AWS CloudHSM

Управляемый аппаратный модуль безопасности (HSM) в облаке AWS.

AWS CloudHSM – это облачный аппаратный модуль безопасности (HSM), который позволяет без труда генерировать и использовать в облаке AWS собственные ключи шифрования. С помощью CloudHSM можно управлять собственными ключами шифрования, используя модули HSM, проверенные на соответствие стандарту FIPS 140‑2 Level 3. CloudHSM обеспечивает гибкость интеграции с приложениями с помощью стандартных API‑интерфейсов, таких как PKCS#11, Java Cryptography Extensions (JCE) и библиотеки Microsoft CryptoNG (CNG).

CloudHSM соответствует требованиям различных стандартов и позволяет экспортировать ключи в большинство других доступных на рынке HSM‑модулей с учетом настроек пользователя. CloudHSM – это полностью управляемый сервис, который автоматизирует трудоемкие административные задачи, такие как выделение оборудования, исправление программного обеспечения, обеспечение высокой доступности и резервное копирование. Кроме того, CloudHSM позволяет быстро выполнять масштабирование, добавляя и удаляя ресурсы HSM по требованию без авансовых платежей.

Знакомство с AWS CloudHSM

Преимущества

Генерация и использование ключей шифрования с помощью модулей HSM, проверенных на соответствие стандарту FIPS 140‑2 Level 3

AWS CloudHSM позволяет генерировать и использовать ключи шифрования на аппаратных модулях, проверенных на соответствие стандарту FIPS 140‑2 Level 3. Защита ключей в CloudHSM обеспечивается с помощью эксклюзивного однопользовательского доступа к защищенным от взлома инстансам HSM в собственном облаке Amazon Virtual Private Cloud (VPC) клиента.

Развертывание безопасных рабочих нагрузок, соответствующих нормативным требованиям

Использование модулей HSM в качестве корня доверия позволяет продемонстрировать соответствие требованиям безопасности, конфиденциальности и защиты от несанкционированного доступа в рамках таких стандартов, как HIPAA, FedRAMP и PCI. Сервис AWS CloudHSM позволяет развертывать безопасные соответствующие нормативным требованиям рабочие нагрузки с высокой надежностью и низкой задержкой с помощью инстансов HSM в облаке AWS.

Открытый формат HSM, основанный на отраслевых стандартах

AWS CloudHSM можно использовать для интеграции с собственными приложениями с помощью стандартных API‑интерфейсов, таких как PKCS#11, Java Cryptography Extensions (JCE) и библиотеки Microsoft CryptoNG (CNG). Кроме того, можно переносить собственные ключи на другие коммерческие решения HSM, что упрощает миграцию ключей из AWS или в обратном направлении.

Полный контроль ключей шифрования

AWS CloudHSM предоставляет доступ к модулям HSM по защищенному каналу для создания пользователей и настройки политик модулей HSM. Ключи шифрования, которые создаются и используются с помощью CloudHSM, доступны только указанным пользователям. AWS не имеет доступа к ключам шифрования клиента и не может просматривать их.

Балансировка нагрузки и высокая доступность

AWS CloudHSM автоматически осуществляет балансировку нагрузки при обработке запросов и безопасно дублирует ключи, хранящиеся в любом модуле HSM, на все другие модули HSM в кластере. Рекомендуемая Amazon конфигурация для обеспечения доступности и надежности предусматривает использование не менее двух модулей HSM в разных зонах доступности.

Удобство управления

AWS CloudHSM – это управляемый сервис, который автоматизирует трудоемкие административные задачи, такие как выделение оборудования, исправление программного обеспечения, обеспечение высокой доступности и резервное копирование. Можно быстро масштабировать ресурсы HSM, добавляя модули HSM в кластер, доступный по требованию, или удаляя их оттуда.

Как это работает

CloudHSM_Diagrams_2-final

AWS CloudHSM работает в клиентском облаке Amazon Virtual Private Cloud (VPC), что позволяет без труда использовать модули HSM с приложениями, запущенными на инстансах Amazon EC2. При работе с CloudHSM можно использовать стандартные средства управления безопасностью облака VPC для управления доступом к модулям HSM. Приложения клиента подключаются к модулям HSM, используя SSL‑каналы с двусторонней аутентификацией, установленные клиентским ПО HSM. Поскольку модули HSM находятся в ЦОД Amazon рядом с инстансами EC2, можно уменьшить сетевые задержки между приложениями и модулями HSM по сравнению с использованием локальных модулей HSM.

A. AWS управляет модулем аппаратного обеспечения безопасности (HSM), но не имеет доступа к ключам клиента.

B. Пользователь контролирует собственные ключи и управляет ими.

C. Производительность приложения улучшается (вследствие непосредственной близости к рабочим нагрузкам AWS).

D. Ключи безопасно хранятся в защищенных от взлома аппаратных модулях в нескольких зонах доступности (AZ).

E. Модули HSM находятся в облаке Virtual Private Cloud (VPC) и изолированы от других сетей AWS.

В архитектуре сервиса AWS CloudHSM предусмотрены разделение обязанностей и контроль доступа на основе ролей. AWS осуществляет мониторинг работоспособности и сетевой доступности модулей CloudHSM, но не имеет отношения к созданию данных ключей, хранящихся в модуле HSM, или к управлению ими. Клиент управляет модулями HSM, генерирует и использует свои ключи шифрования.

Примеры использования

Разгрузка веб‑серверов путем передачи задач по обработке SSL

Протоколы Secure Sockets Layer (SSL) и Transport Layer Security (TLS) используются для идентификации веб‑серверов и установления безопасных HTTPS‑соединений через Интернет. AWS CloudHSM можно использовать для обработки SSL/TLS‑соединений, чтобы разгрузить веб‑серверы. Использование CloudHSM для такой обработки снижает нагрузку на веб‑сервер и обеспечивает дополнительную безопасность благодаря тому, что закрытый ключ веб‑сервера хранится в CloudHSM.

product-page-diagram_CloudHSM_offload-ssl

Защита закрытых ключей для центра сертификации (CA)

В инфраструктуре открытых ключей (PKI) центр сертификации (CA) является доверенной стороной, которая выдает цифровые сертификаты. Эти цифровые сертификаты используются для идентификации физического лица или организации. AWS CloudHSM можно использовать для хранения закрытых ключей и подписи запросов на сертификат, что позволяет клиентам выступать в качестве центра сертификации для выдачи сертификатов в рамках организации.

product-page-diagram_CloudHSM_ca-1

Использование прозрачного шифрования данных (TDE) для баз данных Oracle

AWS CloudHSM можно использовать для хранения главного ключа прозрачного шифрования данных (TDE) для серверов баз данных Oracle, поддерживающих TDE. В ближайшее время появится поддержка SQL Server. С помощью TDE поддерживаемые серверы баз данных могут шифровать данные перед их записью на диск. Обратите внимание: Amazon RDS для Oracle не поддерживает TDE с использованием CloudHSM. При необходимости используйте сервис AWS Key Management Service.

product-page-diagram_CloudHSM_database

Начать работу с AWS

icon1

Зарегистрируйте аккаунт AWS

Получите мгновенный доступ к уровню бесплатного пользования AWS.
icon2

Обучение с помощью 10-минутных учебных пособий

Знакомьтесь с сервисами и учитесь с помощью простых учебных пособий.
icon3

Начните разработку с AWS

Начните создавать проекты в AWS с помощью пошаговых руководств.

Подробнее об AWS CloudHSM

Готовы приступить к разработке?
Начать работу с CloudHSM
Есть вопросы?
Свяжитесь с нами