Der AWS CloudHSM-Service unterstützt Sie mithilfe dedizierter Hardware-Sicherheitsmodul-Appliances (HSM) beim Einhalten gesetzlicher, regulatorischer und vertraglicher Vorschriften für die Datensicherheit in der AWS-Cloud. Mit CloudHSM können Sie die Verschlüsselungsschlüssel und vom HSM durchgeführten kryptografischen Vorgänge kontrollieren.
AWS und AWS Marketplace-Partner bieten eine Vielzahl von Lösungen zum Schutz sensibler Daten auf der AWS-Plattform. Doch für Anwendungen und Daten, die strengen vertraglichen oder regulatorischen Vorschriften für die Verwaltung kryptografischer Schlüssel unterliegen, ist mitunter zusätzlicher Schutz erforderlich. Bislang war Ihre einzige Option das Speichern der sensiblen Daten (bzw. der Verschlüsselungsschlüssel zum Schutz der sensiblen Daten) in Ihren lokalen Rechenzentren. Dies verhinderte leider entweder das Migrieren dieser Anwendungen in die Cloud oder führte zum starken Ausbremsen ihrer Leistung. Der AWS CloudHSM-Service ermöglicht Ihnen das Schützen Ihrer Verschlüsselungsschlüssel in HSMs, die gemäß gesetzlichen Standards zur sicheren Schlüsselverwaltung entwickelt und bestätigt wurden. Sie können die zur Verschlüsselung von Daten verwendeten kryptografischen Schlüssel sicher so erstellen, speichern und verwalten, dass nur Sie Zugriff darauf haben. AWS CloudHSM unterstützt Sie beim Einhalten strenger Vorschriften für die Schlüsselverwaltung, ohne die Anwendungsleistung zu beeinträchtigen.
Der AWS CloudHSM-Service funktioniert in Amazon Virtual Private Cloud (VPC). CloudHSM-Instances werden in Ihrer VPC mit einer von Ihnen angegebenen IP-Adresse bereitgestellt und ermöglichen eine einfache und private Netzwerkanbindung an Ihre Amazon Elastic Compute Cloud (EC2)-Instances. Durch Platzieren von CloudHSM-Instances in der Nähe Ihrer EC2-Instances verkürzen Sie die Netzwerklatenz, wodurch sich die Anwendungsleistung verbessern lässt. AWS bietet einen dedizierten und exklusiven (Einzelmandanten-) Zugriff auf CloudHSM-Instances, der von anderen AWS-Kunden isoliert ist. AWS CloudHSM ist in mehreren Regionen und Availability Zones (AZs) verfügbar und ermöglicht Ihnen das Hinzufügen eines sicheren und beständigen Schlüsselspeichers für Ihre Anwendungen.
Kostenlos bei AWS einsteigen
Kostenloses Konto erstellenOder bei der Konsole anmelden
Erhalten Sie 12 Monate lang Zugriff auf das kostenlose Nutzungskontingent von AWS sowie AWS Support-Funktionen der Stufe ''Basic'' mit Kundenservice rund um die Uhr, Support-Foren und vielen weiteren Vorteilen.
Im Rahmen des Service haben Sie einen dedizierten Zugriff auf HSM-Funktionen in der Cloud. AWS CloudHSM schützt Ihre kryptografischen Schlüssel mit manipulationssicheren HSM-Appliances, die internationalen Standards (Common Criteria EAL4+) und US-Standards (NIST FIPS 140-2) für Kryptografiemodule entsprechen. Sie behalten die volle Kontrolle über Ihre Schlüssel und kryptografischen Vorgänge im HSM, während Amazon die Hardware verwaltet und wartet, ohne Zugriff auf Ihre Schlüssel zu haben.
Durch Schützen Ihrer Schlüssel in Hardware und Verhindern des Zugriffs darauf durch Dritte kann AWS CloudHSM Ihnen helfen, die strengsten gesetzlichen und vertraglichen Anforderungen an die Verschlüsselung zu erfüllen.
Die API, CLI-Tools (Command Line Interface, Befehlszeilen-Schnittstelle) und das SDK von CloudHSM ermöglichen Ihnen das Starten und Beenden dedizierter CloudHSM-Instances Ihren Anforderungen entsprechend.
AWS CloudHSM ist in mehreren Regionen und Availability Zones (AZs) verfügbar, damit Sie hoch verfügbare Anwendungen entwickeln können, die eine starke Verschlüsselung benötigen. Die CLI-Tools von CloudHSM helfen Ihnen bei der Konfiguration von Hochverfügbarkeitsgruppen, die sich über mehrere Availability Zones erstrecken, damit sich ausfallsichere Anwendungen entwickeln lassen. Bei einem unwahrscheinlichen Hardwareausfall können Sie eine neue CloudHSM-Instance starten und die Schlüssel über einige wenige Befehle in das neue HSM replizieren. Sie können AWS CloudHSM auch zusammen mit Ihren lokalen HSMs verwenden, um Schlüssel in Ihrem Rechenzentrum sicher zu speichern. Dadurch erhöht sich die Lebensdauer von Schlüsseln und Ihre Flexibilität, Schlüssel sicher zwischen AWS und der lokalen Umgebung zu migrieren.
CloudHSM-Instances befinden sich in Ihrer VPC, weshalb ihr Einsatz mit Ihren Amazon EC2-Anwendungen einfach ist. Sie steuern den Zugriff auf Ihre CloudHSM-Instances mithilfe standardmäßiger Amazon VPC-Sicherheitsmechanismen.
Indem Sie CloudHSM-Instances in Ihrer VPC in der Nähe Ihrer EC2-Instances platzieren, können Sie die Netzwerklatenz verkürzen und die Leistung Ihrer AWS-Anwendungen erhöhen, die HSMs nutzen.
Sie können CloudHSM mit Amazon Redshift, Amazon Relational Database Service (RDS) for Oracle oder Anwendungen anderer Anbieter wie SafeNet Virtual KeySecure als Vertrauensanker (Root of Trust), Apache (SSL-Terminierung) oder Microsoft SQL Server (transparente Datenverschlüsselung) nutzen. Sie können auch CloudHSM verwenden, wenn Sie eigene Anwendungen schreiben, und die standardmäßigen kryptografischen Bibliotheken, mit denen Sie vertraut sind, weiterverwenden, wie z. B. PKCS#11, Java JCA/JCE und Microsoft CAPI und CNG.
Wenn Sie aus Sicherheits- oder Compliance-Gründen Ressourcenänderungen nachverfolgen oder Aktivitäten überwachen müssen, können Sie über CloudTrail alle Aufrufe der CloudHSM-API überprüfen, die in Ihrem Konto erfolgt sind. Darüber hinaus können Sie Vorgänge auf der HSM-Appliance mithilfe von SYSLOG überwachen oder SYSLOG-Protokollmeldungen an Ihr eigenen Sammler senden.
