Сервис AWS CloudHSM поможет вам соответствовать корпоративным, договорным и нормативным требованиям к обеспечению безопасности данных с помощью выделенного устройства аппаратного модуля безопасности (HSM) в облаке AWS. Используя CloudHSM, можно управлять ключами шифрования и операциями шифрования, которые выполняет модуль HSM.
Партнеры AWS и AWS Marketplace предлагают множество разнообразных решений для защиты конфиденциальной информации в рамках платформы AWS. Однако для приложений и данных, на которые распространяются жесткие требования договоров или нормативных актов по управлению криптографическими ключами, иногда требуется дополнительная защита. До настоящего времени пользователям был доступен только один вариант: хранить конфиденциальные данные (или защищающие эти данные криптографические ключи) в локальном центре обработки данных. К сожалению, такое решение либо препятствует миграции этих приложений в облако, либо значительно снижает их производительность. Сервис AWS CloudHSM позволяет вам защитить ключи шифрования в аппаратных модулях HSM, разработанных и аттестованных в соответствии с правительственными стандартами в области безопасного управления ключами. Вы можете надежно генерировать и хранить криптографические ключи, используемые для шифрования данных, а также управлять ими таким образом, чтобы они были доступны только вам. Сервис AWS CloudHSM поможет вам соблюдать строгие основные требования к управлению ключами без ущерба для производительности приложений.
Сервис AWS CloudHSM работает с Amazon Virtual Private Cloud (VPC). Инстансам сервиса CloudHSM внутри вашего VPC передается указанный вами IP-адрес, что обеспечивает простое частное сетевое подключение к вашим инстансам сервиса Amazon Elastic Compute Cloud (EC2). Размещение инстансов CloudHSM в непосредственной близости к инстансам EC2 уменьшает сетевые задержки, что благоприятно сказывается на производительности приложения. AWS предоставляет выделенный эксклюзивный (однопользовательский) доступ к инстансам CloudHSM, изолированным от инстансов других пользователей AWS. Сервис AWS CloudHSM, доступный во многих регионах и зонах доступности (AZ), позволяет добавлять к вашим приложениям надежное и безопасное хранилище ключей.
Начать работу с AWS бесплатно
Создать бесплатный аккаунтили войти в Консоль
Получите доступ к уровню бесплатного пользования AWS на год, включая возможности базовой поддержки AWS Basic Support: круглосуточное обслуживание клиентов (без праздников и выходных), форумы и многое другое.
В рамках сервиса вы имеете выделенный доступ к возможностям аппаратных модулей HSM в облаке. AWS CloudHSM защищает криптографические ключи при помощи устойчивых к взлому аппаратных модулей HSM, отвечающих требованиям нормативных стандартов для криптографических модулей как международного уровня (Common Criteria EAL4+), так и правительства США (NIST FIPS 140-2). За вами остается полный контроль ключей и операций шифрования в HSM, а AWS при этом осуществляет управление аппаратной частью и текущее обслуживание, не имея доступа к вашим ключам.
AWS CloudHSM хранит ключи в аппаратном модуле и предотвращает доступ к ним третьих лиц, что дает вам возможность соответствовать самым строгим договорным и нормативным требованиям к защите ключей.
API, утилиты интерфейса командной строки (CLI) и SDK сервиса CloudHSM позволяют вам в любое время осуществлять запуск и остановку выделенных инстансов CloudHSM.
Сервис AWS CloudHSM предоставляется во многих регионах и зонах доступности (AZ) и помогает создавать приложения с высоким уровнем доступности, обеспечивающие защиту и сохранность ключей. Утилиты интерфейса командной строки (CLI) сервиса CloudHSM помогут настроить группы высокой доступности (HA), охватывающие различные зоны доступности, что обеспечит возможность создания гибких приложений. В маловероятном случае аппаратного отказа вы можете запустить новый инстанс CloudHSM и несколькими командами реплицировать ключи в новый модуль HSM. Можно также использовать AWS CloudHSM с совместимым локальным модулем HSM и обеспечить безопасное хранение ключей в своем ЦОД. Это увеличивает долговечность ключей и дает вам гибкую возможность безопасно перемещать ключи в адрес сервисов AWS и обратно.
Инстансы CloudHSM находятся в вашем облаке VPC, поэтому их легко использовать при работе с приложениями Amazon EC2. Для управления доступом к инстансам CloudHSM используется стандартный механизм защиты Amazon VPC.
Размещение инстансов CloudHSM в вашем облаке VPC в непосредственной близости к инстансам EC2 уменьшает сетевые задержки и увеличивает производительность ваших приложений AWS, использующих модули HSM.
Сервис CloudHSM можно использовать с Amazon Redshift, Amazon Relational Database Service (RDS) для Oracle или приложениями сторонних разработчиков, такими как SafeNet Virtual KeySecure (для работы в качестве доверительного пользователя root), Apache (SSL-терминация) или Microsoft SQL Server (прозрачное шифрование данных). Можно также использовать CloudHSM при создании собственных приложений, когда вы продолжаете использовать в них стандартные и привычные криптографические библиотеки, включая PKCS#11, Java JCA/JCE и Microsoft CAPI и CNG.
Если вам необходимо отслеживать изменения ресурсов или проводить аудит действий на предмет безопасности и соответствия нормативам, вы можете просмотреть все вызовы API сервиса CloudHSM, сделанные через ваш аккаунт, с помощью CloudTrail. Кроме того, вы можете проверить операции аппаратного модуля HSM, используя системный журнал или путем отправки сообщений, зарегистрированных в системном журнале, в вашу собственную систему сбора данных.
