DEV Community

Rodrigo Fernandes
Rodrigo Fernandes

Posted on

AWS CloudHSM

Anotações sobre o AWS CloudHSM para ajudar na preparação das certificações AWS.

Até o momento as anotações são para as certificações abaixo:

Image description


Definição do fornecedor

O serviço AWS CloudHSM ajuda a cumprir requisitos de conformidade corporativos, contratuais e normativos para a segurança de dados usando instâncias de Hardware Security Module (HSM – Módulo de segurança de hardware) dedicadas dentro da Nuvem AWS.


Anotações gerais

  • Pode gerenciar suas próprias chaves de criptografia usando HSMs validados pelo FIPS 140–2 Level 3 e EAL-4
  • Oferece a flexibilidade de integrar-se aos seus aplicativos usando APIs padrão do setor, como bibliotecas Microsoft CryptoNG (CNG), PKCS#11 e Java Cryptography Extensions (JCE)
  • AWS não tem acesso as suas keys
  • AWS CloudHSM é executado na VPC
  • AWS CloudHSM é Single Tenanted
  • Alta Performance VPC - Bulk crypto
  • As APIs do CloudHSM que acompanham o SDK da AWS não têm a capacidade de executar operações criptográficas.

Projetado para oferecer segurança e alta disponibilidade

  • A AWS gerencia o dispositivo HSM, mas não tem acesso às chaves
  • Você controla e gerencia suas próprias chaves
  • A performance da aplicação melhora (graças à grande proximidade com workloads da AWS)
  • O armazenamento seguro de chaves em hardware inviolável e disponível em várias zonas de disponibilidade (AZs)
  • Os HSMs estão na Virtual Private Cloud (VPC), isolados de outras redes da AWS.

Image description


Separação de Responsabilidades

  • A separação de responsabilidades e o controle de acesso baseado em funções são inerentes ao projeto do AWS CloudHSM. 
  • A AWS monitora a integridade e a disponibilidade de rede dos HSMs, mas não se envolve na criação e no gerenciamento do material de chaves armazenado dentro dos HSMs. 
  • Você controla os HSMs, bem como a geração e o uso das chaves de criptografia.

Image description


Balanceamento de Carga e Alta Disponibilidade

  • O AWS CloudHSM faz automaticamente o balanceamento de carga de solicitações e duplica com segurança as chaves armazenadas em qualquer HSM para todos os outros HSMs no cluster
  • Isso oferece capacidade de criptografia adicional e melhora a resiliência das chaves. 
  • Com o armazenamento de várias cópias de suas chaves em HSMs localizados em AZs diferentes, suas chaves estarão disponíveis e protegidas em caso de indisponibilidade de um único HSM. 
  • O uso de pelo menos dois HSMs em várias AZs é a configuração recomendada pela Amazon para obter disponibilidade e resiliência.

Image description


AWS CloudHSM vs AWS KMS

Image description


Referências

What is AWS CloudHSM? | Amazon Web Services

Top comments (0)