Возможности AWS CloudHSM

AWS CloudHSM – это облачный аппаратный модуль безопасности (HSM), который позволяет без труда использовать безопасное хранилище ключей и высокопроизводительные криптографические операции в приложениях, работающих на AWS. CloudHSM не предполагает авансовых платежей и обеспечивает возможность запуска и остановки модулей HSM по требованию, что позволяет быстро и экономично выделять ресурсы по мере необходимости. CloudHSM – это управляемый сервис, который автоматизирует трудоемкие административные задачи, такие как выделение оборудования, исправление программного обеспечения, обеспечение высокой доступности и резервное копирование.

CloudHSM, наряду с AWS Key Management Service (KMS), является одним из сервисов AWS, которые обеспечивают высокий уровень безопасности криптографических ключей. KMS предоставляет простой и экономичный способ управления ключами шифрования на AWS, удовлетворяющий требованиям безопасности для большинства типов данных клиента. CloudHSM предлагает клиентам возможность однопользовательского доступа к модулям HSM и управления ими.

AWS CloudHSM обеспечивает однопользовательский доступ к защищенным от взлома модулям HSM, которые соответствуют стандарту FIPS 140‑2 Level 3 правительства США для криптографических модулей.

AWS CloudHSM упрощает масштабирование ресурсов модулей HSM. Можно по требованию добавлять и удалять модули HSM с помощью Консоли управления и API AWS.

AWS CloudHSM – это открытое решение без привязки к определенному поставщику. CloudHSM позволяет переносить свои ключи в другие коммерческие решения HSM, что упрощает перенос ключей из облака AWS или в него.

AWS CloudHSM обеспечивает интеграцию с пользовательскими приложениями через стандартные API‑интерфейсы и поддерживает несколько языков программирования, включая PKCS#11, Java Cryptography Extensions (JCE) и библиотеки Microsoft CryptoNG (CNG).

AWS CloudHSM поддерживает кворумную аутентификацию для критических административных функций и функций управления ключами. Кроме того, AWS CloudHSM поддерживает многофакторную аутентификацию (MFA) с использованием токенов, предоставляемых клиентом.

AWS CloudHSM – это управляемый сервис, который автоматизирует трудоемкие административные задачи, такие как выделение оборудования, исправление программного обеспечения, обеспечение высокой доступности и резервное копирование.

AWS CloudHSM работает в клиентском облаке Amazon Virtual Private Cloud (VPC), что позволяет без труда использовать модули HSM с приложениями, запущенными на инстансах Amazon EC2. При работе с CloudHSM можно использовать стандартные средства управления безопасностью облака VPC для управления доступом к модулям HSM. Приложения клиента подключаются к модулям HSM, используя SSL‑каналы с двусторонней аутентификацией, установленные клиентским ПО HSM. Поскольку модули HSM находятся в ЦОД Amazon рядом с инстансами EC2, можно уменьшить сетевые задержки между приложениями и модулями HSM по сравнению с использованием локальных модулей HSM.

A. AWS управляет модулем аппаратного обеспечения безопасности (HSM), но не имеет доступа к ключам клиента.

B. Пользователь контролирует собственные ключи и управляет ими.

C. Производительность приложения улучшается (вследствие непосредственной близости к рабочим нагрузкам AWS).

D. Ключи безопасно хранятся в защищенных от взлома аппаратных модулях в нескольких зонах доступности (AZ).

E. Модули HSM находятся в облаке Virtual Private Cloud (VPC) и изолированы от других сетей AWS.

В архитектуре сервиса AWS CloudHSM предусмотрены разделение обязанностей и контроль доступа на основе ролей. AWS осуществляет мониторинг работоспособности и сетевой доступности модулей CloudHSM, но не имеет отношения к созданию данных ключей, хранящихся в модуле HSM, или к управлению ими. Клиент управляет модулями HSM, генерирует и использует свои ключи шифрования.

AWS CloudHSM автоматически осуществляет балансировку нагрузки при обработке запросов и безопасно дублирует ключи, хранящиеся в любом модуле HSM, на все другие модули HSM в кластере. Это позволяет получить дополнительные криптографические ресурсы и повысить сохранность ключей. Благодаря хранению множества копий ключей на модулях HSM, расположенных в разных зонах доступности (AZ), ключи будут доступны и защищены в случае, если отдельный модуль HSM окажется недоступен. Рекомендуемая Amazon конфигурация для обеспечения доступности и надежности предусматривает использование не менее двух модулей HSM в разных зонах доступности.

Клиент AWS CloudHSM осуществляет балансировку нагрузки при обработке запросов и безопасно реплицирует данные ключей на задействованных модулях HSM в кластере.