安全

硬件安全模块 - 通过 AWS CloudHSM 实现加密密钥的专有管理

解析如何使用 AWS CloudHSM 进行加密密钥的专有管理。介绍与 KMS 的选型对比、FIPS 140-2 Level 3 合规、TLS 卸载、Oracle TDE 集成等高级用例。

約 2 分で読めます

加密密钥管理需求与 CloudHSM 的定位

加密密钥管理是信息安全的根基。AWS KMS (Key Management Service) 能满足大多数用例的加密密钥管理需求,但部分监管要求或安全策略要求在专有硬件上管理加密密钥,确保包括 AWS 在内的第三方无法访问。AWS CloudHSM 是一项在云上提供 FIPS 140-2 Level 3 认证的专有 HSM (Hardware Security Module) 的服务。HSM 部署在用户的 VPC 内,密钥的生成、存储和使用全部在 HSM 内部完成。AWS 负责 HSM 的硬件管理(配置、补丁、备份),但无法访问 HSM 内部的加密密钥。密钥管理权限完全由用户持有。KMS 后端也使用 HSM,但属于多租户共享 HSM,密钥管理由 AWS 与用户共同执行。当合规要求密钥专有管理时,就需要使用 CloudHSM。

集群配置与标准 API

CloudHSM 以集群为单位进行管理。集群由一个或多个 HSM 组成,建议在 2 个以上可用区部署 HSM 以实现高可用性。集群内的 HSM 之间会自动同步加密密钥,即使一台 HSM 发生故障也能继续访问密钥。CloudHSM 支持行业标准加密 API。PKCS#11 用于 C/C++ 应用程序和 OpenSSL 的集成。JCE (Java Cryptography Extension) 用于 Java 应用程序的集成。CNG/KSP (Cryptography API: Next Generation / Key Storage Provider) 用于 Windows 应用程序的集成。由于支持这些标准 API,现有应用程序代码的修改量极小。在 EC2 实例上安装 HSM 客户端软件,通过 VPC 内的私有网络与 HSM 通信。

与 KMS 的选型对比

CloudHSM 与 KMS 的选择需要在安全需求和成本之间取得平衡。应选择 KMS 的场景包括:AWS 服务(S3、EBSRDSLambda 等)的加密、通用应用程序加密、希望控制成本的情况。KMS 每 1 万次 API 调用仅 0.03 USD,且与 AWS 服务有丰富的原生集成。应选择 CloudHSM 的场景包括:需要 FIPS 140-2 Level 3 认证(KMS 为 Level 2)、监管要求密钥专有管理、希望在 HSM 内保存 TLS/SSL 卸载的私钥、需要 PKCS#11 或 JCE 等标准加密 API、需要用 HSM 管理 Oracle TDE 或 Microsoft SQL Server 的加密密钥。使用 KMS 的自定义密钥存储功能,可将 CloudHSM 集群作为 KMS 的后端,兼顾 KMS 的易用性和 CloudHSM 的安全性。 如需全面学习 HSM 加密最佳实践,请参阅技术书籍 (Amazon)

TLS 卸载与数据库加密

CloudHSM 的典型用例是 TLS/SSL 卸载。将 Web 服务器(Nginx、Apache)的 TLS 私钥保存在 CloudHSM 内,TLS 握手时的私钥操作在 HSM 内执行。由于私钥不会展开到服务器的内存或磁盘,即使服务器被入侵也能消除私钥泄露风险。通过将 CloudHSM 配置为 OpenSSL 引擎,仅需修改 Nginx 或 Apache 的配置即可实现 TLS 卸载。在数据库加密方面,可以用 CloudHSM 管理 Oracle TDE (Transparent Data Encryption) 的加密主密钥。只需在 Oracle Database 配置中指定 CloudHSM 客户端作为 PKCS#11 库,数据库的加密密钥即受 HSM 保护。同样支持与 Microsoft SQL Server 的 EKM (Extensible Key Management) 集成。费用为每台 HSM 1.60 USD/小时,2 台配置时月费约 2,336 USD。

CloudHSM 费用

CloudHSM 每实例约 1.60 美元/小时(月费约 1,152 美元)。高可用配置部署在 2 个可用区时月费约 2,304 美元。与 KMS(每密钥月费 1 美元)相比成本显著更高,因此仅在有 FIPS 140-2 Level 3 要求或专有 HSM 要求时使用。通过 KMS 自定义密钥存储将 CloudHSM 作为后端使用,可以用 KMS 的 API 操作 CloudHSM 的密钥。

总结 - CloudHSM 使用指南

AWS CloudHSM 是面向需要加密密钥专有管理的企业级服务。FIPS 140-2 Level 3 认证、标准加密 API(PKCS#11、JCE、CNG)、TLS 卸载、数据库加密集成是其主要优势。大多数用例使用 KMS 即可满足需求,但当监管要求密钥专有管理或需要在 HSM 内保存 TLS 私钥时,请考虑使用 CloudHSM。由于月费约 2,336 USD 起,建议在仔细评估需求后再决定是否引入。

相关服务

AWS CloudHSM使用专用硬件安全模块管理加密密钥的服务AWS KMS安全创建和管理数据加密密钥的托管加密密钥服务AWS IAM安全管理 AWS 资源访问权限的身份认证与授权服务

相关文章

机密计算 - 使用 AWS Nitro Enclaves 隔离保护处理中的数据详解使用 AWS Nitro Enclaves 进行机密数据的隔离处理。介绍加密证明、KMS 集成以及 PII 处理和加密密钥管理的用例。通过 AWS CloudHSM 实现专用密钥管理 - 符合 FIPS 140-2 Level 3 的加密通过专有 HSM 实例实现符合 FIPS 140-2 Level 3 的密钥管理。介绍与 KMS 的区分使用以及通过 KMS 自定义密钥存储实现两者集成的方法。使用 AWS Payment Cryptography 实现云端支付处理 - 加密密钥管理与 PIN 验证解析 Payment Cryptography 的支付用加密密钥管理、PIN 块加密/解密及 PCI DSS 合规。

本主题的更多内容

使用 IAM Access Analyzer 检测过度访问权限 - 外部访问与未使用权限分析基于 CloudTrail 检测 IAM 角色的未使用权限,并自动生成最小权限策略。本文涵盖外部访问检测以及将自定义策略检查集成到 CI/CD 流水线的完整流程。使用 AWS Certificate Manager 自动化 SSL/TLS 证书管理 - 从签发到轮换详解 ACM 免费签发公共证书、DNS 验证、自动续期,以及部署到 ALB 和 CloudFront 的完整流程。使用 AWS Artifact 获取合规报告 - 审计应对与合同管理按需获取 SOC、PCI DSS、ISO 审计报告,并将 BAA 和 GDPR DPA 一键应用到整个 Organizations 的操作步骤。审计自动化 - 使用 AWS Audit Manager 持续收集合规证据详解使用 AWS Audit Manager 自动收集审计证据。介绍基于框架(SOC 2、PCI DSS、GDPR 等)的自动评估、证据统一管理和审计报告生成。AWS 账户 ID 12 位数字背后的结构 - 为什么是 12 位,能读取哪些信息从趣味知识角度解析 AWS 账户 ID 为何是 12 位数字、ARN 结构中蕴含的设计意图,以及从账户 ID 可推测的信息和安全注意事项。AWS 账户根用户为何如此危险 - 权限分离的设计思想与封印实践解析 AWS 根用户拥有 IAM 无法限制的特权的原因,列举仅根用户可执行的操作,介绍 MFA 设置方法以及通过 Organizations 根访问管理实现的封印策略。证书管理与 HTTPS 化 - 使用 AWS Certificate Manager 自动运维 TLS 证书介绍使用 AWS Certificate Manager(ACM)进行 TLS/SSL 证书的签发、自动续期和部署。包括与 CloudFront、ALB、API Gateway 的集成、DNS 验证以及 Private CA 的应用。通过 AWS CloudHSM 实现专用密钥管理 - 符合 FIPS 140-2 Level 3 的加密通过专有 HSM 实例实现符合 FIPS 140-2 Level 3 的密钥管理。介绍与 KMS 的区分使用以及通过 KMS 自定义密钥存储实现两者集成的方法。

相似的文章与服务

AWS CloudHSM专用使用 FIPS 140-2 Level 3 认证的硬件安全模块,在云上执行加密密钥生成、存储和加密处理的服务通过 AWS CloudHSM 实现专用密钥管理 - 符合 FIPS 140-2 Level 3 的加密通过专有 HSM 实例实现符合 FIPS 140-2 Level 3 的密钥管理。介绍与 KMS 的区分使用以及通过 KMS 自定义密钥存储实现两者集成的方法。KMS 的加密密钥存储在哪里 - 信封加密与 HSM 的工作机制解析 KMS 主密钥存储在 FIPS 140-2 认证 HSM 内的机制、通过信封加密双重保护数据密钥的设计、密钥轮换的内部运作。