O AWS CloudHSM é um Hardware Security Module (HSM – Módulo de segurança de hardware) baseado na nuvem que permite gerar e usar facilmente suas próprias chaves de criptografia na Nuvem AWS. Com o CloudHSM, você pode gerenciar suas próprias chaves de criptografia usando HSMs validados pelo FIPS 140-2 nível 3. O CloudHSM oferece a flexibilidade de integrar-se aos seus aplicativos usando APIs padrão do setor, como bibliotecas Microsoft CryptoNG (CNG), PKCS#11 e Java Cryptography Extensions (JCE).
O CloudHSM está em conformidade com as normas do setor e permite exportar todas as chaves para a maioria dos outros HSMs disponíveis no mercado, dependendo das suas configurações. Ele é um serviço gerenciado que automatiza para você tarefas administrativas demoradas, como provisionamento de hardware, aplicação de patches de software, alta disponibilidade e backups. O CloudHSM também permite que você ajuste a escala rapidamente ao adicionar e remover capacidade HSM sob demanda, sem custos antecipados.
Benefícios
Gere e use chaves de criptografia em HSMs validados pelo FIPS 140-2 nível 3
O AWS CloudHSM permite gerar e usar chaves de criptografia em um hardware validado pelo FIPS 140-2 nível 3. O CloudHSM protege suas chaves com acesso exclusivo e unilocatário a instâncias de HSMs invioláveis na sua própria Amazon Virtual Private Cloud (VPC).
Implante cargas de trabalho seguras e em conformidade
O uso de HSMs como raiz de confiança ajuda a demonstrar conformidade com regulamentos de segurança, privacidade e inviolabilidade, como HIPAA, FedRAMP e PCI. O AWS CloudHSM possibilita que você crie cargas de trabalho seguras e em conformidade com alta confiabilidade e baixa latência usando instâncias de HSM na Nuvem AWS.
Use um HSM aberto e desenvolvido de acordo com as normas do setor
Você pode usar o AWS CloudHSM para fazer a integração a aplicativos personalizados usando APIs padrão do setor, como bibliotecas Microsoft CryptoNG (CNG), PKCS#11 e Java Cryptography Extensions (JCE). Você também pode transferir suas chaves para outras soluções comerciais de HSM para facilitar a importação de chaves para a AWS, bem como sua exportação dela.
Mantenha o controle sobre as chaves de criptografia
O AWS CloudHSM disponibiliza acesso aos HSMs em um canal seguro para criar usuários e definir políticas de HSM. As chaves de criptografia geradas e usadas com o CloudHSM só podem ser acessadas pelos usuários de HSM que você especificar. O AWS não tem visibilidade ou acesso às suas chaves de criptografia.
Balanceamento de carga e alta disponibilidade
O AWS CloudHSM faz automaticamente o balanceamento de carga de solicitações e duplica com segurança as chaves armazenadas em qualquer HSM para todos os outros HSMs no cluster. O uso de pelo menos dois HSMs em várias AZs é a configuração recomendada pela Amazon para obter disponibilidade e resiliência.
Fácil de gerenciar
O AWS CloudHSM é um serviço gerenciado que automatiza para você tarefas administrativas demoradas, como provisionamento de hardware, aplicação de patches de software, alta disponibilidade e backups. É possível ajustar rapidamente a escala da capacidade do HSM ao adicionar e remover HSMs do cluster sob demanda.
Como ele funciona
O AWS CloudHSM é executado na sua própria Amazon Virtual Private Cloud (VPC), o que permite usar de modo fácil os HSMs com aplicativos que rodam nas instâncias do Amazon EC2. Com o CloudHSM, é possível usar controles de segurança padrão da VPC para gerenciar o acesso aos HSMs. Os aplicativos conectam-se ao HSMs usando canais SSL mutuamente autenticados e estabelecidos pelo software cliente do HSM. Como os HSMs estão localizados nos datacenters da Amazon perto das instâncias do EC2, é possível reduzir a latência da rede entre os aplicativos e os HSMs, o que não é possível fazer da mesma maneira usando HSMs locais.
A: A AWS gerencia o dispositivo HSM, mas não tem acesso às chaves
B: Você controla e gerencia suas próprias chaves
C: A performance do aplicativo melhora (graças à grande proximidade com as cargas de trabalho da AWS)
D: O armazenamento seguro de chaves em hardware inviolável e disponível em várias zonas de disponibilidade (AZs)
E: Os HSMs estão na Virtual Private Cloud (VPC), isolados de outras redes da AWS.
A separação de responsabilidades e o controle de acesso baseado em funções são inerentes ao projeto do AWS CloudHSM. A AWS monitora a integridade e a disponibilidade de rede dos HSMs, mas não se envolve na criação e no gerenciamento do material de chaves armazenado dentro dos HSMs. Você controla os HSMs, bem como a geração e o uso das chaves de criptografia.
Casos de uso
Descarregar o processamento de SSL para servidores web
Os protocolos Secure Sockets Layer (SSL) e Transport Layer Security (TLS) são usados para confirmar a identidades dos servidores web e estabelecer conexões HTTPS seguras na internet. Você pode usar o AWS CloudHSM para descarregar o processamento de SSL/TLS dos seus servidores web. O uso do CloudHSM para esse processamento reduz a carga sobre o servidor web, bem como disponibiliza uma camada extra de segurança ao armazenar a chave privada do servidor web no CloudHSM.
Proteger chaves privadas para uma Certificate Authority (CA – Autoridade de certificação) emissora
Em uma Public key infrastructure (PKI – Infraestrutura de chave pública), uma Certificate Authority (CA – Autoridade de certificação) é uma entidade confiável que emite certificados digitais. Esses certificados digitais são usados para identificar uma pessoa ou uma organização. É possível usar o AWS CloudHSM para armazenar chaves privadas e assinar solicitações de certificados para que você possa atuar de forma segura como uma CA para emitir certificados para uma organização.
Habilitar Transparent Data Encryption (TDE – Criptografia de dados transparente) para bancos de dados Oracle
É possível usar o AWS CloudHSM para armazenar a chave principal de criptografia para servidores do banco de dados Oracle que aceitem a TDE. O suporte ao SQL Server será disponibilizado em breve. Com a TDE, servidores de banco de dados Oracle compatíveis podem criptografar dados antes de armazená-los em disco. O Amazon RDS for Oracle does não oferece suporte à TDE com o CloudHSM. Para esse caso de uso, você deve usar o AWS Key Management Service.
Conceitos básicos da AWS
Comece a criar com a AWS
Saiba mais sobre o AWS CloudHSM

