DEV Community

Rodrigo Fernandes
Rodrigo Fernandes

Posted on

AWS CloudHSM

Anotações sobre o AWS CloudHSM para ajudar na preparação das certificações AWS.

Até o momento as anotações são para as certificações abaixo:

Image description


Definição do fornecedor

O serviço AWS CloudHSM ajuda a cumprir requisitos de conformidade corporativos, contratuais e normativos para a segurança de dados usando instâncias de Hardware Security Module (HSM – Módulo de segurança de hardware) dedicadas dentro da Nuvem AWS.


Anotações gerais

  • Pode gerenciar suas próprias chaves de criptografia usando HSMs validados pelo FIPS 140–2 Level 3 e EAL-4
  • Oferece a flexibilidade de integrar-se aos seus aplicativos usando APIs padrão do setor, como bibliotecas Microsoft CryptoNG (CNG), PKCS#11 e Java Cryptography Extensions (JCE)
  • AWS não tem acesso as suas keys
  • AWS CloudHSM é executado na VPC
  • AWS CloudHSM é Single Tenanted
  • Alta Performance VPC - Bulk crypto
  • As APIs do CloudHSM que acompanham o SDK da AWS não têm a capacidade de executar operações criptográficas.

Projetado para oferecer segurança e alta disponibilidade

  • A AWS gerencia o dispositivo HSM, mas não tem acesso às chaves
  • Você controla e gerencia suas próprias chaves
  • A performance da aplicação melhora (graças à grande proximidade com workloads da AWS)
  • O armazenamento seguro de chaves em hardware inviolável e disponível em várias zonas de disponibilidade (AZs)
  • Os HSMs estão na Virtual Private Cloud (VPC), isolados de outras redes da AWS.

Image description


Separação de Responsabilidades

  • A separação de responsabilidades e o controle de acesso baseado em funções são inerentes ao projeto do AWS CloudHSM. 
  • A AWS monitora a integridade e a disponibilidade de rede dos HSMs, mas não se envolve na criação e no gerenciamento do material de chaves armazenado dentro dos HSMs. 
  • Você controla os HSMs, bem como a geração e o uso das chaves de criptografia.

Image description


Balanceamento de Carga e Alta Disponibilidade

  • O AWS CloudHSM faz automaticamente o balanceamento de carga de solicitações e duplica com segurança as chaves armazenadas em qualquer HSM para todos os outros HSMs no cluster
  • Isso oferece capacidade de criptografia adicional e melhora a resiliência das chaves. 
  • Com o armazenamento de várias cópias de suas chaves em HSMs localizados em AZs diferentes, suas chaves estarão disponíveis e protegidas em caso de indisponibilidade de um único HSM. 
  • O uso de pelo menos dois HSMs em várias AZs é a configuração recomendada pela Amazon para obter disponibilidade e resiliência.

Image description


AWS CloudHSM vs AWS KMS

Image description


Referências

What is AWS CloudHSM? | Amazon Web Services

Image of Datadog

Learn how to monitor AWS container environments at scale

In this eBook, Datadog and AWS share insights into the changing state of containers in the cloud and explore why orchestration technologies are an essential part of managing ever-changing containerized workloads.

Download the eBook

Top comments (0)