Seguridad

Módulos de seguridad de hardware - Gestión dedicada de claves criptográficas con AWS CloudHSM

Aprende sobre la gestión dedicada de claves criptográficas con AWS CloudHSM. Cubre cuándo elegir CloudHSM sobre KMS, cumplimiento FIPS 140-2 Level 3, descarga TLS e integración con Oracle TDE.

約 4 分で読めます

Requisitos de gestión de claves y el rol de CloudHSM

La gestión de claves criptográficas es la base de la seguridad de la información. AWS KMS (Key Management Service) proporciona gestión de claves suficiente para la mayoría de los casos de uso, pero ciertos requisitos regulatorios o necesidades de seguridad específicas demandan HSMs dedicados. AWS CloudHSM proporciona módulos de seguridad de hardware dedicados con certificación FIPS 140-2 Level 3 dentro de tu VPC. A diferencia de KMS donde AWS gestiona el hardware HSM subyacente, CloudHSM te da control exclusivo sobre las claves criptográficas: AWS no puede acceder a tu material de claves.

Arquitectura de clúster y APIs estándar

CloudHSM se gestiona en unidades de clúster. Un clúster consiste en uno o más HSMs, y se recomienda desplegar HSMs en dos o más zonas de disponibilidad para alta disponibilidad. Las claves criptográficas se sincronizan automáticamente entre los HSMs del clúster. CloudHSM soporta APIs criptográficas estándar de la industria: PKCS#11, JCE (Java Cryptography Extension) y Microsoft CNG. Esto permite la integración con aplicaciones existentes sin modificaciones de código específicas del proveedor. Los algoritmos soportados incluyen RSA, ECC, AES, Triple DES y HMAC.

Elección entre CloudHSM y KMS

La elección entre CloudHSM y KMS depende de equilibrar los requisitos de seguridad con el costo. Elige KMS cuando necesites cifrado para servicios de AWS (S3, EBS, RDS, Lambda, etc.), cifrado general de aplicaciones o gestión de claves con integración nativa de servicios AWS. Elige CloudHSM cuando necesites cumplimiento FIPS 140-2 Level 3, control exclusivo sobre el material de claves, APIs criptográficas estándar (PKCS#11, JCE), descarga TLS de alto rendimiento o cifrado de bases de datos (Oracle TDE, Microsoft SQL Server TDE). Un enfoque híbrido también es posible: usar claves personalizadas de KMS respaldadas por CloudHSM (almacén de claves personalizado) combina la conveniencia de integración de KMS con la seguridad de CloudHSM.

Descarga TLS y cifrado de bases de datos

Un caso de uso principal de CloudHSM es la descarga TLS/SSL. Almacenas la clave privada TLS de tus servidores web (Nginx, Apache) dentro de CloudHSM y ejecutas operaciones de clave privada durante los handshakes TLS dentro del HSM. Esto asegura que la clave privada nunca salga del HSM, incluso si el servidor web se ve comprometido. Para el cifrado de bases de datos, Oracle TDE (Transparent Data Encryption) y Microsoft SQL Server TDE pueden configurarse para usar CloudHSM como almacén de claves maestras. Esto cumple con los requisitos regulatorios de que las claves de cifrado se almacenen en HSMs certificados FIPS 140-2 Level 3. Para una comprensión más profunda de CloudHSM, consulta libros relacionados en Amazon.

Precios de CloudHSM

CloudHSM cuesta aproximadamente $1,60 por instancia por hora (aproximadamente $1.152 al mes). Una configuración de alta disponibilidad en dos AZs cuesta aproximadamente $2.304 al mes. Esto es significativamente más caro que KMS (claves gestionadas por el cliente a $1/mes por clave + $0,03 por 10.000 solicitudes API). Elige CloudHSM solo cuando los requisitos regulatorios o de seguridad lo justifiquen claramente.

Resumen - Directrices para usar CloudHSM

AWS CloudHSM es un servicio de nivel empresarial para organizaciones que requieren gestión dedicada de claves criptográficas. Sus fortalezas clave incluyen certificación FIPS 140-2 Level 3, APIs criptográficas estándar (PKCS#11, JCE, CNG), control exclusivo sobre el material de claves y alta disponibilidad multi-AZ. Los casos de uso principales son descarga TLS, cifrado de bases de datos (Oracle/SQL Server TDE) y cumplimiento regulatorio. Para la mayoría de las cargas de trabajo, KMS es suficiente y más económico; reserva CloudHSM para cuando los requisitos regulatorios o de seguridad lo demanden explícitamente.

Servicios relacionados

AWS CloudHSMUn servicio que gestiona claves criptográficas con módulos de seguridad de hardware dedicadosAWS KMSServicio administrado de claves de cifrado para crear y gestionar de forma segura las claves utilizadas para cifrar datosAWS IAMServicio de autenticación y autorización para gestionar de forma segura el acceso a los recursos de AWS

Artículos relacionados

Computación confidencial - Aislamiento y protección de datos en procesamiento con AWS Nitro EnclavesExplicamos el procesamiento aislado de datos confidenciales con AWS Nitro Enclaves. Presentamos la atestación criptográfica, integración con KMS y casos de uso de procesamiento de PII y gestión de claves criptográficas.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.Procesamiento de pagos en la nube con AWS Payment Cryptography - Gestion de claves criptograficas y verificacion de PINExplicamos la gestion de claves criptograficas para pagos, el cifrado y descifrado de bloques PIN, y la conformidad con PCI DSS mediante Payment Cryptography.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

AWS CloudHSMServicio que proporciona módulos de seguridad de hardware con certificación FIPS 140-2 Level 3 de uso exclusivo para generar, almacenar claves criptográficas y ejecutar operaciones de cifrado en la nubeGestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.Cifrado y soberanía de datos en AWS - Aislamiento a nivel de hardware desde KMS hasta Nitro EnclavesExplicamos el cifrado a nivel de hardware y la garantía de soberanía de datos mediante AWS KMS, CloudHSM y Nitro Enclaves, comparando las diferencias de diseño con otras nubes.Dónde se almacenan las claves de cifrado de KMS - Mecanismo de cifrado de sobre y HSMExplicamos el mecanismo por el cual las claves maestras de KMS se almacenan dentro de HSM certificados FIPS 140-2, el diseño de protección doble de claves de datos con cifrado de sobre y el funcionamiento interno de la rotación de claves.