AWS CloudHSM のアイコン

AWS CloudHSM Especializado2013年〜

Un servicio que gestiona claves criptográficas con módulos de seguridad de hardware dedicados

Unos 2 min de lectura

Qué hace

AWS CloudHSM proporciona módulos de seguridad de hardware (HSM) dedicados en la nube de AWS para gestión de claves criptográficas. A diferencia de KMS donde AWS gestiona el hardware, CloudHSM te da control exclusivo sobre HSM dedicados con certificación FIPS 140-2 Level 3. Las claves nunca salen del hardware en texto plano. Soporta cifrado simétrico, asimétrico, hashing y firma digital.

Casos de uso

Se utiliza para cumplir requisitos regulatorios que exigen HSM dedicados (PCI DSS, HIPAA), gestión de claves para autoridades de certificación, cifrado de bases de datos con control total de claves, descarga SSL/TLS y firma de código.

Analogía cotidiana

Piensa en él como una caja fuerte personal en un banco. KMS es como el servicio de custodia del banco (el banco gestiona la seguridad), mientras que CloudHSM es como alquilar una caja fuerte donde solo tú tienes la llave. El banco proporciona la bóveda (hardware), pero solo tú accedes al contenido.

¿Qué es AWS CloudHSM?

AWS CloudHSM es un servicio que proporciona módulos de seguridad de hardware dedicados en la nube de AWS. Los HSM son dispositivos especializados diseñados para proteger claves criptográficas y realizar operaciones criptográficas de forma segura. CloudHSM te permite tener tu propio HSM dedicado sin la complejidad de adquirir y mantener hardware físico.

Diferencias con KMS

Mientras que AWS KMS es un servicio de gestión de claves compartido y administrado por AWS, CloudHSM te proporciona hardware dedicado con control total. En KMS, AWS gestiona la infraestructura HSM subyacente; en CloudHSM, tú controlas el HSM y AWS no tiene acceso a tus claves. CloudHSM es necesario cuando las regulaciones exigen HSM dedicados de un solo inquilino.

Configuración de clústeres

CloudHSM opera en clústeres para alta disponibilidad. Un clúster consiste en múltiples HSM distribuidos en diferentes zonas de disponibilidad, sincronizando automáticamente las claves entre ellos. Si un HSM falla, los demás continúan operando. Se recomienda un mínimo de 2 HSM en diferentes AZs para producción. Para comprender la configuración de clústeres en profundidad, los libros especializados en Amazon son un buen recurso.

Cómo empezar

Crea un clúster de CloudHSM en la consola, seleccionando la VPC y las subredes. Inicializa el clúster y activa el primer HSM. Instala el cliente CloudHSM en tu instancia EC2 para conectarte al clúster. Crea usuarios de HSM (Crypto Officer y Crypto User) y comienza a generar y gestionar claves.

Aspectos a tener en cuenta

  • CloudHSM は時間単位の課金で、HSM 1 台あたり約 1.5 USD/時間。KMS と比較して高コストなため、規制要件がない場合は KMS の利用を検討すること
  • HSM の管理者パスワードを紛失すると鍵にアクセスできなくなる。パスワードの安全な保管と復旧手順を事前に確立すること
  • CloudHSM クラスターは VPC 内に配置されるため、接続元の EC2 インスタンスと同じ VPC またはピアリング接続が必要
共有するXB!

Servicios relacionados

AWS KMS iconoAWS KMSServicio administrado de claves de cifrado para crear y gestionar de forma segura las claves utilizadas para cifrar datosAWS Certificate Manager iconoAWS Certificate ManagerUn servicio que automatiza el aprovisionamiento, la gestión y el despliegue de certificados SSL/TLSAWS Secrets Manager iconoAWS Secrets ManagerGestione de forma segura y rote automáticamente contraseñas de bases de datos y claves API

Artículos relacionados

Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.Módulos de seguridad de hardware - Gestión dedicada de claves criptográficas con AWS CloudHSMAprende sobre la gestión dedicada de claves criptográficas con AWS CloudHSM. Cubre cuándo elegir CloudHSM sobre KMS, cumplimiento FIPS 140-2 Level 3, descarga TLS e integración con Oracle TDE.Dónde se almacenan las claves de cifrado de KMS - Mecanismo de cifrado de sobre y HSMExplicamos el mecanismo por el cual las claves maestras de KMS se almacenan dentro de HSM certificados FIPS 140-2, el diseño de protección doble de claves de datos con cifrado de sobre y el funcionamiento interno de la rotación de claves.Procesamiento de pagos en la nube con AWS Payment Cryptography - Gestion de claves criptograficas y verificacion de PINExplicamos la gestion de claves criptograficas para pagos, el cifrado y descifrado de bloques PIN, y la conformidad con PCI DSS mediante Payment Cryptography.

Más en esta categoría

IAM Access Analyzer iconoIAM Access Analyzer SpecializedUn servicio que detecta recursos accesibles externamente y permisos de acceso no utilizadosAWS Certificate Manager iconoAWS Certificate Manager EssentialUn servicio que automatiza el aprovisionamiento, la gestión y el despliegue de certificados SSL/TLSAWS Artifact iconoAWS Artifact SpecializedUn servicio para acceder bajo demanda a informes de cumplimiento y acuerdos de AWSAWS Audit Manager iconoAWS Audit Manager SpecializedUn servicio que automatiza la recopilación de evidencia y la evaluación para auditorías de cumplimientoAmazon Cognito iconoAmazon Cognito PopularUn servicio que proporciona autenticación, autorización y gestión de usuarios para aplicaciones web y móvilesAmazon Detective iconoAmazon Detective EspecializadoUn servicio que analiza automáticamente hallazgos de seguridad e investiga la causa raízAWS Directory Service iconoAWS Directory Service EspecializadoUn servicio que proporciona Active Directory administrado en AWSAWS Firewall Manager iconoAWS Firewall Manager EspecializadoUn servicio para gestionar centralmente reglas de firewall en toda su organización de AWS

Artículos y servicios similares

Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.AWS CloudHSMServicio que proporciona módulos de seguridad de hardware con certificación FIPS 140-2 Level 3 de uso exclusivo para generar, almacenar claves criptográficas y ejecutar operaciones de cifrado en la nubeMódulos de seguridad de hardware - Gestión dedicada de claves criptográficas con AWS CloudHSMAprende sobre la gestión dedicada de claves criptográficas con AWS CloudHSM. Cubre cuándo elegir CloudHSM sobre KMS, cumplimiento FIPS 140-2 Level 3, descarga TLS e integración con Oracle TDE.Cifrado y soberanía de datos en AWS - Aislamiento a nivel de hardware desde KMS hasta Nitro EnclavesExplicamos el cifrado a nivel de hardware y la garantía de soberanía de datos mediante AWS KMS, CloudHSM y Nitro Enclaves, comparando las diferencias de diseño con otras nubes.Dónde se almacenan las claves de cifrado de KMS - Mecanismo de cifrado de sobre y HSMExplicamos el mecanismo por el cual las claves maestras de KMS se almacenan dentro de HSM certificados FIPS 140-2, el diseño de protección doble de claves de datos con cifrado de sobre y el funcionamiento interno de la rotación de claves.