AWS CloudHSM

AWS 雲端的受管硬體安全模組 (HSM)。

AWS CloudHSM 是以雲端為基礎的硬體安全模組 (HSM),可讓您輕鬆地在 AWS 雲端產生和使用您自己的加密金鑰。透過 CloudHSM,您可以使用經過 FIPS 140-2 第 3 級驗證的 HSM 管理自己的加密金鑰。CloudHSM 讓您使用產業標準 API (如 PKCS#11、Java Cryptography Extension (JCE) 和 Microsoft CryptoNG (CNG) 程式庫) 彈性地與應用程式整合。

CloudHSM 符合多項規範,可讓您依設定將所有金鑰匯出到大多數其他商用 HSM。它是全受管服務,能夠為您自動化耗時的管理任務,例如硬體佈建、軟體修補、高可用性及備份。CloudHSM 也能讓您隨需要新增和移除 HSM 容量以快速調整,無須預付費用。

介紹 AWS CloudHSM

優勢

產生加密金鑰,並將其用於已通過 FIPS 140-2 第 3 級驗證的 HSM

AWS CloudHSM 可讓您產生加密金鑰,並將其用於已通過 FIPS 140-2 第 3 級驗證的硬體。CloudHSM 透過您自己 Amazon Virtual Private Cloud (VPC) 中對防竄改 HSM 執行個體的單一租用戶專屬存取權保護您的金鑰。

部署安全、合規的工作負載

使用 HSM 做為信任根,有助於您符合 HIPAA、FedRAMP 和 PCI 等安全性、隱私權和反竄改規範。AWS CloudHSM 可讓您使用 AWS 雲端中的 HSM 執行個體建立高度可靠且低延遲的安全、合規工作負載。

使用依產業標準建置的開放原始碼 HSM

您可以使用產業標準 API (如 PKCS#11、Java Cryptography Extension (JCE) 和 Microsoft CryptoNG (CNG) 程式庫),將 AWS CloudHSM 與自訂應用程式整合。此外,您還可以將金鑰傳輸到其他商用 HSM 解決方案,方便您將金鑰遷入或遷出 AWS。

控制加密金鑰

AWS CloudHSM 讓您透過安全通道存取 HSM,以建立使用者和設定 HSM 政策。您透過 CloudHSM 所產生和使用的加密金鑰只能由您指定的 HSM 使用者存取。AWS 看不到也無法存取您的加密金鑰。

負載平衡和高可用性

AWS CloudHSM 會自動對請求進行負載平衡,並以安全的方式將存放在任何 HSM 的金鑰複製到叢集中所有其他 HSM。為了可用性和耐久性,Amazon 建議的組態是跨多個可用區域至少使用兩個 HSM。

易於管理

AWS CloudHSM 是一項受管服務,可為您自動化耗時的管理任務,例如硬體佈建、軟體修補、高可用性及備份。您可以隨需在叢集新增或移除 HSM,以便快速地調整 HSM 容量。

運作方式

CloudHSM_Diagrams_2-final

AWS CloudHSM 在您自己的 Amazon Virtual Private Cloud (VPC) 執行,讓您輕鬆地使用 HSM 搭配在 Amazon EC2 執行個體上執行的應用程式。透過 CloudHSM,您可以使用標準 VPC 安全控制來管理對 HSM 的存取。應用程式使用 HSM 用戶端軟體建立的相互驗證 SSL 通道連接到 HSM。因為 HSM 位於靠近 EC2 執行個體的 Amazon 資料中心,所以相較於使用現場部署 HSM,可以降低應用程式與 HSM 之間的網路延遲。

A:AWS 管理硬體安全模組 (HSM) 設備,但是無法存取您的金鑰

B:您控制和管理自己的金鑰

C:應用程式效能提升 (因為與 AWS 工作負載非常靠近)

D:多個可用區域 (AZ) 的防竄改硬體中提供安全金鑰儲存

E:HSM 位於您的 Virtual Private Cloud (VPC) 中,與其他 AWS 網路隔離。

AWS CloudHSM 在當初設計時就考慮到了責任分離和以角色為基礎的存取控制。AWS 會監控 HSM 的運作狀態和網路可用性,但不介入 HSM 中儲存的金鑰材料建立和管理過程。您控制 HSM 及加密金鑰的產生和使用。

使用案例

為 Web 伺服器卸載 SSL 處理

Secure Sockets Layer (SSL) 和 Transport Layer Security (TLS) 用於確認 Web 伺服器的身分,以及透過網際網路建立安全的 HTTPS 連線。您可以使用 AWS CloudHSM 卸載 Web 伺服器的 SSL/TLS 處理。針對這類處理使用 CloudHSM 可減輕 Web 伺服器的負擔,而且將 Web 伺服器的私有金鑰存放在 CloudHSM 可提供額外的安全性。

product-page-diagram_CloudHSM_offload-ssl

保護發行憑證授權機構 (CA) 的私有金鑰

在公開金鑰基礎設施 (PKI) 中,憑證授權機構 (CA) 是發行數位憑證的受信任實體。這些數位憑證用來識別個人或組織。您可以使用 AWS CloudHSM 存放私有金鑰和簽署憑證請求,以做為發行 CA 安全地發行您組織的憑證。

product-page-diagram_CloudHSM_ca-1

為 Oracle 資料庫啟用透明資料加密 (TDE)

您可以使用 AWS CloudHSM,為支援 TDE 的 Oracle 資料庫存放透明資料加密 (TDE) 主加密金鑰。即將推出 SQL Server 支援。透過 TDE,支援的資料庫伺服器可先加密資料,然後再存放到磁碟。請注意,Amazon RDS for Oracle 無法使用 CloudHSM 支援 TDE;這種使用案例應使用 AWS Key Management Service。

product-page-diagram_CloudHSM_database

開始使用 AWS

icon1

註冊 AWS 帳戶

立即存取 AWS 免費方案
icon2

利用 10 分鐘教學了解

跟著 簡單的教學課程一同探索並學習。
icon3

開始使用 AWS 進行建置

運用逐步操作指南開始建置,協助您啟動 AWS 專案

進一步了解 AWS CloudHSM

準備好開始建立?
開始使用 CloudHSM
還有其他問題嗎?
聯絡我們