AWS CloudHSM

Mô-đun bảo mật phần cứng (HSM) được quản lý trên Đám mây AWS.

AWS CloudHSM là một mô-đun bảo mật phần cứng dựa trên đám mây (HSM) cho phép bạn dễ dàng tạo và sử dụng các khóa mã hóa của riêng bạn trên Đám mây AWS. Với CloudHSM, bạn có thể quản lý các khóa mã hóa bằng các HSM đạt chuẩn FIPS 140-2 Cấp độ 3. CloudHSM mang đến cho bạn sự linh hoạt trong việc tích hợp với các ứng dụng sử dụng API tiêu chuẩn ngành, ví dụ như các thư viện PKCS#11, Java Cryptography Extensions (JCE) và Microsoft CryptoNG (CNG).

CloudHSM tuân thủ các tiêu chuẩn và cho phép bạn xuất tất cả các khóa sang hầu hết các HSM khác có sẵn trên thị trường, tùy thuộc vào cấu hình của bạn. Đây là một dịch vụ được quản lý hoàn toàn giúp tự động hóa các tác vụ quản trị tốn thời gian, chẳng hạn như cung cấp phần cứng, vá lỗi phần mềm, đảm bảo độ sẵn sàng cao và sao lưu. CloudHSM còn cho phép bạn thay đổi quy mô nhanh chóng bằng cách bổ sung và giảm bớt công suất của HSM theo nhu cầu mà không mất chi phí trả trước.

Giới thiệu về AWS CloudHSM

Lợi ích

Tạo và sử dụng các khóa mã hóa trên HSM được xác thực FIPS 140-2 cấp độ 3

AWS CloudHSM cho phép bạn tạo và sử dụng các khóa mã hóa trên phần cứng được xác thực FIPS 140-2 Cấp độ 3. CloudHSM bảo vệ các khóa của bạn bằng khả năng truy cập độc quyền, một bên thuê vào các phiên bản HSM chống phá hoại trong Amazon Virtual Private Cloud (VPC) của riêng bạn.

Triển khai các khối lượng công việc tuân thủ, bảo mật

Sử dụng HSM làm root of trust giúp bạn thể hiện sự tuân thủ các quy định về bảo mật, quyền riêng tư và chống phá hoại chẳng hạn như HIPAA, FedRAMP và PCI. AWS CloudHSM cho phép bạn xây dựng khối lượng công việc tương thích, bảo mật với độ tin cậy cao và độ trễ thấp, sử dụng các phiên bản HSM trên đám mây AWS.

Sử dụng một HSM mở được xây dựng theo các tiêu chuẩn ngành

Bạn có thể sử dụng AWS CloudHSM để tích hợp với các ứng dụng sử dụng API tiêu chuẩn ngành, ví dụ như các thư viện PKCS#11, Java Cryptography Extensions (JCE) và Microsoft CryptoNG (CNG). Bạn cũng có thể truyền các khóa sang các giải pháp HSM thương mại khác để dễ dàng di chuyển các khóa vào hoặc ra khỏi AWS.

Duy trì kiểm soát khóa mã hóa

AWS CloudHSM cho phép bạn truy cập các HSM qua một kênh bảo mật để tạo tài khoản người dùng và thiết lập chính sách HSM. Chỉ những người dùng HSM mà bạn chỉ định mới có quyền truy cập các khóa mã hóa mà bạn tạo ra và sử dụng với CloudHSM. AWS không có quyền giám sát hoặc truy cập các khóa mã hóa của bạn.

Cân bằng tải và độ khả dụng cao

AWS CloudHSM tự động cân bằng tải các yêu cầu và sao chép bảo mật các khóa được lưu trữ trong bất kỳ HSM nào đến tất cả các HSM khác trong cụm. Sử dụng ít nhất 2 HSM trên nhiều Vùng sẵn sàng là cấu hình được Amazon khuyến nghị để có được độ khả dụng và độ bền.

Dễ quản lý

AWS CloudHSM là một dịch vụ được quản lý giúp tự động hóa các tác vụ quản trị tốn thời gian, chẳng hạn như cung cấp phần cứng, vá lỗi phần mềm, đảm bảo độ sẵn sàng cao và sao lưu. Bạn có thể nhanh chóng tăng hoặc giảm công suất HSM bằng cách bổ sung và giảm bớt các HSM khỏi cụm máy chủ theo nhu cầu.

Cách thức hoạt động

CloudHSM_Diagrams_2-final

AWS CloudHSM chạy trên Amazon Virtual Private Cloud (VPC) của bạn, cho phép bạn dễ dàng sử dụng HSM với các ứng dụng chạy trên phiên bản Amazon EC2 của bạn. Với CloudHSM, bạn có thể sử dụng các biện pháp kiểm soát bảo mật VPC tiêu chuẩn để quản lý việc truy cập vào HSM của bạn. Ứng dụng kết nối với các HSM bằng kênh SSL được xác thực tương hỗ do phần mềm máy khách HSM của bạn thiết lập. Do HSM của bạn nằm trong những trung tâm dữ liệu Amazon gần các phiên bản EC2, bạn có thể giảm độ trễ mạng giữa ứng dụng của bạn và các HSM so với HSM tại chỗ.

A: AWS quản lý thiết bị mô-đun bảo mật phần cứng (HSM), nhưng không có quyền truy cập vào khóa của bạn

B: Bạn kiểm soát và quản lý các khóa của riêng bạn

C: Hiệu năng của ứng dụng tăng (do gần với các khối lượng công việc AWS)

D: Có thể lưu trữ khóa bảo mật trong phần cứng chống phá hoại ở nhiều Vùng sẵn sàng (AZ)

E: HSM nằm trong Virtual Private Cloud (VPC) và tách biệt với các mạng AWS khác.

Phân chia nhiệm vụ và kiểm soát quyền truy cập dựa trên vai trò là điểm đặc biệt trong thiết kế của AWS CloudHSM. AWS giám sát tình trạng và độ khả dụng mạng của HSM nhưng không tham gia vào quá trình tạo và quản lý tài liệu khóa được lưu trữ trong các HSM của bạn. Bạn kiểm soát HSM cũng như quá trình tạo và sử dụng các khóa mã hóa.

Trường hợp sử dụng

Giảm tải xử lý SSL cho máy chủ web

Tầng ổ bảo mật (SSL) và Tầng truyền tải (TLS) được sử dụng để xác nhận định danh của các máy chủ web và thiết lập kết nối HTTPS bảo mật qua Internet. Bạn có thể sử dụng AWS CloudHSM để giảm tải quá trình xử lý SSL/TLS cho các máy chủ web. Sử dụng CloudHSM cho quá trình xử lý này sẽ giảm gánh nặng lên máy chủ web và tăng cường bảo mật thông qua việc lưu trữ các khóa riêng của máy chủ web trong CloudHSM.

product-page-diagram_CloudHSM_offload-ssl

Bảo vệ các khóa riêng cho cơ quan cấp chứng chỉ (CA) trực tiếp

Trong cơ sở hạ tầng khóa công khai (PKI), cơ quan cấp chứng chỉ (CA) là tổ chức tin cậy thực hiện việc cấp chứng chỉ số. Các chứng chỉ số này được sử dụng để định danh một người hoặc một tổ chức. Bạn có thể sử dụng AWS CloudHSM để lưu trữ các khóa riêng và ký các yêu cầu chứng chỉ vì vậy bạn có thể hoạt động từ xa như một CA trực tiếp cấp chứng chỉ cho tổ chức của bạn.

product-page-diagram_CloudHSM_ca-1

Cho phép Mã hóa dữ liệu minh bạch (TDE) cho các cơ sở dữ liệu Oracle

Bạn có thể sử dụng AWS CloudHSM để lưu trữ khóa mã hóa chính sử dụng Mã hóa dữ liệu minh bạch (TDE) cho các máy chủ cơ sở dữ liệu hỗ trợ TDE. Hỗ trợ SQL Server sắp được triển khai. Với TDE, các máy chủ cơ sở dữ liệu được hỗ trợ có thể mã hóa dữ liệu trước khi lưu trữ trên ổ đĩa. Xin lưu ý rằng Amazon RDS cho Oracle không hỗ trợ TDE với CloudHSM; trong trường hợp này, bạn nên sử dụng AWS Key Management Service.

product-page-diagram_CloudHSM_database

Bắt đầu với AWS

icon1

Đăng ký tài khoản AWS

Nhận quyền sử dụng ngay lập tức Bậc miễn phí của AWS.
icon2

Tìm hiểu bằng hướng dẫn 10 phút

Khám phá và tìm hiểu bằng những hướng dẫn đơn giản.
icon3

Bắt đầu xây dựng với AWS

Bắt đầu dựng với các hướng dẫn từng bước để giúp bạn khởi tạo dự án AWS của mình.

Tìm hiểu thêm về AWS CloudHSM

Bạn đã sẵn sàng xây dựng chưa?
Bắt đầu với CloudHSM
Bạn có thêm câu hỏi?
Hãy liên hệ chúng tôi