AWS CloudHSM

โมดูลรักษาความปลอดภัยฮาร์ดแวร์ (HSM) ที่ได้รับการจัดการบน AWS Cloud

AWS CloudHSM คือโมดูลรักษาความปลอดภัยฮาร์ดแวร์บนระบบคลาวด์ (HSM) ที่ช่วยให้คุณสามารถสร้างและใช้คีย์การเข้ารหัสได้อย่างง่ายดายบน AWS Cloud ด้วย CloudHSM คุณสามารถจัดการคีย์การเข้ารหัสของคุณเองได้โดยใช้ HSM FIPS 140-2 ระดับ 3 ที่ได้รับการตรวจสอบแล้ว CloudHSM ช่วยให้คุณมีความยืดหยุ่นในการผสานรวมแอปพลิเคชันของคุณเข้าด้วยกันโดยใช้ API ระดับมาตรฐานอุตสาหกรรม เช่น PKCS#11, Java Cryptography Extensions (JCE) และไลบรารี Microsoft CryptoNG (CNG)

CloudHSM เป็นไปตามมาตรฐานต่างๆ และช่วยให้คุณสามารถส่งออกคีย์ของคุณทั้งหมดไปยัง HSM ที่มีจำหน่ายในท้องตลาดอื่นๆ ได้ โดยขึ้นอยู่กับการกำหนดค่าของคุณ ซึ่งเป็นบริการที่ได้รับการจัดการอย่างครบครันที่ทำให้งานบริหารจัดการที่ใช้เวลานานของคุณเป็นแบบอัตโนมัติ เช่น การจัดเตรียมฮาร์ดแวร์ การแพทช์ซอฟต์แวร์ ความพร้อมให้บริการตลอดเวลา และการสำรองข้อมูล CloudHSM ยังช่วยให้คุณสามารถปรับขนาดความจุได้อย่างรวดเร็วโดยเพิ่มหรือลบความจุ HSM ตามความต้องการโดยไม่มีค่าบริการล่วงหน้า

ขอแนะนำ AWS CloudHSM

ประโยชน์

สร้างและใช้คีย์การเข้ารหัสบน HSM FIPS 140-2 ระดับ 3 ที่ได้รับการตรวจสอบแล้ว

AWS CloudHSM ช่วยให้คุณสามารถสร้างและใช้คีย์การเข้ารหัสของคุณกับฮาร์ดแวร์ FIPS 140-2 ระดับ 3 ที่ได้รับการตรวจสอบแล้ว CloudHSM ช่วยปกป้องคีย์ของคุณด้วยระบบการเข้าถึงแบบบุคคลเดียวสำหรับอินสแตนซ์ HSM ที่มีระบบป้องกันการแทรกแซงใน Amazon Virtual Private Cloud (VPC) ของคุณเอง

ปรับใช้ปริมาณงานได้อย่างปลอดภัยและเป็นไปตามกฎระเบียบ

การใช้ HSM เป็นรากฐานของความไว้วางใจจะช่วยให้คุณสามารถแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนดด้านความปลอดภัย ความเป็นส่วนตัว และการป้องกันการแทรกแซง เช่น HIPAA, FedRAMP และ PCI AWS CloudHSM ช่วยให้คุณสร้างปริมาณงานได้อย่างปลอดภัยและเป็นไปตามกฎระเบียบพร้อมความน่าเชื่อถือสูงและเวลาแฝงต่ำโดยใช้อินสแตนซ์ HSM ใน AWS Cloud

ใช้ HSM แบบเปิดที่สร้างตามมาตรฐานอุตสาหกรรม

คุณสามารถใช้ AWS CloudHSM ในการผสานรวมแอปพลิเคชันแบบกำหนดเองเข้าด้วยกันโดยใช้ API ระดับมาตรฐานอุตสาหกรรม เช่น PKCS#11, Java Cryptography Extensions (JCE) และไลบรารี Microsoft CryptoNG (CNG) คุณยังสามารถถ่ายโอนคีย์ของคุณไปยังโซลูชัน HSM เชิงพาณิชย์อื่นๆ ได้ด้วย เพื่อให้คุณสามารถโยกย้ายคีย์เข้าหรือออกจาก AWS ได้ง่ายดาย

ควบคุมคีย์การเข้ารหัสของคุณ

AWS CloudHSM ให้สิทธิ์การเข้าถึง HSM ผ่านช่องทางที่ปลอดภัย เพื่อสร้างผู้ใช้และกำหนดนโยบายของ HSM เฉพาะผู้ใช้งาน HSM ที่คุณระบุไว้เท่านั้นที่สามารถเข้าถึงคีย์การเข้ารหัสที่คุณสร้างและใช้กับ CloudHSM ได้ AWS ไม่มีสิทธิ์เข้าถึงหรือเข้าดูคีย์การเข้ารหัสของคุณ

ง่ายต่อการจัดการและปรับขนาด

AWS CloudHSM ทำให้งานด้านการบริหารจัดการ HSM ที่ใช้เวลานานของคุณเป็นไปอย่างอัตโนมัติ เช่น การจัดเตรียมฮาร์ดแวร์ การแพทช์ซอฟต์แวร์ ความพร้อมให้บริการตลอดเวลา และการสำรองข้อมูล คุณสามารถปรับขนาดความจุ HSM ได้อย่างรวดเร็วโดยเพิ่มหรือลบ HSM จากคลัสเตอร์ของคุณตามต้องการ AWS CloudHSM จะรักษาสมดุลของโหลดคำขอและทำซ้ำคีย์ที่จัดเก็บไว้ใน HSM ใดๆ ไปยัง HSM อื่นๆ ทั้งหมดในคลัสเตอร์ได้อย่างปลอดภัย

ควบคุมคีย์ AWS KMS

คุณสามารถกำหนดค่า AWS Key Management Service (KMS) เพื่อใช้คลัสเตอร์ AWS CloudHSM ของคุณเป็นที่จัดเก็บคีย์ที่กำหนดเองแทนที่จะเป็นที่จัดเก็บคีย์ KMS เริ่มต้น ด้วยที่จัดเก็บคีย์ KMS ที่กำหนดเอง คุณจะได้รับประโยชน์จากการผสานรวมระหว่างบริการ AWS กับ KSM ที่จะเข้ารหัสข้อมูล ขณะเดียวกันก็ยังคงควบคุม HSM ที่ปกป้องคีย์หลัก KMS ของคุณ ที่เก็บคีย์ KMS แบบกำหนดเองจะช่วยให้คุณได้รับสิ่งที่ดีที่สุดจากทั้งสองด้าน โดยรวม HSM ที่มีผู้ใช้งานได้คนเดียวซึ่งอยู่ภายใต้การควบคุมของคุณเข้ากับความง่ายดายในการใช้งานและผสานรวมของ AWS KMS

วิธีทำงาน

CloudHSM_Diagrams_2-final

AWS CloudHSM ทำงานใน Amazon Virtual Private Cloud (VPC) ของคุณเอง ช่วยให้คุณใช้ HSM กับแอปพลิเคชันที่ทำงานบน Amazon EC2 Instance ได้อย่างง่ายดาย คุณสามารถใช้การควบคุมความปลอดภัย VPC มาตรฐานเพื่อจัดการการเข้าถึง HSM ของคุณด้วย CloudHSM แอปพลิเคชันของคุณเชื่อมต่อกับ HSM โดยใช้ช่อง SSL ที่ได้รับการรับรองความถูกต้องร่วมกันที่สร้างขึ้นโดยซอฟต์แวร์ไคลเอ็นต์ HSM ของคุณ เนื่องจาก HSM ของคุณอยู่ในศูนย์ข้อมูล Amazon ที่อยู่ใกล้กับ EC2 Instance คุณจึงสามารถลดเวลาแฝงของเครือข่ายระหว่างแอปพลิเคชันและ HSM ของคุณกับ HSM ในระบบได้

A: AWS จัดการอุปกรณ์โมดูลรักษาความปลอดภัยฮาร์ดแวร์ (HSM) แต่ไม่สามารถเข้าถึงคีย์ของคุณได้

B: คุณควบคุมและจัดการคีย์ของคุณเอง

C: ประสิทธิภาพของแอปพลิเคชันดีขึ้น (เนื่องจากใกล้เคียงกับปริมาณงาน AWS)

D: จัดเก็บข้อมูลสำคัญในฮาร์ดแวร์ที่มีการป้องกันการแทรกแซงที่มีอยู่ใน Availability Zone (AW) หลายแห่ง

E: HSM ของคุณอยู่ใน Virtual Private Cloud (VPC) และแยกออกจากเครือข่าย AWS อื่นๆ

การแบ่งแยกหน้าที่และการควบคุมการเข้าถึงตามบทบาทถือเป็นส่วนสำคัญในการออกแบบ AWS CloudHSM AWS จะคอยตรวจสอบความสมบูรณ์และความพร้อมใช้งานเครือข่ายของ HSM ของคุณ แต่จะไม่เกี่ยวข้องกับการสร้างและจัดการข้อมูลสำคัญที่จัดเก็บอยู่ภายใน HSM ของคุณ คุณควบคุม HSM และการสร้างและใช้คีย์การเข้ารหัสของคุณ

กรณีใช้งาน

ลดภาระการประมวลผล SSL สำหรับเว็บเซิร์ฟเวอร์

Secure Sockets Layer (SSL) และ Transport Layer Security (TLS) นำไปใช้ในการยืนยันตัวตนของเว็บเซิร์ฟเวอร์และสร้างการเชื่อมต่อ HTTPS ที่ปลอดภัยผ่านอินเทอร์เน็ต คุณสามารถใช้ AWS CloudHSM เพื่อลดภาระการประมวลผล SSL/TLS สำหรับเว็บเซิร์ฟเวอร์ของคุณได้ การใช้ CloudHSM สำหรับการประมวลผลนี้ช่วยลดภาระงานบนเว็บเซิร์ฟเวอร์ของคุณได้และช่วยเพิ่มความปลอดภัยโดยจัดเก็บคีย์ส่วนตัวของเว็บเซิร์ฟเวอร์ไว้ใน CloudHSM

product-page-diagram_CloudHSM_offload-ssl

ปกป้องคีย์ส่วนตัวสำหรับผู้ให้บริการออกใบรับรอง (CA)

ผู้ให้บริการออกใบรับรอง (CA) เป็นหน่วยงานที่ได้รับความไว้วางใจในการออกใบรับรองดิจิทัลในส่วนโครงสร้างพื้นฐานของคีย์สาธารณะ (PKI) ใบรับรองดิจิทัลเหล่านี้จะนำไปใช้ในการระบุบุคคลหรือองค์กร คุณสามารถใช้ AWS CloudHSM ในการจัดเก็บคีย์ส่วนตัวของคุณได้และเซ็นคำขอใบรับรองเพื่อให้คุณสามารถทำหน้าที่เป็น CA สำหรับออกใบรับรองให้กับองค์กรของคุณได้อย่างปลอดภัย

product-page-diagram_CloudHSM_ca-1

เปิดใช้งาน Transparent Data Encryption (TDE) สำหรับฐานข้อมูล Oracle

คุณสามารถใช้งาน AWS CloudHSM เพื่อจัดเก็บคีย์หลักการเข้ารหัสของ Transparent Data Encryption (TDE) สำหรับเซิร์ฟเวอร์ฐานข้อมูล Oracle ของคุณที่รองรับ TDE จะรองรับ SQL Server ในเร็วๆ นี้ เซิร์ฟเวอร์ฐานข้อมูลที่รองรับสามารถเข้ารหัสข้อมูลก่อนจัดเก็บลงในดิสก์ได้โดยใช้ TDE โปรดทราบว่า Amazon RDS สำหรับ Oracle ไม่รองรับ TDE ที่มี CloudHSM คุณจึงควรใช้ AWS Key Management Service สำหรับกรณีใช้งานนี้

product-page-diagram_CloudHSM_database

โพสต์บล็อกและบทความ

ไม่มีรายการส่งคืน

เริ่มต้นใช้งาน AWS

icon1

ลงชื่อสมัครใช้งานบัญชี AWS

รับสิทธิ์การเข้าถึง AWS Free Tier ได้ทันที
icon2

เรียนรู้จากบทแนะนำสอนการใช้งาน 10 นาที

สำรวจและเรียนรู้จาก บทแนะนำสอนการใช้งานอย่างง่ายๆ
icon3

เริ่มต้นสร้างด้วย AWS

เริ่มต้นสร้างด้วยคำแนะนำแบบทีละขั้นตอนเพื่อช่วยในการเปิดใช้ โพรเจกต์ AWS ของคุณ

เรียนรู้เพิ่มเติมเกี่ยวกับ AWS CloudHSM

พร้อมสร้างหรือยัง
เริ่มต้นใช้งาน CloudHSM
มีคำถามเพิ่มเติมหรือไม่
ติดต่อเรา