AWS CloudHSM – это облачный управляемый аппаратный модуль безопасности (HSM), который позволяет легко использовать безопасное хранилище ключей и высокопроизводительные криптографические операции в приложениях, работающих на AWS. CloudHSM не предполагает авансовых платежей и обеспечивает возможность запуска и остановки модулей HSM по требованию, что позволяет обеспечивать быстрое и экономичное выделение ресурсов, когда и где это требуется. CloudHSM – это управляемый сервис, который автоматизирует трудоемкие административные задачи, такие как выделение оборудования, исправление программного обеспечения, обеспечение высокой доступности и резервное копирование.

Наряду с AWS Key Management Service (KMS), CloudHSM является одним из сервисов AWS, которые обеспечивают высокий уровень безопасности криптографических ключей. KMS обеспечивает простой и экономичный способ управления ключами шифрования на AWS, который удовлетворяет требованиям безопасности для большинства типов данных клиента. CloudHSM предлагает клиентам возможность однопользовательского доступа и управления модулями HSM.

Начать работу с AWS CloudHSM

Регистрация для доступа к AWS CloudHSM
CloudHSM
Представляем новый сервис AWS CloudHSM
100x100_benefit_ecryption-lock

AWS CloudHSM обеспечивает однопользовательский доступ к защищенным от несанкционированного доступа модулям HSM, которые соответствуют стандарту FIPS 140-2 Level 3 правительства США для криптографических модулей.

100x100_benefit_increase-upward2

AWS CloudHSM упрощает масштабирование ресурсов модулей HSM. Можно по требованию добавлять и удалять модули HSM с помощью Консоли управления и API AWS.

100x100_benefit_transparency

AWS CloudHSM – это открытое решение, которое исключает блокировку поставщиком. С помощью CloudHSM можно перенести свои ключи на другие коммерческие решения HSM, чтобы упростить перенос ключей в облако AWS или из него.

100x100_benefit_ingergration

AWS CloudHSM обеспечивает интеграцию с пользовательскими приложениями через стандартные API-интерфейсы и поддерживает несколько языков программирования, включая PKCS#11, Java Cryptography Extensions (JCE) и библиотеки Microsoft CryptoNG (CNG).

100x100_benefit_secure

AWS CloudHSM поддерживает кворумную аутентификацию для критических административных функций и функций управления ключами. AWS CloudHSM также поддерживает многофакторную аутентификацию (MFA) с использованием токенов, предоставляемых клиентом.

100x100_benefit_management2

AWS CloudHSM – это управляемый сервис, который автоматизирует трудоемкие административные задачи, такие как выделение оборудования, исправление программного обеспечения, обеспечение высокой доступности и резервное копирование.

AWS CloudHSM работает в клиентском облаке Amazon Virtual Private Cloud (VPC), позволяя легко использовать модули HSM с приложениями, запущенными на инстансах Amazon EC2. С помощью CloudHSM можно использовать стандартные средства управления безопасностью облака VPC для управления доступом к модулям HSM. Приложения клиента подключаются к его модулям HSM, используя SSL-каналы с двусторонней аутентификацией, установленные клиентским ПО HSM. Поскольку модули HSM находятся в ЦОД Amazon рядом с инстансами EC2, можно уменьшить сетевые задержки между приложениями и модулем HSM по сравнению с использованием локального модуля HSM.

A. AWS управляет модулем аппаратного обеспечения безопасности (HSM), но не имеет доступа к ключам клиента.

B. Клиент контролирует собственные ключи и управляет ими.

C. Производительность приложения улучшается (вследствие непосредственной близости к рабочим нагрузкам AWS).

D. Безопасное хранение ключей в защищенном от несанкционированного доступа аппаратном модуле, доступном в нескольких зонах доступности (AZ).

E. Модули HSM находятся в вашем облаке Virtual Private Cloud (VPC) и изолированы от других сетей AWS.

CloudHSM_Diagrams_2-final

В архитектуре сервиса AWS CloudHSM предусмотрено разделение обязанностей и контроль доступа на основе ролей. AWS осуществляет мониторинг работоспособности и сетевой доступности модулей CloudHSM, но не имеет отношения к созданию данных ключей, хранящихся в модуле HSM, или к управлению ими. Клиент управляет модулями HSM, генерирует и использует свои ключи шифрования.

CloudHSM_Diagrams_3 copy

AWS CloudHSM автоматически осуществляет балансировку нагрузки и распределение запросов, поскольку безопасно дублирует ключи, хранящиеся в любом модуле HSM, во всех других модулях HSM в кластере. Это позволяет получить дополнительные криптографические ресурсы и повысить сохранность ключей. Благодаря хранению множества копий ключей на модулях HSM, расположенных в разных зонах доступности (AZ), ключи будут доступны и защищены на тот случай, если отдельный модуль HSM окажется недоступен. Рекомендуемая Amazon конфигурация для обеспечения доступности и надежности предусматривает использование не менее двух модулей HSM в разных зонах доступности.

CloudHSM_Diagrams_1-b

Клиент AWS CloudHSM загружает запросы на балансировку нагрузки и безопасно реплицирует ключевой материал по всем задействованным модулям HSM в кластере.