Seguridad

Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3

Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

約 6 分で読めます

Descripción general de CloudHSM

CloudHSM es un servicio que gestiona claves de cifrado mediante módulos de seguridad de hardware (HSM) dedicados. Mientras KMS utiliza HSM compartidos multi-tenant, CloudHSM proporciona instancias HSM dedicadas. Posee certificación FIPS 140-2 Level 3, cumpliendo los requisitos de conformidad de organizaciones financieras, sanitarias y gubernamentales. Las claves se generan y almacenan dentro del HSM, y el material de claves nunca se exporta en texto plano fuera del HSM. El personal de AWS no puede acceder a las claves por diseño, y la propiedad completa de las claves pertenece al usuario.

Elección entre KMS y CloudHSM

KMS es apropiado para la mayoría de los casos de uso, con baja sobrecarga operativa y amplia integración con servicios AWS. CloudHSM es la elección correcta cuando FIPS 140-2 Level 3 es obligatorio, cuando las claves deben gestionarse en HSM dedicados, o cuando se requieren interfaces PKCS#11 o JCE. El almacén de claves personalizado de KMS combina las ventajas de ambos, manteniendo la API de KMS y sus integraciones mientras almacena las claves en CloudHSM. KMS está certificado en FIPS 140-2 Level 2 (algunos endpoints en Level 3), por lo que si Level 3 no es un requisito de auditoría, KMS es suficiente. En cuanto al rendimiento criptográfico, una sola instancia de CloudHSM puede procesar miles de firmas RSA o cifrados AES por segundo, lo que resulta ventajoso cuando los volúmenes de procesamiento exceden las cuotas de tasa de solicitudes de KMS (por defecto miles de solicitudes por segundo, dependiente de la región).

Diseño de clústeres y alta disponibilidad

Los clústeres de CloudHSM colocan instancias HSM en múltiples zonas de disponibilidad con sincronización automática de claves para alta disponibilidad. Se recomienda una configuración con HSM en al menos dos AZs; si un HSM falla, el procesamiento continúa en el HSM de la otra AZ. El SDK del cliente distribuye solicitudes entre los HSM del clúster mediante round-robin y realiza failover automáticamente en caso de fallo. Las copias de seguridad de HSM se cifran automáticamente y se almacenan en S3, utilizándose para restauración del clúster y copia entre regiones. Las interfaces estándar PKCS#11, JCE y OpenSSL permiten a las aplicaciones realizar operaciones criptográficas, minimizando los cambios en el código de aplicación existente. Para profundizar sus conocimientos sobre gestión de claves de cifrado, libros especializados en Amazon pueden ser útiles.

Casos de uso representativos

Los principales casos de uso de CloudHSM incluyen descarga SSL/TLS, cifrado de bases de datos (TDE), firma de código y documentos, almacenamiento de claves de autoridades de certificación (CA) privadas, firma de transacciones financieras (cumplimiento PCI DSS) y tokenización. En la descarga SSL/TLS, las claves privadas del servidor web se almacenan en el HSM y las operaciones de firma se delegan a través del motor OpenSSL, eliminando las claves privadas de la memoria de las instancias EC2. La integración con Oracle TDE y Microsoft SQL Server TDE para proteger las claves de cifrado de bases de datos en HSM también es una configuración común. La combinación con AWS Private CA para almacenar las claves privadas de CA en CloudHSM y ejecutar la firma de certificados en el HSM reduce el riesgo de compromiso de las claves de CA.

Precios y consideraciones operativas

CloudHSM cobra por hora de HSM. Cada instancia HSM cuesta aproximadamente $1.60 por hora (aproximadamente $1,152 por mes). Un clúster de alta disponibilidad en 2 AZs cuesta aproximadamente $2,304 por mes. Comparado con KMS ($1/mes por clave), es significativamente más costoso, por lo que CloudHSM debe usarse solo cuando aplican requisitos de FIPS 140-2 Level 3 o HSM dedicados. Una consideración operativa importante es que perder las credenciales del Crypto Officer (CO) resulta en pérdida permanente del acceso a las claves del clúster, por lo que el almacenamiento seguro de credenciales es esencial. La gestión de usuarios HSM (CU: Crypto User, CO: Crypto Officer) opera independientemente de AWS IAM, utilizando comandos internos de gestión de usuarios del HSM. El procedimiento de inicialización implica crear un CO con CloudHSM Management Utility (CMU) después de crear el primer HSM, y luego crear CUs para otorgar permisos de operación de claves a las aplicaciones.

Resumen

CloudHSM gestiona claves de cifrado en módulos de seguridad de hardware dedicados, cumpliendo los estrictos requisitos de conformidad de FIPS 140-2 Level 3. El almacén de claves personalizado de KMS permite operar claves de CloudHSM a través de la API de KMS, y las interfaces estándar como PKCS#11 y JCE facilitan la integración con aplicaciones existentes. Debido al alto costo, adopte CloudHSM solo cuando los requisitos sean claros, y planifique cuidadosamente la gestión de credenciales y el diseño de alta disponibilidad.

Servicios relacionados

AWS CloudHSMUn servicio que gestiona claves criptográficas con módulos de seguridad de hardware dedicadosAWS KMSServicio administrado de claves de cifrado para crear y gestionar de forma segura las claves utilizadas para cifrar datosAWS Private Certificate AuthorityServicio de autoridad certificadora gestionado para emitir y gestionar certificados privados

Artículos relacionados

PKI privada con AWS Private CA - Emisión automática y rotación de certificadosConstruye una autoridad de certificación privada y emite automáticamente certificados mTLS para comunicación entre servicios internos. Presentamos la gestión del ciclo de vida de certificados y el diseño de CRL.Procesamiento de datos confidenciales con AWS Nitro Enclaves - Cifrado y autenticación en entornos aisladosExplicación del procesamiento de datos confidenciales con AWS Nitro Enclaves. Se presenta el entorno de ejecución aislado, la integración con KMS, la atestación y los casos de uso.Procesamiento de pagos en la nube con AWS Payment Cryptography - Gestion de claves criptograficas y verificacion de PINExplicamos la gestion de claves criptograficas para pagos, el cifrado y descifrado de bloques PIN, y la conformidad con PCI DSS mediante Payment Cryptography.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.CloudTrail lo ve todo - Mecanismo de registro de llamadas API y práctica de investigación forenseExplicamos cómo CloudTrail registra las llamadas a la API de AWS, las diferencias entre eventos de administración y eventos de datos, el análisis SQL con CloudTrail Lake y las técnicas de investigación forense ante incidentes de seguridad.

Artículos y servicios similares

AWS CloudHSMServicio que proporciona módulos de seguridad de hardware con certificación FIPS 140-2 Level 3 de uso exclusivo para generar, almacenar claves criptográficas y ejecutar operaciones de cifrado en la nubeMódulos de seguridad de hardware - Gestión dedicada de claves criptográficas con AWS CloudHSMAprende sobre la gestión dedicada de claves criptográficas con AWS CloudHSM. Cubre cuándo elegir CloudHSM sobre KMS, cumplimiento FIPS 140-2 Level 3, descarga TLS e integración con Oracle TDE.Dónde se almacenan las claves de cifrado de KMS - Mecanismo de cifrado de sobre y HSMExplicamos el mecanismo por el cual las claves maestras de KMS se almacenan dentro de HSM certificados FIPS 140-2, el diseño de protección doble de claves de datos con cifrado de sobre y el funcionamiento interno de la rotación de claves.Cifrado y soberanía de datos en AWS - Aislamiento a nivel de hardware desde KMS hasta Nitro EnclavesExplicamos el cifrado a nivel de hardware y la garantía de soberanía de datos mediante AWS KMS, CloudHSM y Nitro Enclaves, comparando las diferencias de diseño con otras nubes.