セキュリティ

AWS CloudHSM

Servicio que proporciona módulos de seguridad de hardware con certificación FIPS 140-2 Level 3 de uso exclusivo para generar, almacenar claves criptográficas y ejecutar operaciones de cifrado en la nube

Unos 3 min de lectura

Descripción general

AWS CloudHSM es un servicio que proporciona módulos de seguridad de hardware (HSM) dedicados en la nube. Despliega appliances HSM fabricados por Cavium/Marvell con certificación FIPS 140-2 Level 3 dentro de la VPC, completando la generación de claves, almacenamiento, firma y cifrado/descifrado dentro del hardware. El material de las claves no puede extraerse del hardware resistente a manipulaciones del HSM, y ni siquiera AWS puede acceder a las claves. Esto cumple con los requisitos de compliance más estrictos en industrias como finanzas, salud y gobierno.

Diferencias fundamentales con KMS y criterios de selección

La diferencia más importante entre CloudHSM y KMS es el modelo de responsabilidad. En KMS, AWS gestiona la infraestructura del HSM y el usuario gestiona las políticas de claves; en CloudHSM, el usuario tiene control total sobre el HSM (incluyendo la gestión de usuarios, particiones y claves). KMS es suficiente para la mayoría de casos de uso (cifrado de S3, EBS, RDS), pero CloudHSM es necesario cuando se requiere: certificación FIPS 140-2 Level 3 (KMS es Level 2), control total sobre el material de claves, algoritmos criptográficos personalizados, o integración con aplicaciones que requieren interfaces PKCS#11, JCE o OpenSSL. En cuanto a costos, KMS cobra por clave y por solicitud de API, mientras que CloudHSM cobra por hora de HSM (aproximadamente $1.50/hora), por lo que CloudHSM es significativamente más caro y solo se justifica cuando los requisitos de compliance lo exigen.

Configuración de clúster y diseño de alta disponibilidad

CloudHSM opera en clústeres de múltiples HSMs distribuidos en diferentes zonas de disponibilidad. Un clúster mínimo de producción requiere al menos 2 HSMs en AZs diferentes para alta disponibilidad. Las claves se sincronizan automáticamente entre todos los HSMs del clúster, por lo que si un HSM falla, las operaciones continúan en los demás sin interrupción. El cliente CloudHSM (instalado en las instancias EC2 de la aplicación) distribuye automáticamente las solicitudes entre los HSMs disponibles. Para recuperación ante desastres, se pueden crear backups del clúster y restaurarlos en otra región. Libros sobre HSM y criptografía (Amazon) permiten aprender sobre gestión de claves criptográficas.

Implementación de SSL/TLS offload y cifrado de bases de datos

Los dos casos de uso más comunes de CloudHSM son el SSL/TLS offload y el cifrado transparente de bases de datos. En SSL/TLS offload, las claves privadas del certificado se almacenan en el HSM y las operaciones de firma TLS se ejecutan dentro del hardware, de modo que las claves privadas nunca existen en la memoria del servidor web. Esto se integra con Nginx, Apache y ELB mediante la biblioteca OpenSSL de CloudHSM. Para cifrado de bases de datos, Oracle TDE (Transparent Data Encryption) y Microsoft SQL Server EKM pueden usar CloudHSM como almacén de claves maestras, cifrando los datos en reposo con claves que nunca salen del HSM. Otros casos de uso incluyen la firma de código, firma de documentos, generación de certificados para PKI interna y tokenización de datos de tarjetas de pago para cumplimiento PCI DSS.

共有するXB!

Términos relacionados

AWS KMSAWS Secrets ManagerAWS Certificate ManagerAWS IAM

Servicios relacionados

AWS KMSAWS Secrets ManagerAWS Certificate ManagerAWS Config

Artículos relacionados

Estrategia multi-región de AWS Secrets Manager - Replicación y uso compartido entre cuentasAprenda a lograr recuperación ante desastres con replicación multi-región y construir gestión centralizada desde una cuenta de seguridad usando acceso entre cuentas.AWS Secrets Manager - Rotación automática e integración con aplicacionesRote automáticamente contraseñas de RDS y Aurora con funciones Lambda y recupere secretos de forma transparente desde aplicaciones usando la biblioteca de caché del SDK. También cubre cuándo usar Parameter Store en su lugar.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Revisión de arquitectura - Evaluación sistemática de cargas de trabajo con AWS Well-Architected ToolExplica la revisión de arquitectura de cargas de trabajo usando AWS Well-Architected Tool. Presenta la evaluación basada en 6 pilares, la elaboración de planes de mejora y el uso de lentes personalizados.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.

Términos y artículos similares

Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.Módulos de seguridad de hardware - Gestión dedicada de claves criptográficas con AWS CloudHSMAprende sobre la gestión dedicada de claves criptográficas con AWS CloudHSM. Cubre cuándo elegir CloudHSM sobre KMS, cumplimiento FIPS 140-2 Level 3, descarga TLS e integración con Oracle TDE.AWS CloudHSMUn servicio que gestiona claves criptográficas con módulos de seguridad de hardware dedicadosCifrado y soberanía de datos en AWS - Aislamiento a nivel de hardware desde KMS hasta Nitro EnclavesExplicamos el cifrado a nivel de hardware y la garantía de soberanía de datos mediante AWS KMS, CloudHSM y Nitro Enclaves, comparando las diferencias de diseño con otras nubes.Dónde se almacenan las claves de cifrado de KMS - Mecanismo de cifrado de sobre y HSMExplicamos el mecanismo por el cual las claves maestras de KMS se almacenan dentro de HSM certificados FIPS 140-2, el diseño de protección doble de claves de datos con cifrado de sobre y el funcionamiento interno de la rotación de claves.