail.

P: Quais eventos não são registrados no CloudTrail?

O CloudTrail não inclui nenhum dispositivo HSM nem logs de acesso. Esses itens são disponibilizados diretamente na sua conta da AWS por meio do CloudWatch Logs. Consulte o Guia do usuário do CloudHSM para obter mais detalhes.

P: Quais iniciativas de compatibilidade da AWS incluem o CloudHSM?

Consulte o site de compatibilidade com a AWS para obter mais informações sobre quais programas de compatibilidade abordam o CloudHSM. Diferentemente de outros Serviços da AWS, os requisitos de compatibilidade relacionados ao CloudHSM são atendidos com frequência pela validação do FIPS 140-2 nível 3 do próprio hardware, em vez de como parte de um programa de auditoria.

P: Por que o FIPS 140-2 nível 3 é importante?

O FIPS 140-2 nível 3 é um requisito de determinados casos de uso, inclusive da assinatura de documentos, de pagamentos ou da operação como uma CA pública para certificados SSL.

P: Como posso solicitar relatórios de conformidade que incluem o CloudHSM no escopo?

Você pode solicitar relatórios de conformidade por meio do representante de desenvolvimento de negócios. Se você não tem um, pode solicitá-lo aqui.

P: Quantas operações de criptografia por segundo o CloudHSM pode executar?

A performance de HSMs individuais variam com base em uma carga de trabalho específica. A tabela abaixo mostra a performance aproximada de HSMs únicos para vários algoritmos criptográficos comuns. Cada cluster do CloudHSM pode ter no máximo 32 HSMs, disponibilizando uma performance aproximadamente 32 vezes maior do que o apresentado na tabela abaixo. A performance pode variar com base na configuração exata e nos tamanhos de dados, por isso nós recomendamos fazer o teste de carga de aplicativos com o CloudHSM para determinar as necessidades de escalabilidade exatas.

Assinatura/verificação de RSA de 2048 bits

1.100 por segundo

EC P256

315 pontos de mul por segundo

AES 256

Criptografia em massa 300 Mb por segundo full-duplex

Geração de chaves de RSA de 2048 bits

Aproximadamente 0,5 por segundo

Geração de número aleatório (CSPRNG)

20 MB por segundo

P: Quantas chaves podem ser armazenadas em uma instância do CloudHSM?

Um cluster do CloudHSM pode armazenar até 3.500 chaves de qualquer tipo ou tamanho.

P: O CloudHSM aceita o Amazon RDS Oracle TDE?

Não. O Amazon RDS Oracle TDE não é aceito. No entanto, o Oracle TDE é aceito nos bancos de dados Oracle (11g e 12c) em operação no EC2. Consulte o Guia do usuário do CloudHSM para obter detalhes adicionais.

P: O que é o cliente CloudHSM?

O cliente CloudHSM é um pacote de software disponibilizado pela AWS que permite que você e seus aplicativos interajam com clusters do CloudHSM.

P: O cliente CloudHSM disponibiliza acesso da AWS ao meu cluster do CloudHSM?

Não. O cliente CloudHSM é de código aberto e publicado sob uma licença BSD. A distribuição de fonte completa está disponível mediante solicitação e pode ser criada usando suas próprias ferramentas de compilador. Para sua conveniência, como padrão, disponibilizamos um RPM binário.

P: O que são as ferramentas da Interface da Linha de Comando (ILC) do CloudHSM?

O cliente CloudHSM é disponibilizado com um conjunto de ferramentas da ILC que permite administrar e usar o HSM da linha de comando. No momento, o Linux e o Microsoft Windows contam com suporte. O suporte para o Apple macOS está no nosso roteiro. Essas ferramentas também estão disponíveis no mesmo pacote do cliente CloudHSM.

P: Como fazer download e começar a usar as ferramentas da ILC do CloudHSM?

Você encontrará instruções no Guia do usuário do CloudHSM.

P: As ferramentas ILC do CloudHSM permitem que a AWS acesse o conteúdo do HSM?

Não. As ferramentas do CloudHSM se comunicam diretamente com o cluster do CloudHSM por meio de um canal protegido e mutuamente autenticado. A AWS não pode observar nenhuma comunicação entre o cliente, as ferramentas e o HSM, ela é criptografada de ponta a ponta.

P: Em quais sistemas operacionais posso usar as ferramentas do cliente e da ILC do CloudHSM?

Hoje, diversas variações de Linux (versões modernas de Amazon Linux, Redhat, Centos e Ubuntu) e o Microsoft Windows contam com suporte. O suporte para o Apple macOS está no nosso roteiro. Entre em contato conosco, caso deseje usar as ferramentas da ILC e do cliente CloudHSM em outros sistemas operacionais.

P: Quais são os requisitos de conectividade de rede para usar as ferramentas da ILC do CloudHSM?

O host em que você está executando o cliente CloudHSM e/ou usando as ferramentas da ILC devem apresentar disponibilidade de rede para todos os HSMs no cluster do CloudHSM.

P: O que posso fazer com a API e o SDK do CloudHSM?

É possível criar, modificar, excluir e obter o status dos HSMs e dos clusters do CloudHSM. O que você pode fazer com a API do AWS CloudHSM é limitado às operações que a AWS pode executar com o acesso restrito que ela tem. A API não pode acessar o conteúdo do HSM, modificar nenhum usuário/nenhuma política, nem outras configurações. Para saber mais, consulte a documentação do CloudHSM para obter informações sobre a API ou a página Ferramentas para a Amazon Web Services para obter mais informações sobre o SDK.

P: Como devo planejar uma migração para o CloudHSM?

Comece garantindo que os algoritmos e modos necessários são compatíveis com o CloudHSM. O seu gerente de contas pode nos enviar solicitações de recursos, se necessário. Em seguida, determine a estratégia de rotação de chaves. As próximas perguntas e respostas contêm sugestões para casos de uso comuns. Você já está pronto para começar a usar com o novo CloudHSM. Vale lembrar que as partições do CloudHSM Classic são equivalentes aos usuários criptográficos (CUs) no novo CloudHSM.

P: Como posso fazer rotação das chaves?

A estratégia de rotação dependerá do tipo de aplicativo. Veja a seguir alguns exemplos comuns.  

  • Chaves privadas para assinatura: geralmente, a chave privada no HSM corresponde a um certificado intermediário que, por sua vez, é assinado por uma raiz corporativa offline. Você fará a rotação das chaves emitindo um novo certificado intermediário. Crie uma nova chave privada e gere o CSR correspondente usando o OpenSSL no CloudHSM. Em seguida, assine o CSR com a mesma raiz corporativa offline. Pode ser necessário registrar esse novo certificado com parceiros que não verificam automaticamente toda a cadeia de certificados. A partir desse momento, você assinará todas as novas solicitações (como solicitações de documentos, códigos ou outros certificados) com a nova chave privada correspondente ao novo certificado. Você pode continuar a verificar assinaturas da chave privada original usando a chave pública correspondente. Nenhuma revogação é necessária. Esse processo é análogo ou da retirada ou do arquivamento de uma chave de assinatura.
  • Oracle Transparent Data Encryption: a carteira pode ser transferida mudando de um armazenamento de chaves de hardware (o HSM original) para um armazenamento de chaves de software e depois retornando para um armazenamento de chaves de hardware (o novo CloudHSM).
  • Chave simétrica para criptografia de envelopes: a criptografia de envelopes é a arquitetura de chaves em que uma chave no HSM criptografa/descriptografa várias chaves de dados no host do aplicativo. Provavelmente, você já tem um processo de rotação de chaves implantado que pode ser executado para descriptografar as chaves de dados com a chave de empacotamento antiga e criptografá-las novamente com a nova chave de empacotamento. A única diferença durante a migração será que a nova chave de empacotamento será criada e usada no CloudHSM e não no HSM original. Se você ainda não tiver uma ferramenta e um processo de rotação de chaves, será necessário criá-los.

P: E se eu não conseguir fazer rotação das chaves?

Em algumas situações, pode ser possível mover as chaves do HSM atual para o novo CloudHSM. Cada aplicativo e caso de uso é diferente. Abra um caso de suporte com detalhes do aplicativo, o tipo de chaves utilizado e se as chaves são exportáveis ou não. Ajudaremos a determinar um caminho de migração adequado.

P: Como é executada a manutenção de rotina nas instâncias do HSM?

Os procedimentos de manutenção de rotina da AWS para o CloudHSM foram projetados para evitar tempo de inatividade simultâneo em várias AZs na mesma região.

A AWS monitora e mantém as instâncias do HSM. Podemos precisar remover uma instância do HSM para atividades de manutenção como atualização, substituição ou teste. Em circunstâncias normais, essas operações não devem levar mais de 20 minutos para uma substituição e não devem interferir com a performance do cluster do CloudHSM. Um aplicativo que usa ativamente um HSM específico do cluster quando esse HSM é substituído pode experimentar uma interrupção temporária enquanto o cliente CloudHSM tenta executar novamente a operação em um HSM diferente no cluster.

A AWS não executará manutenção de rotina em HSMs em várias AZs dentro da mesma região no mesmo período de 24 horas.

Em circunstâncias imprevistas, é possível que a AWS possa executar manutenções de emergência sem notificação prévia. A AWS tentará evitar essa situação, bem como situações em que a manutenção de emergência seja executada dentro do mesmo período de 24 horas em HSMs em várias AZs na mesma região.

A AWS recomenda enfaticamente o uso de clusters do CloudHSM com dois ou mais HSMs em zonas de disponibilidade separadas para evitar qualquer possível interrupção.

P: Estou tendo um problema com o CloudHSM. O que posso fazer?

Entre em contato com o AWS Support.


Para dúvidas quanto ao AWS CloudHSM Classic, consulte as perguntas frequentes sobre o AWS CloudHSM Classic.