Общие вопросы

Вопрос: Что такое AWS CloudHSM?

Сервис AWS CloudHSM позволяет обеспечить соответствие корпоративным, договорным и нормативным требованиям по безопасности данных с помощью выделенных инстансов аппаратных модулей безопасности (HSM) в облаке AWS. AWS и партнеры AWS Marketplace предлагают множество разнообразных решений для защиты конфиденциальной информации в рамках платформы AWS. Однако для некоторых приложений и данных, на которые распространяются требования договоров или нормативных актов по управлению криптографическими ключами, иногда требуется дополнительная защита. CloudHSM дополняет существующие решения, обеспечивающие безопасность данных, и позволяет защитить ключи шифрования с помощью модулей HSM, которые были разработаны и проверены в соответствии с государственными стандартами управления ключами безопасности. CloudHSM позволяет надежно генерировать и хранить криптографические ключи, используемые для шифрования данных, а также управлять ими таким образом, чтобы эти ключи были доступны только вам.

Вопрос: Что такое аппаратный модуль безопасности (HSM)?

Аппаратный модуль безопасности (HSM) обеспечивает безопасное хранение ключей и выполнение криптографических операций с помощью устойчивого к взлому аппаратного средства. Модули HSM разработаны для надежного хранения данных криптографических ключей и их использования без раскрытия ключей за пределами криптографического аппаратного модуля.

Вопрос: Для чего можно использовать сервис CloudHSM?

Сервис CloudHSM применяется в различных приложениях и примерах использования, таких как шифрование баз данных, управление цифровыми правами (DRM), инфраструктура открытых ключей (PKI), аутентификация и авторизация, подпись документов и обработка транзакций.

Вопрос: Как работает CloudHSM?

При использовании сервиса AWS CloudHSM создается кластер CloudHSM. Кластеры могут содержать множество инстансов HSM из разных зон доступности в регионе. Для инстансов HSM в кластере автоматически выполняется синхронизация и балансировка нагрузки. Вы получаете выделенный однопользовательский доступ к каждому инстансу HSM в кластере. Каждый инстанс HSM отображается в виде сетевого ресурса в Amazon Virtual Private Cloud (VPC). Добавление модулей HSM в кластер и их удаление выполняется одним вызовом API AWS CloudHSM (или одной командой в интерфейсе командной строки AWS). После создания и инициализации кластера CloudHSM можно настроить в своем инстансе EC2 клиент, позволяющий приложениям использовать кластер через безопасное аутентифицированное сетевое соединение.

Администраторы Amazon контролируют работоспособность модулей HSM, но не имеют никакого доступа к ним для настройки, управления или использования. Для отправки криптографических запросов модулю HSM приложения используют стандартные криптографические API в сочетании с клиентским ПО HSM, установленным на инстансе приложения. Клиентское ПО обеспечивает защищенный канал связи со всеми модулями HSM в кластере и отправляет запросы по этому каналу, а модули HSM выполняют операции и возвращают результаты по тому же защищенному каналу. После этого клиентское ПО возвращает результат в приложение посредством криптографического API.

Вопрос: В настоящее время у меня нет VPC. Можно ли будет использовать AWS CloudHSM?

Нет. Для защиты и изоляции AWS CloudHSM от других пользователей Amazon необходимо выделять модули CloudHSM в рамках Amazon VPC. Создать VPC очень просто. Подробнее см. в Руководстве по началу работы с VPC.

Вопрос: Обязательно ли приложение должно находиться в том же облаке VPC, что и кластер CloudHSM?

Нет, но сервер или инстанс, на котором запущены приложение и клиент HSM, должен иметь сетевой (IP) доступ ко всем модулям HSM в кластере. Сетевое подключение между приложением и модулями HSM можно установить различными способами, включая запуск приложения в том же облаке VPC, использование пирингового подключения VPC, VPN‑подключения или сервиса Direct Connect. Подробнее см. в Руководстве по пиринговому подключению VPC и Руководстве пользователя VPC.

Вопрос: Работает ли CloudHSM с локальными HSM‑модулями?

Да. Хотя CloudHSM не взаимодействует напрямую с локальными HSM-модулями, вы можете безопасно передавать экспортируемые ключи между CloudHSM и большинством коммерческих HSM-модулей, используя один из нескольких поддерживаемых методов переноса ключей RSA.   

Вопрос. Как приложение может использовать CloudHSM?

Мы интегрировали и протестировали CloudHSM с рядом сторонних программных решений, таких как Oracle Database 11g и 12c, а также с веб‑серверами, включая Apache и Nginx, для выполнения задач по разгрузке SSL. Подробнее см. в Руководстве пользователя CloudHSM.

При разработке собственных специальных приложений можно использовать стандартные API, поддерживаемые CloudHSM, включая PKCS#11 и Java JCA/JCE (криптографическую архитектуру Java и криптографические расширения Java). В ближайшее время будет реализована поддержка Microsoft CAPI/CNG. Образцы кода и инструкции по началу работы см. в Руководстве пользователя CloudHSM.

Если вы перемещаете существующую рабочую нагрузку из CloudHSM Classic или локальных модулей HSM в CloudHSM, в Руководстве по миграции на CloudHSM приведены детальные указания, как спланировать и осуществить такую операцию.

Вопрос: Можно ли использовать CloudHSM для хранения ключей или шифрования данных, используемых другими сервисами AWS?

Да. Можно выполнять шифрование в собственном приложении, интегрированном с CloudHSM. В этом случае сервисы AWS, такие как Amazon S3 или Amazon Elastic Block Store (EBS), будут видеть только зашифрованные данные.

Вопрос: Могут ли другие сервисы AWS использовать CloudHSM для хранения ключей и управления ими?

Сервисы AWS интегрированы с AWS Key Management Service, который, в свою очередь, интегрирован с AWS CloudHSM через возможность собственного хранилища ключей KMS. Чтобы использовать шифрование на стороне сервера, предлагаемое многими сервисами AWS (такими как EBS, S3 или Amazon RDS), можно настроить собственное хранилище ключей в AWS KMS.

Вопрос: Можно ли использовать CloudHSM для трансляции PIN‑блока или выполнения других криптографических операций при дебетовых платежных транзакциях?

В настоящее время CloudHSM предоставляет модули HSM общего назначения. Со временем мы можем добавить платежные функции. Сообщите нам, если вас интересует такая возможность.

Вопрос: Чем отличаются сервисы AWS Key Management Service (KMS) и AWS CloudHSM?

AWS Key Management Service (KMS) – это многопользовательский управляемый сервис, который позволяет использовать ключи шифрования и управлять ими. Оба сервиса обеспечивают высокий уровень безопасности для криптографических ключей. AWS CloudHSM предоставляет выделенный модуль HSM, соответствующий требованиям стандарта FIPS 140‑2 Level 3, под вашим монопольным управлением непосредственно в облаке Amazon Virtual Private Cloud (VPC).

Вопрос: В каких случаях целесообразнее использовать AWS CloudHSM, а не AWS KMS?

AWS CloudHSM следует рассматривать для решения следующих задач.

  • Хранение ключей в выделенных аппаратных модулях безопасности, проверенных третьей стороной, под вашим монопольным контролем.
  • Обеспечение соответствия требованиям стандарта FIPS 140‑2.
  • Интеграция с приложениями с помощью интерфейсов PKCS#11, Java JCE или Microsoft CNG.
  • Высокопроизводительное криптографическое ускорение внутри облака VPC (массовое шифрование).

Вопрос. Будет ли прекращена поддержка HSM‑модулей на базе SafeNet?

Да. Компания Gemalto объявила о прекращении поддержки тех HSM‑модулей, которые предоставляет CloudHSM Classic. Пользователи должны перейти на новый сервис CloudHSM до апреля 2020 г. Подробнее см. в разделе Вопросы и ответы CloudHSM Classic. Мы подготовили несколько полезных ресурсов, которые помогут осуществить миграцию с CloudHSM Classic на новый сервис CloudHSM. Для начала ознакомьтесь с Руководством по обновлению CloudHSM.

Вопрос. Как начать работу с CloudHSM?

Кластер CloudHSM можно выделить в консоли CloudHSM или с помощью нескольких вызовов API через SDK или API AWS. Подробнее о начале работы см. в Руководстве пользователя CloudHSM. Сведения об API сервиса см. в документации по CloudHSM. Сведения об использовании SDK см. на странице инструментов для работы с Amazon Web Services.

Вопрос: Как прекратить использование сервиса CloudHSM?

Вы можете воспользоваться API или SDK сервиса CloudHSM для удаления модулей HSM и прекращения использования сервиса. Подробнее см. в Руководстве пользователя CloudHSM.

Оплата

Вопрос: Каков принцип оплаты сервиса AWS CloudHSM?

За использование сервиса взимается почасовая плата за каждый полный или неполный час, в течение которых модуль HSM был выделен кластеру CloudHSM. За кластеры, в которых нет модулей HSM, плата не начисляется. Автоматическое хранение зашифрованных резервных копий выполняется бесплатно. Подробнее см. на странице цен на CloudHSM. Обратите внимание: передача данных по сети на инстансы CloudHSM и в обратном направлении оплачивается отдельно. Подробнее см. в разделе цен на передачу данных сервиса EC2.

Вопрос: Доступен ли для сервиса CloudHSM уровень бесплатного пользования?

Нет, уровень бесплатного пользования CloudHSM не предусмотрен.

Вопрос: Различаются ли цены в зависимости от количества пользователей или ключей, созданных на модуле HSM?

Нет, почасовая оплата различается по регионам, но не зависит от объема использования модуля HSM.

Выделение и использование

Вопрос: Существуют ли какие‑либо требования для регистрации в CloudHSM?

Да. Чтобы начать использовать сервис CloudHSM, необходимо выполнить несколько предварительных требований, включая создание Virtual Private Cloud (VPC) в том регионе, где предполагается использовать сервис CloudHSM. Подробнее см. в Руководстве пользователя CloudHSM.

Вопрос: Требуется ли управлять встроенным ПО на модуле HSM?

Нет. AWS управляет встроенным ПО на аппаратных ресурсах. Такое ПО поддерживается сторонним производителем, и каждая версия должна быть оценена NIST на соответствие требованиям стандарта FIPS 140‑2 Level 3. К установке допускаются только версии встроенного ПО, криптографически подписанные ключом FIPS, к которому AWS не имеет доступа.

Вопрос: Сколько модулей HSM должно быть в кластере CloudHSM?

AWS настоятельно рекомендует для любой рабочей нагрузки использовать как минимум два модуля HSM в двух разных зонах доступности. Для критически важных рабочих нагрузок мы рекомендуем использовать как минимум три модуля HSM по меньшей мере в двух отдельных зонах доступности. Клиент CloudHSM автоматически обрабатывает любые сбои модулей HSM и незаметно для приложения балансирует нагрузку между двумя или более модулями HSM.

Вопрос: Кто отвечает за надежность ключей?

AWS ежедневно создает автоматические зашифрованные резервные копии кластера CloudHSM. Дополнительные резервные копии создаются при наступлении событий жизненного цикла кластера (таких как добавление или удаление модулей HSM). В течение 24‑часового интервала между резервными копиями клиент несет единоличную ответственность за сохранность данных ключей, созданных в его кластере или импортированных в него. Для обеспечения сохранности ключей настоятельно рекомендуется синхронизировать любые созданные ключи по меньшей мере на двух модулях HSM в двух разных зонах доступности. Подробнее о проверке синхронизации ключей см. в Руководстве пользователя CloudHSM.

Вопрос: Как настроить конфигурацию высокой доступности (HA)?

Высокая доступность предоставляется автоматически при наличии как минимум двух модулей HSM в кластере CloudHSM. Никакой дополнительной настройки не требуется. В случае сбоя модуля HSM в кластере он заменяется автоматически, а все клиенты обновляются для отражения новой конфигурации без прерывания обработки данных. Дополнительные модули HSM можно добавить в кластер с помощью API или SDK AWS, что позволяет повысить доступность без прерывания работы приложения.

Вопрос: Сколько инстансов HSM может содержать кластер CloudHSM?

Кластер CloudHSM может содержать до 32 модулей HSM. Клиенты могут создать до 28 инстансов в зависимости от лимитов сервисов, установленных для аккаунта. Остальные ресурсы зарезервированы для внутреннего использования, например для замены вышедших из строя инстансов HSM.

Вопрос: Можно ли создавать резервные копии содержимого кластеров CloudHSM?

Резервные копии кластеров CloudHSM создаются AWS ежедневно. Ключи также можно экспортировать из кластера и сохранить локально, если только они не были сгенерированы без возможности экспортирования. В настоящее время других вариантов резервного копирования нет, хотя в ближайшее время мы планируем предоставить более широкие возможности резервного копирования в локальное местоположение.

Вопрос: Существует ли для CloudHSM Соглашение об уровне обслуживания (SLA)?

Да, Соглашение об уровне обслуживания (SLA) для AWS CloudHSM можно просмотреть по ссылке.

Безопасность

Вопрос: Используется ли сервис CloudHSM совместно с другими клиентами AWS?

Нет. В рамках сервиса клиенту предоставляется однопользовательский доступ к модулям HSM. Базовое аппаратное обеспечение может использоваться совместно с другими клиентами, но модуль HSM доступен только вам.

Вопрос: Каким образом AWS управляет модулями HSM без доступа к ключам шифрования пользователей?

В архитектуре CloudHSM предусмотрено разделение обязанностей и контроль доступа на основе ролей. AWS имеет ограниченный доступ к модулям HSM, который позволяет контролировать и поддерживать работоспособность и доступность модулей HSM, делать зашифрованные резервные копии, а также извлекать и публиковать журналы аудита в CloudWatch Logs. AWS не может видеть ключи, получать к ним доступ или использовать их, а также не может инициировать выполнение модулем HSM криптографических операций с помощью пользовательских ключей.

Подробнее о разделении обязанностей и о возможностях модулей HSM, предоставляемых каждой категории пользователей, см. в Руководстве пользователя CloudHSM.

Вопрос: Можно ли выполнять мониторинг собственных модулей HSM?

Да. CloudHSM публикует множество метрик CloudWatch для кластеров CloudHSM и для отдельных инстансов HSM. Можно использовать консоль, API или SDK сервиса AWS CloudWatch для получения этих метрик или генерации предупреждений на их основе.

Вопрос: Какой «источник энтропии» (генератор случайных чисел) используется в CloudHSM?

Каждый модуль HSM имеет сертифицированный FIPS детерминированный генератор случайных чисел (DRBG), начальные числа для которого выдает истинный генератор случайных чисел (TRNG), соответствующий требованиям SP800‑90B и размещенный в аппаратном модуле HSM. Это высококачественный источник энтропии, способный продуцировать непредсказуемые данные со скоростью 20 Мб/с на один модуль HSM.

Вопрос: Что произойдет при взломе аппаратного модуля HSM?

CloudHSM имеет как физические, так и логические механизмы обнаружения вторжения и реагирования на него, которые инициируют удаление ключа (обнуление) аппаратного устройства. Аппаратное устройство способно обнаруживать вторжение в случае нарушения его физической защиты. Инстансы HSM также защищены от атак путем перебора паролей. После определенного количества неудачных попыток доступа к модулю HSM с использованием данных для доступа специалиста по шифрованию (CO) инстанс HSM автоматически выполняет блокировку этого сотрудника. После определенного количества неудачных попыток доступа к модулю HSM с данными для доступа пользователя системы криптографической защиты (CU) этот пользователь будет заблокирован, и разблокировать его сможет только специалист по шифрованию (CO).

Вопрос: Что произойдет в случае сбоя?

Amazon выполняет мониторинг модулей HSM и сети на доступность и наличие условий возникновения ошибок, а также проводит их техническое обслуживание. Если модуль HSM выходит из строя или отключается от сети, он автоматически заменяется. Проверить состояние отдельного модуля HSM можно с помощью API сервиса CloudHSM, SDK или инструментов интерфейса командной строки. Кроме того, с помощью панели состояния сервисов AWS можно в любое время проверить общее состояние сервиса.

Вопрос: Будут ли потеряны ключи, если один инстанс HSM выйдет из строя?

Да. Если вы не используете два или более HSM, то можете потерять ключи, созданные позднее последнего ежедневного резервного копирования, если используемый кластер CloudHSM выйдет из строя. Amazon настоятельно рекомендует в любом рабочем кластере CloudHSM использовать два или более HSM в различных зонах доступности, чтобы избежать потери криптографических ключей.

Вопрос: Может ли Amazon восстановить ключи пользователя в случае потери данных для доступа к HSM‑модулю?

Нет. У Amazon нет доступа к ключам и данным для доступа пользователей, поэтому в случае потери данных для доступа восстановить ключи невозможно.

Вопрос: Как убедиться, что можно доверять CloudHSM?

CloudHSM использует оборудование, которое проверяется на соответствие Федеральному стандарту обработки информации (FIPS) 140‑2 Level 3. Профиль безопасности FIPS 140‑2 для оборудования, используемого CloudHSM, можно найти здесь: http://csrc.nist.gov/groups/STM/cmvp/documents/140‑1/140sp/140sp2850.pdf

Вопрос: Поддерживает ли сервис CloudHSM стандарт FIPS 140‑2 Level 3?

Да, CloudHSM предоставляет модули HSM, проверенные на соответствие FIPS 140‑2 Level 3. Можно выполнить процедуру, приведенную в Руководстве пользователя CloudHSM в разделе Verify the Authenticity of Your HSM, чтобы подтвердить, что модуль HSM подлинный и в нем используется аппаратное оборудование, указанное в политике безопасности NIST, упомянутой в ответе на предыдущий вопрос.

Вопрос: Как использовать CloudHSM в режиме FIPS 140‑2?

CloudHSM всегда находится в режиме FIPS 140‑2. Это можно проверить с помощью инструментов интерфейса командной строки, как описано в Руководстве пользователя CloudHSM, и выполнив команду getHsmInfo, которая показывает состояние режима FIPS.

Вопрос: Можно ли просмотреть историю всех вызовов API сервиса CloudHSM, выполненных из аккаунта?

Да. AWS CloudTrail записывает вызовы API AWS для данного аккаунта. История вызовов API AWS в CloudTrail позволяет отслеживать изменения ресурсов, проводить анализ безопасности и аудит соответствия требованиям. Подробнее о сервисе CloudTrail см. на главной странице CloudTrail. Включить его можно в разделе CloudTrail Консоли управления AWS.

Вопрос: Какие события не записываются в CloudTrail?

CloudTrail не содержит журналов доступа и сведений об устройствах HSM. Они предоставляются непосредственно вашему аккаунту AWS через журналы CloudWatch. Подробнее см. в Руководстве пользователя CloudHSM.

Соответствие требованиям

Вопрос: Какие инициативы AWS по обеспечению соответствия требованиям распространяются на сервис CloudHSM?

Подробнее о том, какие программы обеспечения соответствия требованиям распространяются на CloudHSM, см. на странице соответствия AWS требованиям. В отличие от других сервисов AWS, соответствие CloudHSM требованиям часто контролируется непосредственно в рамках проверки соответствия самого оборудования стандарту FIPS 140‑2 Level 3, а не в рамках отдельной программы аудита.

Вопрос: Почему важно соблюдение требований стандарта FIPS 140‑2 Level 3?

Соблюдение требований FIPS 140‑2 Level 3 необходимо в определенных примерах использования, включая подпись документов, проведение платежей или работу в качестве публичного центра сертификации, выдающего сертификаты SSL.

Вопрос: Как запросить отчеты о соответствии требованиям, которые содержат сведения о CloudHSM?

Вы можете запросить отчеты о соответствии требованиям через своего представителя по развитию бизнеса. При отсутствии такого представителя оставьте запрос здесь.

Производительность и ресурсы

Вопрос: Сколько криптографических операций в секунду может выполнять CloudHSM?

Производительность отдельных модулей HSM зависит от конкретной рабочей нагрузки. В таблице ниже приведены примерные характеристики одного модуля HSM для нескольких стандартных криптографических алгоритмов. В каждом кластере CloudHSM можно создать до 28 инстансов HSM, тем самым умножив производительность кластера, указанную в таблице ниже, примерно в 28 раз. Производительность может изменяться в зависимости от конфигурации и объема данных, поэтому рекомендуется провести нагрузочное тестирование приложения с помощью CloudHSM для определения точных потребностей в масштабировании.

Подпись / проверка ключом RSA 2048 бит

1100 в секунду

EC P256

Скалярное умножение 315 точек в секунду

AES 256

Полнодуплексное массовое шифрование 300 Мбит/с

Генерация ключа RSA 2048 бит

~0,5 в секунду

Генерация случайных чисел (CSPRNG)

20 Мбит/с

Вопрос: Сколько ключей может храниться в инстансе CloudHSM?

Кластер CloudHSM может хранить до 3500 ключей любого типа или размера.

AWS CloudHSM для Oracle TDE

Вопрос: Поддерживает ли CloudHSM Amazon RDS Oracle TDE?

Нет. Amazon RDS Oracle TDE не поддерживается; однако Oracle TDE поддерживается для баз данных Oracle (11g и 12c), работающих в EC2. Подробнее см. в Руководстве пользователя CloudHSM. Кроме того, можно использовать AWS Key Management Service (KMS) и собственное хранилище ключей для защиты данных в Amazon RDS с помощью ключей, создаваемых и хранимых в кластере AWS CloudHSM.

Клиент, API и SDK сервиса AWS CloudHSM

Вопрос: Что такое клиент CloudHSM?

Клиент CloudHSM представляет собой программный пакет, поставляемый AWS, который позволяет вам и вашим приложениям взаимодействовать с кластерами CloudHSM.

Вопрос: Получает ли AWS доступ к кластеру CloudHSM при использовании клиента CloudHSM?

Нет. Все соединения между клиентом и HSM защищены с помощью сквозного шифрования. AWS не может просматривать и перехватывать данные, которые передаются по этим соединениям, а также данные для доступа к кластеру.

Вопрос: Что представляют собой инструменты интерфейса командной строки CloudHSM?

Клиент CloudHSM поставляется с набором инструментов для интерфейса командной строки (CLI), которые позволяют администрировать и использовать HSM из командной строки. В настоящее время поддерживаются Linux и Microsoft Windows. Планируется поддержка Apple macOS. Инструменты CLI доступны в том же пакете, что и клиент CloudHSM.

Вопрос: Как загрузить инструменты интерфейса командной строки CloudHSM и начать работать с ними?

См. инструкции в Руководстве пользователя CloudHSM.

Вопрос: Получает ли AWS доступ к содержимому HSM при использовании инструментов интерфейса командной строки CloudHSM?

Нет. Инструменты CloudHSM напрямую связывают кластер CloudHSM с клиентом CloudHSM через защищенный канал с двусторонней аутентификацией. AWS не может прослеживать обмен данными между клиентом, инструментами и модулем HSM, так как используется сквозное шифрование.

Вопрос: В каких операционных системах можно использовать инструменты командной строки и клиент CloudHSM?

В настоящее время поддерживаются Microsoft Windows и несколько разновидностей Linux (современные версии Amazon Linux, RedHat, CentOS и Ubuntu). Планируется поддержка Apple macOS. Если вас интересует использование инструментов командной строки и клиента CloudHSM в других операционных системах, сообщите нам.

Вопрос: Каковы требования к сетевому подключению для использования инструментов интерфейса командной строки CloudHSM?

Хост, на котором запускается клиент CloudHSM и (или) используются инструменты командной строки, должен иметь сетевой доступ ко всем модулям HSM в кластере CloudHSM.

Вопрос: Как можно использовать API и SDK сервиса CloudHSM?

Можно создавать, изменять, удалять кластеры CloudHSM и модули HSM и определять их состояние. Возможности использования API сервиса AWS CloudHSM ограничены операциями, которые позволяет выполнять ограниченный доступ AWS. API не может получать доступ к содержимому HSM или изменять пользователей, политики или другие настройки. Подробнее об API см. в документации по CloudHSM. Подробнее об SDK см. на странице Инструменты для работы с Amazon Web Services.

Переход на новую версию CloudHSM

Вопрос: Как лучше организовать переход на AWS CloudHSM?

Для начала убедитесь, что в CloudHSM поддерживаются все нужные алгоритмы и режимы. При необходимости можно отправить AWS запрос на новые возможности через своего персонального менеджера. Затем следует определить стратегию ротации ключей. Предложения для типовых примеров использования приведены в ответе на следующий вопрос. Мы также опубликовали подробное Руководство по миграции в CloudHSM. После этого можно начинать работу с новым сервисом CloudHSM.

Вопрос: Как выполнять ротацию ключей?

Стратегия ротации ключей определяется в соответствии с типом приложения. Ниже приведены типовые примеры.

  • Закрытые ключи для подписи. Обычно закрытый ключ на модуле HSM соответствует промежуточному сертификату, который, в свою очередь, подписан автономным корневым корпоративным центром сертификации. Ротация ключей выполняется посредством выпуска нового промежуточного сертификата. Создайте новый закрытый ключ и сгенерируйте соответствующий запрос на подпись сертификата (CSR), используя OpenSSL в CloudHSM. Затем подпишите CSR тем же автономным корневым корпоративным центром сертификации. Возможно, придется зарегистрировать этот новый сертификат у партнеров, которые не проверяют всю цепочку сертификатов автоматически. После этого все новые запросы (например, на документы, коды или другие сертификаты) следует подписывать новым ключом, соответствующим новому сертификату. Проверку подписей, сделанных исходным закрытым ключом, можно продолжать с помощью соответствующего открытого ключа. Отзывать ключ не требуется. Аналогичная процедура рекомендуется для прекращения поддержки или архивирования ключа подписи.
  • Прозрачное шифрование данных Oracle. Для переноса электронного бумажника необходимо сначала переключиться с аппаратного хранилища ключей (исходного модуля HSM) на программное хранилище ключей, а затем обратно на аппаратное хранилище ключей (новый сервис CloudHSM).
  • Симметричный ключ для конвертного шифрования. Конвертное шифрование обозначает такую архитектуру ключей, где один ключ на HSM шифрует и дешифрует множество ключей данных на хосте приложения. В таких случаях процесс ротации ключей, скорей всего, уже реализован. В его рамках можно дешифровать ключи данных с помощью старого упаковочного ключа и повторно зашифровать их с помощью нового упаковочного ключа. Единственное различие во время миграции будет заключаться в том, что новый упаковочный ключ будет создан и использован в CloudHSM, а не на исходном модуле HSM. Если у вас еще нет инструмента и процедуры для ротации ключей, требуется создать их.

Вопрос: Что делать, если не удается выполнить ротацию ключей?

Все зависит от конкретного приложения и примера использования. Решения для наиболее распространенных сценариев обсуждаются в Руководстве по миграции в CloudHSM. При наличии дополнительных вопросов создайте заявку в службу поддержки с подробными сведениями о приложении, типе используемых HSM, типе используемых ключей и возможности их экспорта. Мы поможем определить подходящий способ миграции.

Поддержка и техническое обслуживание

Вопрос: Как выполняются регулярные работы по обслуживанию инстансов HSM?

Проводимое AWS плановое техническое обслуживание CloudHSM исключает одновременный простой нескольких зон доступности в одном регионе.

AWS осуществляет мониторинг и техническое обслуживание инстансов HSM. Для обновления, замены или тестирования может потребоваться отключить инстанс HSM от сервиса. Операции, связанные с заменой, при нормальных обстоятельствах занимают менее двадцати минут и не должны мешать работе кластера CloudHSM. Приложение, которое активно использует определенный инстанс HSM в кластере в момент его замены, может испытать кратковременный сбой, пока клиент CloudHSM будет повторять операцию на другом HSM в кластере.

AWS не выполняет регулярные работы по обслуживанию модулей HSM в нескольких зонах доступности в пределах одного региона в течение одних суток.

В непредвиденных обстоятельствах AWS может провести экстренное техническое обслуживание без предварительного уведомления. AWS прилагает все усилия, чтобы избежать таких ситуаций, а также ситуаций, когда экстренное техническое обслуживание модулей HSM в нескольких зонах доступности одного региона выполняется в течение одних суток.

AWS настоятельно рекомендует во избежание сбоев использовать кластеры CloudHSM с двумя или более модулями HSM в разных зонах доступности.

Вопрос: У меня возникли проблемы с CloudHSM. Что делать?

Обратитесь в AWS Support.


По вопросам, касающимся AWS CloudHSM Classic, см. страницу Вопросы и ответы по AWS CloudHSM Classic.

Подробнее о ценах на AWS CloudHSM

Перейти на страницу цен
Готовы приступить к разработке?
Начать работу с AWS CloudHSM
Есть вопросы?
Свяжитесь с нами