Il servizio AWS CloudHSM consente di soddisfare i requisiti di conformità aziendali, contrattuali e normativi riguardanti la sicurezza dei dati utilizzando appliance HSM (Hardware Security Module) all'interno del cloud AWS. CloudHSM consente di controllare le chiavi di crittografia e le operazioni crittografiche eseguite dal modulo di protezione hardware (HSM).
I partner di AWS e AWS Marketplace offrono un'ampia gamma di soluzioni per la protezione dei dati sensibili all'interno della piattaforma AWS. Tuttavia, quando si ha a che fare con applicazioni e dati soggetti a rigorosi requisiti contrattuali o normativi per la gestione delle chiavi crittografiche, talvolta è necessaria una protezione aggiuntiva. Fino a oggi l'unica opzione prevedeva l'archiviazione di dati sensibili (o delle chiavi di crittografia a protezione dei dati sensibili) nei data center locali. Purtroppo, questo ostacolava la migrazione di queste applicazioni nel cloud oppure ne rallentava notevolmente le prestazioni. Il servizio AWS CloudHSM consente di proteggere le chiavi di crittografia all'interno dei moduli di protezione hardware progettati e convalidati dagli standard governativi per la gestione sicura delle chiavi. È possibile generare, archiviare e gestire in modo sicuro le chiavi utilizzate per la crittografia dei dati poiché l'accesso a tali chiavi viene fornito in modo esclusivo. AWS CloudHSM consente di soddisfare i rigorosi requisiti di gestione delle chiavi senza compromettere in alcun modo le prestazioni dell'applicazione.
Il servizio AWS CloudHSM funziona con Amazon Virtual Private Cloud (VPC). Il provisioning delle istanze CloudHSM viene eseguito all'interno di VPC con l'indirizzo IP specificato; questo garantisce in modo semplice una connettività di rete privata per le istanze Amazon Elastic Compute Cloud (EC2). Il fatto che le istanze CloudHSM si trovino accanto alle istanze EC2 riduce la latenza di rete e migliora le prestazioni dell’applicazione. AWS offre accesso dedicato ed esclusivo con tenant singolo alle istanze CloudHSM, isolate da altri clienti AWS. AWS CloudHSM è disponibile in più regioni e zone di disponibilità garantendo alle applicazioni l'archiviazione sicura e durevole delle chiavi.
Inizia a usare AWS gratis
Crea un account gratuitoOppure accedi alla console
Ricevi dodici mesi di accesso al piano di utilizzo gratuito AWS e sfrutta le caratteristiche di AWS Basic Support, inclusi l'assistenza clienti 24 ore al giorno, forum di supporto e molto altro.
Il servizio offre accesso dedicato alle funzionalità HSM nel cloud. AWS CloudHSM protegge le chiavi crittografiche con appliance HSM antimanomissione progettate per soddisfare standard normativi internazionali (Common Criteria EAL4+) e statunitensi (NIST FIPS 140-2) per i moduli crittografici. L'utente controlla interamente le chiavi e le operazioni crittografiche nel modulo di protezione hardware, mentre Amazon gestisce e mantiene l'hardware senza avere accesso alle chiavi.
Grazie alla protezione delle chiavi dell'hardware e impedendo l'accesso da parte di terzi, AWS CloudHSM semplifica l'osservanza ai più rigorosi requisiti contrattuali e normativi in materia di protezione delle chiavi.
L'API CloudHSM, gli strumenti dell'interfaccia a riga di comando (CLI) e gli SDK consentono di avviare e interrompere istanze CloudHSM dedicate in qualsiasi momento.
AWS CloudHSM è disponibile in più regioni e zone di disponibilità e consente di creare applicazioni altamente disponibili che richiedono una protezione sicura delle chiavi. Gli strumenti dell'interfaccia a riga di comando di CloudHSM semplificano la configurazione di gruppi a elevata disponibilità estesi a più zone di disponibilità, in modo da creare applicazioni resilienti. Nella improbabile eventualità di un guasto hardware, è possibile avviare una nuova istanza CloudHSM e replicare le chiavi per il nuovo modulo di protezione hardware con pochi comandi. AWS CloudHSM può inoltre essere utilizzato con i moduli di protezione hardware compatibili locali per l'archiviazione sicura delle chiavi all'interno del data center. Questo aumenta la durabilità delle chiavi e offre la flessibilità di poter migrare le chiavi in modo sicuro da e verso AWS.
Le istanze CloudHSM si trovano in VPC e possono essere utilizzate facilmente con le applicazioni Amazon EC2. I meccanismi di sicurezza standard di Amazon VPC consentono di controllare l'accesso alle istanze CloudHSM.
La sostituzione delle istanze CloudHSM in VPC accanto alle istanze EC2 riduce la latenza di rete e aumenta le prestazioni delle applicazioni AWS che utilizzano i moduli di protezione hardware.
CloudHSM può essere utilizzato con Amazon Redshift, Amazon Relational Database Service (RDS) Oracle o applicazioni di terze parti come ad esempio SafeNet Virtual KeySecure come radice di attendibilità, Apache (terminazioni SSL) o Microsoft SQL Server (crittografia trasparente dei dati). È anche possibile utilizzare CloudHSM per la scrittura di applicazioni proprie e continuare a utilizzare le librerie crittografiche standard usate abitualmente, come ad esempio PKCS#11, Java JCA/JCE, Microsoft CAPI e CNG.
Per tracciare le modifiche delle risorse o controllare le attività per scopi di sicurezza e conformità, è possibile rivedere tutte le chiamate API CloudHSM eseguite dall'account tramite CloudTrail. Inoltre, è possibile controllare le operazioni nell'appliance HSM usando o inviando messaggi registro syslog all'agente di raccolta.
