Вопрос: Что представляет собой AWS CloudHSM?

Сервис AWS CloudHSM поможет вам соответствовать корпоративным, договорным и нормативным требованиям к обеспечению безопасности данных с помощью выделенного аппаратного модуля безопасности (HSM) в облаке AWS. Партнеры AWS и AWS Marketplace предлагают множество разнообразных решений для защиты конфиденциальной информации в рамках платформы AWS. Однако для некоторых приложений и данных, на которые распространяются требования договоров или нормативных актов по управлению криптографическими ключами, иногда требуется дополнительная защита. CloudHSM дополняет существующие решения, обеспечивающие безопасность данных, и позволяет защитить ключи шифрования с помощью модулей HSM, которые были разработаны и проверены в соответствии с государственными стандартами управления ключами безопасности. CloudHSM позволяет надежно генерировать и хранить криптографические ключи, используемые для шифрования данных, а также управлять ими таким образом, чтобы эти ключи были доступны только вам.

Вопрос: Что представляет собой аппаратный модуль безопасности (HSM)?

Аппаратный модуль безопасности (HSM) представляет собой устройство, которое обеспечивает безопасное хранение ключей и выполнение криптографических операций с помощью устойчивого к взлому аппаратного средства. Модули HSM разработаны для надежного хранения данных криптографических ключей и их использования без раскрытия ключей за пределами криптографического модуля.

Вопрос: Как можно использовать сервис CloudHSM?

Вы можете применять сервис CloudHSM в различных примерах использования и приложениях, таких как шифрование баз данных, управление цифровыми правами (DRM), инфраструктура открытых ключей (PKI), аутентификация и авторизация, подпись документов и обработка транзакций.

Вопрос: Как работает CloudHSM?

При использовании сервиса AWS CloudHSM вы создаете кластер CloudHSM. Кластеры могут содержать до 32 отдельных модулей HSM, распределенных по нескольким зонам доступности, которые автоматически синхронизируются и между которыми сбалансированно распределяется нагрузка. Вы получаете выделенный однопользовательский доступ к каждому HSM в кластере. Каждый модуль HSM отображается в качестве сетевого ресурса в облаке Virtual Private Cloud (VPC). При выделении вы получаете данные для доступа администратора кластера и при необходимости можете создавать других пользователей и администраторов. Добавление модулей HSM в кластер и удаление модулей выполняется одним вызовом API AWS CloudHSM (или одной командой в интерфейсе командной строки AWS). После создания и инициализации кластера CloudHSM можно настроить в своем инстансе EC2 клиента, позволяющего приложениям использовать кластер через безопасное, аутентифицированное сетевое соединение.

Администраторы Amazon контролируют работоспособность ваших модулей HSM, но не имеют никакого доступа к их настройке, управлению или использованию. Для отправки криптографических запросов модулю HSM приложения используют стандартные криптографические API в сочетании с клиентским ПО HSM, установленным на инстансе приложения. Программное обеспечение клиента обеспечивает защищенный канал ко всем модулям HSM в кластере и отправляет запросы по этому каналу, а модули HSM выполняют операции и возвращают результаты тоже по защищенному каналу. После этого клиентское ПО возвращает результат в приложение посредством криптографического API.

Вопрос: В настоящее время у меня нет VPC. Могу ли я использовать AWS CloudHSM?

Нет. Чтобы защитить и изолировать CloudHSM от других пользователей Amazon, необходимо, чтобы модуль CloudHSM был выделен внутри облака VPC. Вы можете легко создать VPC. Дополнительные сведения см. в Руководстве по началу работы с VPC.

Вопрос: Обязательно ли приложение должно храниться в том же облаке VPC, что и кластер CloudHSM?

Нет, но сервер или инстанс, на котором запущено приложение и клиент HSM, должны иметь сетевой (IP) доступ ко всем модулям HSM в кластере. Вы можете установить сетевое подключение между приложением и HSM различными способами, включая запуск приложения в том же VPC, пиринговое подключение VPC, VPN-подключение или сервис Direct Connect. Дополнительные сведения см. в Руководстве по пиринговому подключению VPC и Руководстве пользователя VPC.

Вопрос: Работает ли CloudHSM с локальными модулями HSM?

Да. Хотя CloudHSM не взаимодействует напрямую с локальными модулями HSM, имеется возможность перемещения или синхронизация ключей между ними в зависимости от примера использования, типа ключей и типа локальных модулей HSM. Если такая необходимость есть, подайте заявку в службу технической поддержки AWS через Консоль AWS.

Вопрос: Как приложение может использовать CloudHSM?

Мы интегрировали и тестировали CloudHSM с рядом сторонних программных решений, таких как Oracle Database 11g и 12c, и веб-серверами, включая Apache и Nginx. При этом выполнялись задачи по разгрузке SSL. Дополнительные сведения см. в Руководстве разработчика по CloudHSM.

При разработке собственных специальных приложений можно использовать стандартные API, поддерживаемые CloudHSM, включая PKCS#11 и Java JCA/JCE (криптографическая архитектура Java и криптографические расширения Java). В ближайшее время будет реализована поддержка Microsoft CAPI/CNG. Примеры кода и инструкции по началу работы см. в Руководстве пользователя CloudHSM.

Вопрос: Можно ли использовать CloudHSM для хранения ключей или шифрования данных, используемых другими сервисами AWS?

Да. Вы можете выполнять шифрование в своем приложении, интегрированном с CloudHSM. В этом случае сервисы AWS, такие как S3 или EBS, будут видеть только зашифрованные данные.

Вопрос: Могут ли другие сервисы AWS использовать CloudHSM для хранения ключей и управления ими?

Сервисы AWS в настоящее время не интегрируются с CloudHSM. Если вы хотите использовать шифрование на стороне сервера, предлагаемое многими сервисами AWS (например, EBS, S3 или RDS), следует рассмотреть использование сервиса AWS Key Management Service. Возможно, через некоторое время мы обеспечим интеграцию CloudHSM с другими сервисами AWS. Сообщите нам, если вас интересует такая возможность.

Вопрос: Можно ли использовать CloudHSM для выполнения трансляции блокировки PIN-кода или других операций, используемых при дебетовых платежах?

В настоящее время CloudHSM предоставляет модули HSM общего назначения. Со временем мы можем добавить платежные функции. Сообщите нам, если вас интересует такая возможность.

Вопрос: В чем сходство и различие работы сервиса AWS Key Management Service (KMS) и сервиса AWS CloudHSM?

AWS Key Management Service (KMS) – это многопользовательский управляемый сервис, который позволяет использовать ключи шифрования и управлять ими. Оба сервиса обеспечивают высокий уровень безопасности для криптографических ключей. AWS CloudHSM предоставляет выделенный модуль HSM, соответствующий требованиям стандарта FIPS 140-2 Level 3, под вашим монопольным управлением непосредственно в облаке Amazon Virtual Private Cloud (VPC).

Вопрос: Когда имеет смысл использовать AWS CloudHSM вместо AWS KMS?

Рассмотреть возможность использования AWS CloudHSM следует в случаях, когда требуются решения следующих задач.

  • Хранение ключей в выделенных сторонних проверенных аппаратных модулях безопасности под вашим монопольным контролем.
  • Соответствие требованиям стандарта FIPS 140-2.
  • Интеграция с приложениями с помощью интерфейсов PKCS#11, Java JCE или Microsoft CNG.
  • Высокопроизводительное криптографическое ускорение внутри облака VPC (массовое шифрование).

Вопрос: Могут ли мои модули HSM на базе Safenet устареть так, что их придется вывести из эксплуатации?

Нет. Хотя мы полагаем, что набор возможностей и стоимость нового сервиса CloudHSM составляют гораздо более привлекательную альтернативу, мы будем поддерживать AWS CloudHSM Classic для существующих клиентов. Ресурсы для помощи в переходе с CloudHSM Classic на новый сервис будут доступны в ближайшее время.

Вопрос: Как начать работу с CloudHSM?

Вы можете выделить кластер CloudHSM в консоли CloudHSM или с помощью нескольких вызовов API через SDK или API AWS. Подробнее о начале работы с инструментами интерфейса командной строки см. в Руководстве пользователя CloudHSM; сведения об API сервиса см. в Руководстве разработчика по CloudHSM; сведения об использовании SDK см. на странице инструментов для работы с Amazon Web Services.

Вопрос: Как прекратить использование сервиса CloudHSM?

Вы можете использовать API или SDK CloudHSM для удаления модулей HSM и прекращения использования сервиса. Дополнительные инструкции см. в Руководстве пользователя CloudHSM.

Вопрос: Каков принцип оплаты сервиса AWS CloudHSM?

За использование сервиса взимается почасовая плата за каждый полный или неполный час, в течение которых модуль HSM был выделен кластеру CloudHSM. За кластеры, в которых нет модуля HSM, плата не взимается, вы не оплачиваете автоматическое хранение зашифрованных резервных копий. Amazon оставляет за собой право взимать плату за перемещение данных по сети в сервис AWS CloudHSM и из него, если объем перемещаемых данных превышает 5000 ГБ в месяц. Подробнее см. на странице цен CloudHSM.

Вопрос: Существует ли для сервиса CloudHSM уровень бесплатного пользования?

Нет, уровень бесплатного пользования CloudHSM не предусмотрен.

Вопрос: Существуют ли какие-либо предварительные требования для регистрации в CloudHSM?

Да. Чтобы начать использовать сервис CloudHSM, необходимо выполнить несколько предварительных требований, включая создание Virtual Private Cloud (VPC) в том регионе, где предполагается использовать сервис CloudHSM. Подробные сведения см. в Руководстве пользователя CloudHSM.

Вопрос: Требуется ли управлять встроенным ПО на модуле HSM?

Нет. AWS управляет встроенным ПО на аппаратных ресурсах. Такое ПО поддерживается сторонним производителем, и каждая версия должна быть оценена NIST на соответствие требованиям стандарта FIPS 140-2 Level 3. К установке допускаются только версии встроенного ПО, криптографически подписанные ключом FIPS, к которому AWS не имеет доступа.

Вопрос: Сколько модулей HSM должно быть в кластере CloudHSM?

AWS настоятельно рекомендует для любой рабочей нагрузки использовать как минимум два модуля HSM в двух разных зонах доступности. Для критически важных рабочих нагрузок мы рекомендуем использовать как минимум три модуля HSM в двух отдельных зонах доступности. Клиент CloudHSM автоматически обрабатывает любые сбои модулей HSM и незаметно для приложения балансирует нагрузку между двумя или более модулями HSM.

Вопрос: Кто отвечает за надежность ключей?

AWS создает автоматические зашифрованные резервные копии кластера CloudHSM на ежедневной основе. Дополнительные резервные копии создаются при наступлении событий жизненного цикла кластера (таких как добавление или удаление модулей HSM). В течение 24-часового интервала между резервными копиями клиент несет единоличную ответственность за сохранность набора ключей, созданных в его кластере или импортированных в него. Для обеспечения сохранности ключей настоятельно рекомендуется обеспечить синхронизацию любых созданных ключей по меньшей мере на двух модулях HSM в двух разных зонах доступности. Подробнее о проверке синхронизации ключей см. в Руководстве пользователя CloudHSM.

Вопрос: Как настроить конфигурацию высокой доступности (HA)?

Высокая доступность предоставляется автоматически, когда у вас есть как минимум два модуля HSM в кластере CloudHSM. Никакой дополнительной настройки не требуется. В случае сбоя модуля HSM в кластере он будет автоматически заменен, и все клиенты будут обновлены, чтобы отразить новую конфигурацию без прерывания обработки данных. Дополнительные модули HSM можно добавить в кластер с помощью API или SDK AWS, повышая доступность без прерывания работы приложения.

Вопрос: Сколько модулей HSM можно подключить в кластере CloudHSM?

Кластер CloudHSM может содержать до 32 модулей HSM.

Вопрос: Можно ли создавать резервные копии кластеров CloudHSM?

Резервные копии кластеров CloudHSM создаются AWS на ежедневной основе. Ключи также могут быть экспортированы из кластера и сохранены локально, если только они не были сгенерированы без возможности экспортирования. В настоящее время других вариантов резервного копирования нет, хотя в ближайшее время мы планируем предоставить более широкие возможности резервного копирования в локальное местоположение.

Вопрос: Существует ли для CloudHSM Соглашение об уровне обслуживания?

В настоящее время Соглашение об уровне обслуживания для CloudHSM не поддерживается.

Вопрос: Использую ли я CloudHSM совместно с другими клиентами AWS?

Нет. В рамках сервиса вы получаете однопользовательский доступ к модулям HSM. Базовое аппаратное обеспечение может использоваться совместно с другими клиентами, но модуль HSM доступен только вам.

Вопрос: Каким образом AWS управляет модулями HSM без доступа к моим ключам шифрования?

В архитектуре CloudHSM предусмотрено разделение обязанностей и контроль доступа на основе ролей. AWS имеет ограниченный доступ к модулям HSM, который позволяет нам контролировать и поддерживать работоспособность и доступность модулей HSM, делать зашифрованные резервные копии, а также извлекать и публиковать журналы аудита в журналах CloudWatch Logs. AWS не может видеть ключи, получать к ним доступ или использовать и не может инициировать выполнение модулем HSM криптографических операций с помощью пользовательских ключей.

Дополнительную информацию о разделении обязанностей и о возможностях модулей HSM, предоставляемых для каждой категории пользователей, см. в Руководстве пользователя CloudHSM.

Вопрос: Могу ли я выполнять мониторинг модуля HSM?

Да. CloudHSM публикует множество метрик CloudWatch для кластеров CloudHSM и для отдельных модулей HSM. Вы можете использовать консоль, API или SDK AWS CloudWatch для получения этих метрик или генерации предупреждений на их основе.

Вопрос: Какой «источник энтропии» (источник случайных чисел) используется в CloudHSM?

Каждый модуль HSM имеет сертифицированный FIPS детерминированный генератор случайных чисел (DRBG), начальные числа для которого выдает истинный генератор случайных чисел (TRNG), соответствующий требованиям SP800-90B и размещенный в аппаратном модуле HSM. Это высококачественный источник энтропии, способный продуцировать 20 Мб/сек непредсказуемых данных на один модуль HSM.

Вопрос: Что произойдет, если кто-либо взломает модуль HSM?

CloudHSM имеет как физические, так и логические механизмы обнаружения вторжения и реагирования на него, которые инициируют удаление (обнуление) ключа устройства. Модули HSM разработаны с возможностью обнаружения вторжения в случае нарушения физической защиты модуля HSM. Кроме того, после пяти неудачных попыток доступа к модулю HSM с данными для доступа ответственного сотрудника по криптографической защите (CO) аппаратный модуль HSM выполняет самостирание. После пяти неудачных попыток доступа к модулю HSM с данными для доступа пользователя системы криптографической защиты (CU) пользователь будет заблокирован с возможностью разблокирования только через CO.

Вопрос: Что произойдет в случае сбоя?

Amazon выполняет мониторинг модулей HSM и сети на доступность и наличие условий возникновения ошибок, а также проводит их техническое обслуживание. Если модуль HSM выходит из строя или отключается от сети, этот модуль HSM автоматически заменяется. Вы можете проверять состояние отдельного модуля HSM с помощью API CloudHSM, SDK или инструментов интерфейса командной строки. Кроме того, с помощью панели состояния сервисов AWS можно в любое время проверить общее состояние сервиса.

Вопрос: Потеряю ли я свои ключи, если одно устройство HSM выйдет из строя?

Да. Если вы не используете два или более HSM, то можете потерять ключи, созданные позднее последнего ежедневного резервного копирования, если используемый кластер CloudHSM выйдет из строя. Amazon настоятельно рекомендует в любом рабочем кластере CloudHSM использовать два или более HSM в различных зонах доступности, чтобы избежать потери криптографических ключей.

Вопрос: Может ли Amazon восстановить мои ключи в случае потери данных для доступа к устройству?

Нет. Amazon не имеет доступа к вашим ключам и данным для доступа, поэтому в случае потери данных для доступа восстановить ключи невозможно.

Вопрос: Как убедиться, что я могу доверять устройствам CloudHSM?

CloudHSM предусматривает обеспечение соответствия Федеральному стандарту обработки информации (FIPS) 140-2 Level 3. Профиль безопасности FIPS 140-2 для базового оборудования, используемого CloudHSM, можно найти здесь: http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2850.pdf

Вы можете выполнить процедуру, приведенную в Руководстве пользователя CloudHSM в разделе «Проверка аутентичности модуля HSM», чтобы подтвердить, что ваш HSM подлинный и в нем используется аппаратное оборудование, указанное в политике безопасности NIST, приведенной выше.

Вопрос: Как использовать CloudHSM в режиме FIPS 140-2?

CloudHSM всегда находится в режиме FIPS 140-2. Это можно проверить с помощью инструментов интерфейса командной строки, описанных в Руководстве пользователя CloudHSM, и команды getHsmInfo, которая показывает состояние режима FIPS.

Вопрос: Поддерживает ли сервис CloudHSM стандарт FIPS 140-2 Level 3?

Да, CloudHSM всегда находится в режиме FIPS 140-2 Level 3.

Вопрос: Как безопасно распределить данные для доступа к разделам HSM между моими инстансами?

См. следующую публикацию в блоге AWS Security, в которой описано использование ролей IAM для распределения данных для доступа, не относящихся к AWS, между инстансами EC2.

Вопрос: Можно ли просмотреть историю всех вызовов API CloudHSM, сделанных из моего аккаунта?

Да. AWS CloudTrail записывает вызовы API AWS для вашего аккаунта. История вызовов API AWS в CloudTrail позволяет проводить анализ безопасности, отслеживание изменения ресурсов и аудит соответствия требованиям. Дополнительные сведения о сервисе CloudTrail см. на главной странице CloudTrail. Включить его можно в разделе CloudTrail в Консоли управления AWS.

Вопрос: Какие события не записываются в CloudTrail?

CloudTrail не содержит журналов доступа и сведений об устройствах HSM. Они предоставляются непосредственно вашему аккаунту AWS через журналы CloudWatch. Подробные сведения см. в Руководстве пользователя Amazon CloudHSM.

Вопрос: Какие инициативы AWS по обеспечению соответствия требованиям распространяются на сервис CloudHSM?

Дополнительную информацию о том, какие программы обеспечения соответствия требованиям распространяются на CloudHSM, см. на странице Соответствие требованиям в AWS. В отличие от других сервисов AWS, соответствие CloudHSM требованиям часто проверяется непосредственно, с помощью проверки соответствия стандарту FIPS 140-2 Level 3 самого оборудования, а не в рамках отдельной программы аудита.

Вопрос: Почему важно соблюдение требований стандарта FIPS 140-2 Level 3?

Соблюдение требований FIPS 140-2 Level 3 необходимо в определенных примерах использования, включая подпись документов, проведение платежей или выдачу сертификатов SSL публичным центром сертификации.

Вопрос: Как запросить отчеты о соответствии требованиям, которые содержат сведения о CloudHSM в контексте?

Вы можете запросить отчеты о соответствии требованиям у своего представителя по развитию бизнеса. Если вы не работаете с представителем, оставьте запрос здесь.

Вопрос: Сколько криптографических операций в секунду может выполнять CloudHSM?

Производительность отдельных модулей HSM зависит от конкретной рабочей нагрузки. В таблице ниже приведены примерные характеристики одного модуля HSM для нескольких стандартных криптографических алгоритмов. Каждый кластер CloudHSM может иметь до 32 модулей HSM, обеспечивая производительность, до 32 раз превышающую указанную в таблице ниже. Производительность может изменяться в зависимости от конфигурации и объема данных, поэтому рекомендуется провести нагрузочное тестирование приложения с помощью CloudHSM для определения точных потребностей в масштабировании.

Подпись/проверка ключом RSA 2048 бит

1100 в секунду

EC P256

Скалярное умножение 315 точек в секунду

AES 256

Полнодуплексное массовое шифрование 300 Мбит/с

Генерация ключа RSA 2048 бит

~2 в секунду

Генерация случайных чисел (CSPRNG)

20 МБ в секунду

Вопрос: Сколько ключей может храниться в инстансе CloudHSM?

Кластер CloudHSM может хранить до 3500 ключей любого типа или размера.

Вопрос: Поддерживает ли CloudHSM Amazon RDS Oracle TDE?

Нет. Amazon RDS Oracle TDE не поддерживается; однако Oracle TDE поддерживается для баз данных Oracle (11g и 12c), работающих в EC2. Дополнительные сведения см. в Руководстве пользователя CloudHSM.

Вопрос: Что такое клиент CloudHSM?

Клиент CloudHSM представляет собой программный пакет, поставляемый AWS, который позволяет вам и вашим приложениям взаимодействовать с кластерами CloudHSM.

Вопрос: Предоставляет ли клиент CloudHSM доступ к моему кластеру CloudHSM для AWS?

Нет. Клиент CloudHSM имеет открытый исходный код и опубликован под лицензией BSD. Дистрибутив с полностью открытым исходным кодом доступен по запросу и может быть скомпилирован с помощью собственных средств компиляции. По умолчанию для удобства мы поставляем двоичный файл менеджера установки (RPM).

Вопрос: Что представляют собой инструменты интерфейса командной строки CloudHSM?

Клиент CloudHSM поставляется с набором инструментов для интерфейса командной строки (CLI), которые позволяют администрировать и использовать HSM из командной строки. На сегодня реализована поддержка в Linux. В ближайшее время появится поддержка в MacOS и Windows. Инструменты CLI доступны в том же пакете, что и клиент CloudHSM.

Вопрос: Как загрузить инструменты интерфейса командной строки CloudHSM и начать работать с ними?

Инструкции приведены в Руководстве пользователя CloudHSM.

Вопрос: Предоставляют ли инструменты интерфейса командной строки CloudHSM AWS доступ к содержимому HSM?

Нет. Инструменты CloudHSM напрямую связывают кластер CloudHSM с клиентом CloudHSM через защищенный канал с двусторонней аутентификацией. AWS не может прослеживать обмен данными между клиентом, инструментами и модулем HSM, так как используется сквозное шифрование.

Вопрос: В каких операционных системах можно использовать инструменты командной строки и клиента CloudHSM?

В нескольких разновидностях Linux (современные версии Amazon Linux, Redhat, Centos и Ubuntu), в Microsoft Windows и Apple MacOS. Если вас интересует использование инструментов командной строки и клиента CloudHSM в других операционных системах, сообщите нам.

Вопрос: Каковы требования к сетевому подключению для использования инструментов интерфейса командной строки CloudHSM?

Хост, на котором запускается клиент CloudHSM и/или используются инструменты командной строки, должен иметь сетевой доступ ко всем модулям HSM в кластере CloudHSM.

Вопрос: Как можно использовать API и SDK CloudHSM?

Вы можете создавать, изменять, удалять кластеры CloudHSM и модули HSM и определять их состояние. Возможности использования API AWS CloudHSM ограничены операциями, которые позволяет выполнять ограниченный доступ AWS. API не может получать доступ к содержимому HSM или изменять пользователей, политики или другие настройки. Подробные сведения об API см. в документации на CloudHSM. Подробные сведения об SDK см. на странице Инструменты для работы с Amazon Web Services.

Вопрос: Как выполняются регулярные работы по обслуживанию устройств HSM?

Проводимое AWS плановое техническое обслуживание модулей HSM позволяет предотвратить одновременный простой нескольких зон доступности в одном регионе.

AWS осуществляет мониторинг и техническое обслуживание модулей HSM, при этом может потребоваться отключить модуль HSM для обновления, замены или тестирования определенного оборудования. Операции по замене при нормальных обстоятельствах продолжаются не более нескольких минут и не должны мешать работе кластера CloudHSM. Приложение, которое активно использует определенный HSM в кластере при его замене может испытать кратковременный сбой, так как клиент CloudHSM будет повторять операцию на другом HSM в кластере.

AWS не выполняет регулярные работы по обслуживанию модуля HSM в нескольких зонах доступности в пределах одного региона в течение одних суток.

В непредвиденных обстоятельствах AWS может провести экстренное техническое обслуживание без предварительного уведомления. AWS приложит все усилия, чтобы избежать таких ситуаций, а также ситуаций, когда экстренное техническое обслуживание выполняется в течение одних суток на модулях HSM в нескольких зонах доступности одного региона.

AWS настоятельно рекомендует во избежание сбоев использовать кластеры CloudHSM с двумя или более модулями HSM в разных зонах доступности.

Вопрос: У меня возникли проблемы с CloudHSM. Что мне делать?

Обратитесь в AWS Support.


По вопросам, касающимся AWS CloudHSM Classic, см. страницу Вопросы и ответы по AWS CloudHSM Classic.