Anotações sobre o AWS CloudHSM para ajudar na preparação das certificações AWS.
Até o momento as anotações são para as certificações abaixo:
Definição do fornecedor
O serviço AWS CloudHSM ajuda a cumprir requisitos de conformidade corporativos, contratuais e normativos para a segurança de dados usando instâncias de Hardware Security Module (HSM – Módulo de segurança de hardware) dedicadas dentro da Nuvem AWS.
Anotações gerais
- Pode gerenciar suas próprias chaves de criptografia usando HSMs validados pelo FIPS 140–2 Level 3 e EAL-4
- Oferece a flexibilidade de integrar-se aos seus aplicativos usando APIs padrão do setor, como bibliotecas Microsoft CryptoNG (CNG), PKCS#11 e Java Cryptography Extensions (JCE)
- AWS não tem acesso as suas keys
- AWS CloudHSM é executado na VPC
- AWS CloudHSM é Single Tenanted
- Alta Performance VPC - Bulk crypto
- As APIs do CloudHSM que acompanham o SDK da AWS não têm a capacidade de executar operações criptográficas.
Projetado para oferecer segurança e alta disponibilidade
- A AWS gerencia o dispositivo HSM, mas não tem acesso às chaves
- Você controla e gerencia suas próprias chaves
- A performance da aplicação melhora (graças à grande proximidade com workloads da AWS)
- O armazenamento seguro de chaves em hardware inviolável e disponível em várias zonas de disponibilidade (AZs)
- Os HSMs estão na Virtual Private Cloud (VPC), isolados de outras redes da AWS.
Separação de Responsabilidades
- A separação de responsabilidades e o controle de acesso baseado em funções são inerentes ao projeto do AWS CloudHSM.
- A AWS monitora a integridade e a disponibilidade de rede dos HSMs, mas não se envolve na criação e no gerenciamento do material de chaves armazenado dentro dos HSMs.
- Você controla os HSMs, bem como a geração e o uso das chaves de criptografia.
Balanceamento de Carga e Alta Disponibilidade
- O AWS CloudHSM faz automaticamente o balanceamento de carga de solicitações e duplica com segurança as chaves armazenadas em qualquer HSM para todos os outros HSMs no cluster.
- Isso oferece capacidade de criptografia adicional e melhora a resiliência das chaves.
- Com o armazenamento de várias cópias de suas chaves em HSMs localizados em AZs diferentes, suas chaves estarão disponíveis e protegidas em caso de indisponibilidade de um único HSM.
- O uso de pelo menos dois HSMs em várias AZs é a configuração recomendada pela Amazon para obter disponibilidade e resiliência.
AWS CloudHSM vs AWS KMS
Top comments (0)