CloudHSM – это облачный управляемый аппаратный модуль безопасности (HSM), который позволяет легко генерировать и использовать в облаке AWS собственные ключи шифрования. С помощью CloudHSM можно управлять собственными ключами шифрования, используя модули HSM, проверенные на соответствие стандарту FIPS 140-2 Level 3. CloudHSM обеспечивает гибкость интеграции с приложениями с помощью стандартных API-интерфейсов, таких как PKCS#11, Java Cryptography Extensions (JCE) и библиотеки Microsoft CryptoNG (CNG). CloudHSM соответствует требованиям стандартов и позволяет экспортировать ключи в большинство других доступных на рынке модулей HSM. CloudHSM – это полностью управляемый сервис, который автоматизирует трудоемкие административные задачи, такие как выделение оборудования, исправление программного обеспечения, обеспечение высокой доступности и резервное копирование. CloudHSM также позволяет быстро выполнять масштабирование, добавляя и удаляя ресурсы HSM по требованию, без авансовых платежей.

HA_CloudHSM_GENERAL
100x100_benefit_secure

Генерация и использование ключей шифрования на HSM с высокой степенью защиты

AWS CloudHSM позволяет генерировать и использовать ключи шифрования на модулях HSM, отвечающих требованиям стандарта FIPS 140-2 Level 3. CloudHSM защищает ваши ключи с помощью эксклюзивного однопользовательского доступа к защищенным от несанкционированного доступа модулям HSM в вашем облаке Amazon Virtual Private Cloud (VPC).

100x100_benefit_pay-as-you-go

Оплата по факту использования без авансовых платежей

С помощью AWS CloudHSM можно запускать и останавливать модули HSM по требованию, чтобы выделять ресурсы HSM, когда и где нужно, без авансовых платежей.

100x100_benefit_build

Открытый формат HSM, основанный на отраслевых стандартах

AWS CloudHSM можно использовать для интеграции с собственными приложениями с помощью стандартных API-интерфейсов, таких как PKCS#11, Java Cryptography Extensions (JCE) и библиотеки Microsoft CryptoNG (CNG). Можно также перенести собственные ключи на другие коммерческие решения HSM, чтобы упростить перенос ключей в AWS или из нее.

100x100_benefit_key-management

Полный контроль над ключами шифрования

AWS CloudHSM предоставляет доступ к модулям HSM для создания пользователей и настройки политик модулей HSM по защищенному каналу. Ключи шифрования модулей HSM, которые создаются и используются с CloudHSM, доступны только указанным пользователям. AWS не имеет доступа к ключам шифрования клиента и возможности просматривать их.

100x100_benefit_credential

Защита ключей с помощью строгой аутентификации

AWS CloudHSM также поддерживает кворумную аутентификацию для критических административных функций и функций управления ключами и многофакторную аутентификацию (MFA) с использованием токенов, которые предоставляет клиент.

100x100_benefit_fully-managed

Удобство управления

AWS CloudHSM – это управляемый сервис, который автоматизирует трудоемкие административные задачи, такие как выделение оборудования, исправление программного обеспечения, обеспечение высокой доступности и резервное копирование. Вы можете быстро масштабировать ресурсы HSM, добавление и удаление модулей HSM из кластера доступно по требованию.

Подробнее о примерах использования см. ниже.

CloudHSM_Diagram_SSL-Offloading

Secure Sockets Layer (SSL) и Transport Layer Security (TLS) используются для подтверждения идентификации веб-серверов и установления безопасных HTTPS-соединений через Интернет. AWS CloudHSM можно использовать для разгрузки обработки SSL/TLS веб-серверами. Использование CloudHSM для этой обработки снижает нагрузку на веб-сервер и обеспечивает дополнительную безопасность, сохраняя закрытый ключ веб-сервера в CloudHSM.


CloudHSM_Diagram_private-keys-certificate-authority

В инфраструктуре открытого ключа (PKI) центр сертификации (CA) является доверенным объектом, который выдает цифровые сертификаты. Эти цифровые сертификаты используются для идентификации физического лица или организации. AWS CloudHSM можно использовать для хранения закрытых ключей и в качестве CA для выдачи сертификатов в рамках организации.


CloudHSM_Diagrams_TDE-for-Oracle-DB-v2

AWS CloudHSM можно использовать для хранения главного ключа прозрачного шифрования данных (TDE) для серверов баз данных Oracle, поддерживающих TDE. С помощью TDE поддерживаемые серверы баз данных Oracle могут шифровать данные перед их записью на диск. Обратите внимание, что Amazon RDS для Oracle не поддерживает TDE с CloudHSM.

Начать работу с AWS CloudHSM очень легко. Для выполнения развертывания первого каталога за несколько щелчков мышью следуйте пошаговым инструкциям в консоли.

Начать работу с AWS CloudHSM