Características do AWS CloudHSM e AWS KMS
A AWS foi projetada para ser um dos ambientes de computação em nuvem mais flexíveis e seguros disponíveis. Projetado para uma plataforma escalável e confiável, permite que os clientes implantem aplicativos e dados com segurança e rapidez. As organizações estão continuamente migrando suas infraestruturas e aplicações para provedores de serviços em nuvem.
No entanto, as questões de segurança desempenham um papel significativo na tomada de decisão de migração. Hoje, as organizações não têm clareza sobre as opções disponíveis para hospedar chaves criptográficas na nuvem. Para Amazon Web Services, a AWS fornece dois serviços de gerenciamento de chaves criptográficas em sua nuvem, AWS Key Management Service (KMS) ou AWS CloudHSM.
No entanto, as questões de segurança desempenham um papel significativo na tomada de decisão de migração. Hoje, as organizações não têm clareza sobre as opções disponíveis para hospedar chaves criptográficas na nuvem. Para Amazon Web Services, a AWS fornece dois serviços de gerenciamento de chaves criptográficas em sua nuvem, AWS Key Management Service (KMS) ou AWS CloudHSM.
AWS CloudHSM
AWS CloudHSM é um módulo de segurança de hardware baseado em nuvem que pertence e é gerenciado pelo cliente. O AWS CloudHSM atua como um locatário único no hardware, restringindo seu compartilhamento com outros clientes e aplicativos. As organizações podem utilizar o AWS CloudHSM para aqueles que desejam usar HSMs para administrar e gerenciar as chaves de criptografia, mas não precisam se preocupar com o gerenciamento de hardware HSM em um data center.
O AWS CloudHSM permite que um cluster HSM de locatário único validado globalmente pelo FIPS 140-2 Nível 3 em sua Amazon Virtual Private Cloud (VPC) armazene e use suas chaves. O controle completo é fornecido aos usuários sobre como as chaves são usadas por meio de um mecanismo de autenticação separado da AWS.
O AWS CloudHSM oferece suporte a vários casos de uso, incluindo o seguinte: gerenciamento de pares de chaves públicas/privadas para infraestrutura de chave pública (PKI), assinatura de código e documento, armazenamento de chaves privadas para vários serviços, como banco de dados, armazenamento e aplicações web, armazenamento de chaves para solução DRM . AWS CloudHSM permitirá que sua organização atenda aos requisitos de gerenciamento de chaves com o uso de módulos de segurança de hardware supervisionados pela AWS com a capacidade de incorporar múltiplas plataformas para armazenar chaves.
O AWS CloudHSM permite que um cluster HSM de locatário único validado globalmente pelo FIPS 140-2 Nível 3 em sua Amazon Virtual Private Cloud (VPC) armazene e use suas chaves. O controle completo é fornecido aos usuários sobre como as chaves são usadas por meio de um mecanismo de autenticação separado da AWS.
O AWS CloudHSM oferece suporte a vários casos de uso, incluindo o seguinte: gerenciamento de pares de chaves públicas/privadas para infraestrutura de chave pública (PKI), assinatura de código e documento, armazenamento de chaves privadas para vários serviços, como banco de dados, armazenamento e aplicações web, armazenamento de chaves para solução DRM . AWS CloudHSM permitirá que sua organização atenda aos requisitos de gerenciamento de chaves com o uso de módulos de segurança de hardware supervisionados pela AWS com a capacidade de incorporar múltiplas plataformas para armazenar chaves.
AWS Key Management Services (KMS)
O AWS KMS permite que sua organização crie e controle chaves para operações criptográficas. Isso inclui geração de chaves, armazenamento, gerenciamento e auditoria durante o processo de criptografia/descriptografia ou assinatura digital de dados para aplicativos ou entre serviços da AWS. O AWS KMS permite segurança completa por meio de chaves de criptografia gerenciadas em plataformas AWS.
O gerenciamento centralizado de chaves oferece ao usuário um ponto central de controle para gerenciar chaves e definir políticas de acesso em todos os serviços integrados da AWS. Com o AWS KMS, você poderá criar uma chave mestra do cliente (CMK), geralmente conhecida como chave mestra, usar uma chave mestra, criar e exportar uma chave de dados criptografada por uma chave mestra, ativar/desativar chaves mestras e auditar o uso de chaves mestras no AWS CloudTrail. AWS incorpora chaves mestras e chaves de dados.
A chave mestra não sairá do serviço AWS KMS de forma não criptografada. Com o AWS KMS, políticas de acesso específicas podem ser definidas apenas para usuários confiáveis que podem usar CMKs. No AWS KMS, o recurso Traga sua própria chave (BYOK) está disponível para importar seu próprio material de chave para essa CMK; no entanto, o material de chave importado é compatível apenas com CMKs simétricas em chaves AES-256-XTS no formato padrão PKCS#1. O AWS KMS pode ser emparelhado com o cluster AWS CloudHSM para criar o material de chave para uma CMK que pode ser gerenciada pelo serviço AWS KMS.
O gerenciamento centralizado de chaves oferece ao usuário um ponto central de controle para gerenciar chaves e definir políticas de acesso em todos os serviços integrados da AWS. Com o AWS KMS, você poderá criar uma chave mestra do cliente (CMK), geralmente conhecida como chave mestra, usar uma chave mestra, criar e exportar uma chave de dados criptografada por uma chave mestra, ativar/desativar chaves mestras e auditar o uso de chaves mestras no AWS CloudTrail. AWS incorpora chaves mestras e chaves de dados.
A chave mestra não sairá do serviço AWS KMS de forma não criptografada. Com o AWS KMS, políticas de acesso específicas podem ser definidas apenas para usuários confiáveis que podem usar CMKs. No AWS KMS, o recurso Traga sua própria chave (BYOK) está disponível para importar seu próprio material de chave para essa CMK; no entanto, o material de chave importado é compatível apenas com CMKs simétricas em chaves AES-256-XTS no formato padrão PKCS#1. O AWS KMS pode ser emparelhado com o cluster AWS CloudHSM para criar o material de chave para uma CMK que pode ser gerenciada pelo serviço AWS KMS.
Conclusão
Se a estratégia de gerenciamento de chaves para criptografia da sua organização for executar um provedor de serviços de nuvem único agora e no futuro próximo, o AWS KMS fornecerá o ambiente mais simples de manter. Porém, se você planeja aproveitar vários provedores de nuvem, mas não deseja manter os HSMs, o AWS CloudHSM pode ser a solução para sua organização permitir chaves de criptografia separadas dos dados das outras plataformas que estão sendo utilizadas.
O CloudHSM geralmente é usado para cenários que exigem adesão regulatória rigorosa e controle completo sobre o Módulo de Segurança de Hardware (HSM). Por outro lado, o KMS oferece uma solução econômica e fácil de usar, adequada para tarefas gerais de gerenciamento de chaves.
Nenhum comentário:
Postar um comentário