AWS CloudHSM 服务通过在 AWS 云中使用专用的“硬件安全模块”(HSM) 设备,帮助您满足数据安全方面的企业、合同和监管合规性的要求。凭借 CloudHSM,您可以控制加密密钥和由 HSM 执行的加密操作。
AWS 和 AWS Marketplace 合作伙伴为保护 AWS 平台中的敏感数据提供了多种解决方案,但对于需符合管理加密密钥方面严格的合同或监管要求的应用程序和数据,有时有必要提供额外的保护。 到目前为止,您只能选择在内部部署的数据中心存储敏感数据(或保护敏感数据的加密密钥)。 遗憾的是,这会阻止您将这些应用程序迁移到云,或显著降低其性能。通过 AWS CloudHSM 服务,您可以在 HSM 内保护您的加密密钥,HSM 依据安全密钥管理的政府标准进行设计并经过验证。您可以安全地生成、存储和管理用于数据加密的加密密钥,使其只能由您访问。AWS CloudHSM 可帮助您在不牺牲应用程序性能的情况下符合严格的密钥管理要求。
AWS CloudHSM 服务使用 Amazon Virtual Private Cloud (VPC)。在 VPC 中,CloudHSM 实例通过由您指定的 IP 地址进行配置,为 Amazon Elastic Compute Cloud (EC2) 实例提供简单和私有的网络连接。将 CloudHSM 实例放置在靠近 EC2 实例的位置可减少网络延迟,从而提高应用程序性能。 AWS 提供了对 CloudHSM 实例的专有和独占访问(单租户模式),独立于其他 AWS 客户。AWS CloudHSM 可在多个地区和可用区域 (AZ) 中使用,使您能将安全和持久的密钥存储添加到应用程序。
作为服务的组成部分,您对云中的各项 HSM 功能具有专门的访问权限。AWS CloudHSM 使用防篡改的 HSM 设备保护您的加密密钥,这些设备设计为符合国际 (Common Criteria EAL4+) 和美国政府 (NIST FIPS 140-2) 对加密模块的监管标准。您在 HSM 上继续拥有对您的密钥和加密操作的完全控制,而 Amazon 在不需要访问您的密钥的情况下管理和维护硬件。
通过在硬件中保护您的密钥并防止被第三方访问,AWS CloudHSM 可以帮助您遵守对密钥保护最为严格的监管和合同要求。
CloudHSM API、命令行界面 (CLI) 工具和 SDK 可让您随时启动和停止专用 CloudHSM 实例。
AWS CloudHSM 可在多个地区和可用区域 (AZ) 中使用,以帮助您构建需要强密钥保护的高可用性应用程序。CloudHSM 命令行界面 (CLI) 工具可帮助您跨多个可用区域配置高可用性 (HA) 组,以便您构建弹性应用程序。在极少出现的硬件故障情况下,您可以启动新的 CloudHSM 实例,通过几条命令将密钥复制到新的 HSM。您还可以将 AWS CloudHSM 与兼容的内部部署 HSM 配合使用,在您的数据中心安全地存储密钥。 这会增加密钥持久性,并提供将密钥安全地迁入和迁出 AWS 的灵活性。
CloudHSM 实例位于您的 VPC 中,可以很方便地与 Amazon EC2 应用程序配合使用。您使用标准的 Amazon VPC 安全机制来控制对 CloudHSM 实例的访问。
将 CloudHSM 实例放置在靠近 EC2 实例的 VPC 中,可以减少网络延迟,提高使用 HSM 的 AWS 应用程序的性能。
您可以将 CloudHSM 与 Amazon Redshift、Amazon Relational Database Service (RDS) Oracle 或第三方应用程序结合使用。这些应用程序包括用作可信根的 SafeNet Virtual KeySecure、Apache(SSL 终端)或 Microsoft SQL Server(透明数据加密)等。在编写个人应用程序时,您也可以使用 CloudHSM,并继续使用您所熟悉的标准密码库,其中包括 PKCS#11、Java JCA/JCE 以及 Microsoft CAPI 和 CNG 等。
如果您需要跟踪资源变更或出于安全和合规目的而需要审计活动,您可以通过 CloudTrail 审核个人帐户进行的所有 CloudHSM API 调用。此外,您还可以使用 syslog 在 HSM 设备上审计操作,或将 syslog 日志信息发送到自己的收集器。
