AWS CloudHSM

Управляемый аппаратный модуль безопасности (HSM) в облаке AWS.

AWS CloudHSM – это облачный аппаратный модуль безопасности (HSM), который позволяет без труда генерировать и использовать в облаке AWS собственные ключи шифрования. С помощью CloudHSM можно управлять собственными ключами шифрования, используя модули HSM, проверенные на соответствие стандарту FIPS 140‑2 Level 3. CloudHSM обеспечивает гибкость интеграции с приложениями с помощью стандартных API‑интерфейсов, таких как PKCS#11, Java Cryptography Extensions (JCE) и библиотеки Microsoft CryptoNG (CNG).

CloudHSM соответствует требованиям различных стандартов и позволяет экспортировать ключи в большинство других доступных на рынке HSM‑модулей с учетом настроек пользователя. CloudHSM – это полностью управляемый сервис, который автоматизирует трудоемкие административные задачи, такие как выделение оборудования, исправление программного обеспечения, обеспечение высокой доступности и резервное копирование. Кроме того, CloudHSM позволяет быстро выполнять масштабирование, добавляя и удаляя ресурсы HSM по требованию без авансовых платежей.

Знакомство с AWS CloudHSM

Преимущества

Генерация и использование ключей шифрования с помощью модулей HSM, проверенных на соответствие стандарту FIPS 140‑2 Level 3

AWS CloudHSM позволяет генерировать и использовать ключи шифрования на аппаратных модулях, проверенных на соответствие стандарту FIPS 140‑2 Level 3. Защита ключей в CloudHSM обеспечивается с помощью эксклюзивного однопользовательского доступа к защищенным от взлома инстансам HSM в собственном Amazon Virtual Private Cloud (VPC) клиента.

Развертывание безопасных рабочих нагрузок, соответствующих нормативным требованиям

Использование модулей HSM в качестве корня доверия позволяет продемонстрировать соответствие требованиям безопасности, конфиденциальности и защиты от несанкционированного доступа в рамках таких стандартов, как HIPAA, FedRAMP и PCI. Сервис AWS CloudHSM позволяет развертывать безопасные соответствующие нормативным требованиям рабочие нагрузки с высокой надежностью и низкой задержкой с помощью инстансов HSM в облаке AWS.

Открытый формат HSM, основанный на отраслевых стандартах

AWS CloudHSM можно использовать для интеграции с собственными приложениями с помощью стандартных API‑интерфейсов, таких как PKCS#11, Java Cryptography Extensions (JCE) и библиотеки Microsoft CryptoNG (CNG). Кроме того, можно переносить собственные ключи на другие коммерческие решения HSM, что упрощает миграцию ключей из AWS или в обратном направлении.

Полный контроль ключей шифрования

AWS CloudHSM предоставляет доступ к модулям HSM по защищенному каналу для создания пользователей и настройки политик модулей HSM. Ключи шифрования, которые создаются и используются с помощью CloudHSM, доступны только указанным пользователям. AWS не имеет доступа к ключам шифрования клиентов и не может просматривать их.

Удобство управления и масштабирования

Сервис AWS CloudHSM автоматизирует трудоемкие административные задачи, связанные с модулями HSM, такие как выделение оборудования, исправление ПО, обеспечение высокой доступности и резервное копирование. Можно быстро масштабировать ресурсы HSM, добавляя по требованию модули HSM в кластер или удаляя их оттуда. AWS CloudHSM автоматически осуществляет балансировку нагрузки при обработке запросов и безопасно дублирует ключи, хранящиеся в любом модуле HSM, на все другие модули HSM в кластере.

Управление ключами AWS KMS

AWS Key Management Service (KMS) можно настроить на использование кластера AWS CloudHSM как собственного хранилища ключей, а не стандартного хранилища ключей KMS. Собственное хранилище ключей в KMS позволяет получить выгоду от интеграции между KMS и другими сервисами AWS и шифровать данные, сохраняя контроль над модулями HSM, которые защищают главные ключи KMS. Использование собственного хранилища ключей в KMS позволяет объединить преимущества обоих сервисов: однопользовательские модули HSM находятся под полным контролем клиента, а AWS KMS обеспечивает интеграцию и удобство работы.

Как это работает

CloudHSM_Diagrams_2-final

AWS CloudHSM работает в клиентском облаке Amazon Virtual Private Cloud (VPC), что позволяет без труда использовать модули HSM с приложениями, запущенными на инстансах Amazon EC2. При работе с CloudHSM можно использовать стандартные средства управления безопасностью облака VPC для управления доступом к модулям HSM. Приложения клиента подключаются к модулям HSM, используя SSL‑каналы с двусторонней аутентификацией, установленные клиентским ПО HSM. Поскольку модули HSM находятся в ЦОД Amazon рядом с инстансами EC2, можно уменьшить сетевые задержки между приложениями и модулями HSM по сравнению с использованием локальных модулей HSM.

A. AWS управляет модулем аппаратного обеспечения безопасности (HSM), но не имеет доступа к ключам клиента.

B. Пользователь контролирует собственные ключи и управляет ими.

C. Производительность приложения улучшается (вследствие непосредственной близости к рабочим нагрузкам AWS).

D. Ключи безопасно хранятся в защищенных от взлома аппаратных модулях в нескольких зонах доступности (AZ).

E. Модули HSM находятся в облаке Virtual Private Cloud (VPC) и изолированы от других сетей AWS.

В архитектуре сервиса AWS CloudHSM предусмотрены разделение обязанностей и контроль доступа на основе ролей. AWS осуществляет мониторинг работоспособности и сетевой доступности модулей CloudHSM, но не имеет отношения к созданию данных ключей, хранящихся в модуле HSM, или к управлению ими. Клиент управляет модулями HSM, генерирует и использует свои ключи шифрования.

Примеры использования

Разгрузка веб‑серверов путем передачи задач по обработке SSL

Протоколы Secure Sockets Layer (SSL) и Transport Layer Security (TLS) используются для идентификации веб‑серверов и установления безопасных HTTPS‑соединений через Интернет. AWS CloudHSM можно использовать для обработки SSL/TLS‑соединений, чтобы разгрузить веб‑серверы. Использование CloudHSM для такой обработки снижает нагрузку на веб‑сервер и обеспечивает дополнительную безопасность благодаря тому, что закрытый ключ веб‑сервера хранится в CloudHSM.

product-page-diagram_CloudHSM_offload-ssl

Защита закрытых ключей для центра сертификации (CA)

В инфраструктуре открытых ключей (PKI) центр сертификации (CA) является доверенной стороной, которая выдает цифровые сертификаты. Эти цифровые сертификаты используются для идентификации физического лица или организации. AWS CloudHSM можно использовать для хранения закрытых ключей и подписи запросов на сертификат, что позволяет клиентам выступать в качестве центра сертификации для выдачи сертификатов в рамках организации.

product-page-diagram_CloudHSM_ca-1

Использование прозрачного шифрования данных (TDE) для баз данных Oracle

AWS CloudHSM можно использовать для хранения главного ключа прозрачного шифрования данных (TDE) для серверов баз данных Oracle, поддерживающих TDE. В ближайшее время появится поддержка SQL Server. С помощью TDE поддерживаемые серверы баз данных могут шифровать данные перед их записью на диск. Обратите внимание: Amazon RDS для Oracle не поддерживает TDE с использованием CloudHSM. При необходимости используйте сервис AWS Key Management Service.

product-page-diagram_CloudHSM_database

Начать работу с AWS

icon1

Регистрация аккаунта AWS

Получите мгновенный доступ к уровню бесплатного пользования AWS.
icon2

Обучение с помощью 10-минутных учебных пособий

Знакомьтесь с сервисами и учитесь с помощью простых учебных пособий.
icon3

Начните разработку с AWS

Начните создавать проекты в AWS с помощью пошаговых руководств.

Подробнее об AWS CloudHSM

Готовы приступить к разработке?
Начать работу с CloudHSM
Есть вопросы?
Свяжитесь с нами