AWS CloudHSM 专业2013年〜
使用专用硬件安全模块管理加密密钥的服务
它能做什么
AWS CloudHSM 是一项在 AWS 云中提供专用硬件安全模块(HSM)来生成、存储和管理加密密钥的服务。HSM 是具有防篡改特性的专用硬件,设计上密钥不会泄露到外部。已获得 FIPS 140-2 Level 3 认证,满足金融机构和政府机构要求的严格安全标准。
使用场景
用于金融机构的支付数据加密、SSL/TLS 证书的私钥管理、数据库透明数据加密(TDE)的密钥管理等需要高安全标准的场景。也被法规要求必须使用 HSM 的行业(如需要 PCI DSS 合规的信用卡处理)所采用。
日常类比
可以将其比作银行的保险箱。普通保险柜(基于软件的加密)也能保护贵重物品,但银行的保险箱(HSM)物理上非常坚固,如果试图撬开,里面的内容会自动销毁。CloudHSM 就是让您能在云上使用这种银行保险箱的服务。
什么是 CloudHSM
AWS CloudHSM 是一项使用专用硬件安全管理加密密钥的服务。HSM(Hardware Security Module)是专门用于加密处理的专用硬件设备,在硬件内部完成密钥的生成、存储和加密处理。与基于软件的密钥管理不同,密钥不会以明文形式展开在内存中,因此实现了极高的安全性。
与 KMS 的区别
AWS 还有另一个管理加密密钥的服务 KMS(Key Management Service)。KMS 是全托管的,使用简便;而 CloudHSM 是用户独占 HSM,拥有对密钥的完全控制权。KMS 中 AWS 管理密钥的备份和可用性,而 CloudHSM 中用户自己管理集群配置和备份。当法规要求需要专用 HSM,或需要 PKCS#11、JCE 等标准接口时,选择 CloudHSM。
集群配置与可用性
CloudHSM 以集群配置运行。通过在多个可用区部署 HSM 实例来确保高可用性。集群内的 HSM 会自动同步密钥,即使一台 HSM 发生故障,其他 HSM 也能继续处理。生产环境建议至少在不同可用区部署 2 台 HSM。 关于集群配置与可用性的详细机制,也可以参考Amazon 的专业书籍。
开始使用
要开始使用 CloudHSM,首先在 CloudHSM 控制台中创建集群,指定 VPC 和子网。向集群添加 HSM 实例并进行初始化。然后在 EC2 实例上安装 CloudHSM 客户端软件并连接到 HSM。创建 Crypto User 后即可开始生成和管理密钥。
注意事项
- CloudHSM 按小时计费,每台 HSM 约 1.5 美元/小时。与 KMS 相比成本较高,如无法规要求请考虑使用 KMS
- 如果丢失 HSM 管理员密码将无法访问密钥。请提前建立密码的安全保管和恢复程序
- CloudHSM 集群部署在 VPC 内,连接源的 EC2 实例需要在同一 VPC 或通过对等连接
