AWS CloudHSM est un module de sécurité matérielle (HSM) qui vous permet de générer et d'utiliser facilement vos propres clés de chiffrement sur l'AWS Cloud. Avec CloudHSM, vous pouvez gérer vos propres clés de chiffrement à l'aide des HSM validés FIPS 140-2 niveau 3. CloudHSM vous apporte la flexibilité nécessaire pour s'intégrer à vos applications à l'aide des API standard comme les bibliothèques PKCS#11, Java Cryptography Extensions (JCE), et Microsoft CryptoNG (CNG). CloudHSM est également conforme aux normes et vous permet d'exporter toutes vos clés vers la plupart des autres HSM disponibles sur le marché. Il s'agit d'un service entièrement géré qui automatise les tâches administratives fastidieuses, comme la mise en service de matériel, l'application de correctifs logiciels, la haute disponibilité et les sauvegardes à votre place. CloudHSM vous permet également de dimensionner rapidement en ajoutant et en retirant de la capacité HSM à la demande, sans coût initial.
Générer et utiliser des clés de chiffrement sur des HSM hautement sécurisés
AWS CloudHSM vous permet de générer et d'utiliser vos clés de chiffrement sur un HSM conforme aux normes FIPS 140-2 niveau 3. CloudHSM protège vos clés grâce à un accès exclusif et à client unique à des HSM inviolables dans votre propre Amazon Virtual Private Cloud (VPC).
Payer selon votre utilisation sans frais initiaux
Avec AWS CloudHSM, vous pouvez démarrer et interrompre vos HSM à la demande pour mettre en service de la capacité HSM quand et où vous en avez besoin sans aucuns frais initiaux.
Utiliser un HSM ouvert conçu selon les normes du secteur
Vous pouvez utiliser AWS CloudHSM pour l'intégrer à vos applications personnalisées à l'aide des API standard comme les bibliothèques PKCS#11, Java Cryptography Extensions (JCE), et Microsoft CryptoNG (CNG). Vous pouvez également transférer vos clés à d'autres solutions HSM présentes sur le marché afin de faciliter la migration de vos clés vers et en dehors d'AWS.
Garder le contrôle de vos clés de chiffrement
AWS CloudHSM vous donne accès à vos HSM par un canal sécurisé afin de créer des utilisateurs et d'établir des stratégies HSM. Les clés de chiffrement que vous générez et utilisez avec CloudHSM ne sont accessibles que par les utilisateurs HSM que vous avez indiqués. AWS n'a aucune visibilité sur vos clés de chiffrement et ne peut pas non plus y accéder.
Protéger vos clés grâce à une authentification forte
AWS CloudHSM prend également en charge l'authentification par Quorum pour les fonctions administratives critiques et de gestion clé, ainsi que l'authentification multi-facteurs (MFA) à l'aide des jetons que vous fournissez.
Gestion simple
AWS CloudHSM est un service géré qui automatise les tâches administratives fastidieuses, comme la mise en service de matériel, l'application de correctifs logiciels, la haute disponibilité et les sauvegardes à votre place. Vous pouvez également dimensionner rapidement en ajoutant et en retirant de la capacité HSM depuis votre cluster à la demande.
Les protocoles SSL (Secure Sockets Layer) et TLS (Transport Layer Security) sont utilisés pour confirmer l'identité des serveurs Web et établir des connexions HTTPS sécurisées sur Internet. Vous pouvez utiliser AWS CloudHSM pour décharger les traitements SSL/TLS pour vos serveurs Web. L'utilisation de CloudHSM pour ce traitement réduit la charge sur votre serveur Web et apporte une sécurité supplémentaire en stockant la clé privée de votre serveur Web dans CloudHSM.
Dans un PKI (Public Key Infrastructure), une autorité de certification (CA) est une entité de confiance qui publie des certificats numériques. Les certificats numériques sont utilisés pour identifier une personne ou une organisation. Vous pouvez utiliser AWS CloudHSM pour conserver vos clés privées et agir en tant que générateur d'autorité de certification pour publier des certificats pour votre organisation.
Vous pouvez utiliser AWS CloudHSM pour conserver la clé de chiffrement principale de la fonction Transparent Data Encryption (TDE) des serveurs de base de données Oracle qui prennent en charge TDE. Avec TDE, les serveurs de base de données Oracle peuvent chiffrer les données avant de les stocker sur le disque. Notez qu'Amazon RDS pour Oracle ne prend pas en charge TDE avec CloudHSM.
Pour démarrer avec AWS CloudHSM, c'est très simple. Suivez la procédure indiquée dans la console pour déployer votre premier répertoire en quelques clics.
