Características do AWS CloudHSM e AWS KMS

 

 

 

A AWS foi projetada para ser um dos ambientes de computação em nuvem mais flexíveis e seguros disponíveis. Projetado para uma plataforma escalável e confiável, permite que os clientes implantem aplicativos e dados com segurança e rapidez. As organizações estão continuamente migrando suas infraestruturas e aplicações para provedores de serviços em nuvem.

No entanto, as questões de segurança desempenham um papel significativo na tomada de decisão de migração. Hoje, as organizações não têm clareza sobre as opções disponíveis para hospedar chaves criptográficas na nuvem. Para Amazon Web Services, a AWS fornece dois serviços de gerenciamento de chaves criptográficas em sua nuvem, AWS Key Management Service (KMS) ou AWS CloudHSM.

 

 

AWS CloudHSM

AWS CloudHSM é um módulo de segurança de hardware baseado em nuvem que pertence e é gerenciado pelo cliente. O AWS CloudHSM atua como um locatário único no hardware, restringindo seu compartilhamento com outros clientes e aplicativos. As organizações podem utilizar o AWS CloudHSM para aqueles que desejam usar HSMs para administrar e gerenciar as chaves de criptografia, mas não precisam se preocupar com o gerenciamento de hardware HSM em um data center.

O AWS CloudHSM permite que um cluster HSM de locatário único validado globalmente pelo FIPS 140-2 Nível 3 em sua Amazon Virtual Private Cloud (VPC) armazene e use suas chaves. O controle completo é fornecido aos usuários sobre como as chaves são usadas por meio de um mecanismo de autenticação separado da AWS.

O AWS CloudHSM oferece suporte a vários casos de uso, incluindo o seguinte: gerenciamento de pares de chaves públicas/privadas para infraestrutura de chave pública (PKI), assinatura de código e documento, armazenamento de chaves privadas para vários serviços, como banco de dados, armazenamento e aplicações web, armazenamento de chaves para solução DRM . AWS CloudHSM permitirá que sua organização atenda aos requisitos de gerenciamento de chaves com o uso de módulos de segurança de hardware supervisionados pela AWS com a capacidade de incorporar múltiplas plataformas para armazenar chaves.

 

 

 

 

AWS Key Management Services (KMS)

O AWS KMS permite que sua organização crie e controle chaves para operações criptográficas. Isso inclui geração de chaves, armazenamento, gerenciamento e auditoria durante o processo de criptografia/descriptografia ou assinatura digital de dados para aplicativos ou entre serviços da AWS. O AWS KMS permite segurança completa por meio de chaves de criptografia gerenciadas em plataformas AWS.

O gerenciamento centralizado de chaves oferece ao usuário um ponto central de controle para gerenciar chaves e definir políticas de acesso em todos os serviços integrados da AWS. Com o AWS KMS, você poderá criar uma chave mestra do cliente (CMK), geralmente conhecida como chave mestra, usar uma chave mestra, criar e exportar uma chave de dados criptografada por uma chave mestra, ativar/desativar chaves mestras e auditar o uso de chaves mestras no AWS CloudTrail. AWS incorpora chaves mestras e chaves de dados.

A chave mestra não sairá do serviço AWS KMS de forma não criptografada. Com o AWS KMS, políticas de acesso específicas podem ser definidas apenas para usuários confiáveis ​​que podem usar CMKs. No AWS KMS, o recurso Traga sua própria chave (BYOK) está disponível para importar seu próprio material de chave para essa CMK; no entanto, o material de chave importado é compatível apenas com CMKs simétricas em chaves AES-256-XTS no formato padrão PKCS#1. O AWS KMS pode ser emparelhado com o cluster AWS CloudHSM para criar o material de chave para uma CMK que pode ser gerenciada pelo serviço AWS KMS.

 

 

 

 

 

Conclusão

Se a estratégia de gerenciamento de chaves para criptografia da sua organização for executar um provedor de serviços de nuvem único agora e no futuro próximo, o AWS KMS fornecerá o ambiente mais simples de manter. Porém, se você planeja aproveitar vários provedores de nuvem, mas não deseja manter os HSMs, o AWS CloudHSM pode ser a solução para sua organização permitir chaves de criptografia separadas dos dados das outras plataformas que estão sendo utilizadas.

O CloudHSM geralmente é usado para cenários que exigem adesão regulatória rigorosa e controle completo sobre o Módulo de Segurança de Hardware (HSM). Por outro lado, o KMS oferece uma solução econômica e fácil de usar, adequada para tarefas gerais de gerenciamento de chaves.

 

Características do AWS Artifacts, AWS Security Hub e AWS Secret Manager para uma governança eficaz da nuvem

AWS Artifacts

 

AWS Artifacts é uma coleção de relatórios de conformidade e certificações disponíveis sob demanda para clientes e parceiros da AWS. Esses relatórios ajudam clientes e parceiros a entender como a AWS implementou controles de segurança e conformidade. O AWS Artifacts é uma ótima maneira para clientes e parceiros atenderem aos seus requisitos de conformidade sem precisar passar por longas auditorias ou avaliações. Os relatórios do AWS Artifact abrangem uma ampla variedade de padrões de conformidade, incluindo SOC, PCI, HIPAA e ISO. O AWS Artifacts oferece aos clientes e parceiros acesso a centenas de relatórios de conformidade e certificações relevantes para seu setor e região. Os relatórios abrangem uma ampla variedade de serviços da AWS, incluindo Amazon S3, Amazon RDS e Amazon EC2. Os clientes e parceiros podem utilizar estes relatórios para avaliar a sua própria postura de conformidade ou para demonstrar a conformidade aos auditores e reguladores. Os relatórios do AWS Artifact são atualizados regularmente, para que clientes e parceiros tenham a certeza de que estarão sempre atualizados com os padrões de conformidade mais recentes. O AWS Artifacts está disponível para todos os clientes e parceiros da AWS sem custo adicional. Clientes e parceiros podem acessar os relatórios do AWS Artifact por meio do AWS Management Console ou da API da AWS. O AWS Artifacts facilita que clientes e parceiros atendam aos seus requisitos de conformidade sem precisar gastar tempo e dinheiro em auditorias ou avaliações demoradas. Ao usar o AWS Artifacts, clientes e parceiros podem se concentrar em seus negócios principais e deixar a conformidade para a AWS. 

 

Os artefatos da AWS incluem documentos como:

    Relatórios de conformidade: a AWS fornece relatórios de conformidade que demonstram a segurança e a conformidade de seus serviços. Esses relatórios incluem os relatórios do AWS Security and Compliance Center (SCC), que contêm informações sobre o ambiente de controle e a eficácia dos controles implementados pela AWS.
   

 Atestados de conformidade: a AWS fornece atestados de conformidade para vários padrões e regulamentações, como o Payment Card Industry Data Security Standard (PCI DSS), a Health Insurance Portability and Accountability Act (HIPAA) e o Federal Risk and Authorization Management Program (FedRAMP).
    

Certificações: os serviços da AWS passam por auditorias independentes de terceiros para obter diversas certificações. Algumas certificações comuns incluem ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3 e FedRAMP. Essas certificações validam a postura de segurança e conformidade dos serviços da AWS.
    

Relatórios de controle da organização de serviços (SOC): a AWS publica relatórios SOC que detalham os controles e processos em vigor para garantir a segurança, a disponibilidade e a confidencialidade dos dados do cliente. Os relatórios SOC 1 cobrem controles relacionados a relatórios financeiros, enquanto os relatórios SOC 2 se concentram em segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade.

 

Adendo de associado comercial (BAA): a AWS oferece um BAA para clientes que precisam cumprir as regulamentações da HIPAA. A BAA descreve as responsabilidades da AWS e do cliente em garantir a proteção de informações eletrônicas de saúde protegidas (ePHI).

Esses artefatos podem ser acessados ​​por meio do AWS Management Console ou programaticamente usando chamadas de API da AWS. Eles fornecem informações valiosas para que os clientes entendam a postura de segurança e conformidade dos serviços da AWS e os ajudem a atender aos seus próprios requisitos regulatórios

 

 

Exemplos concretos:
 

Exemplo 1: Uma empresa de saúde que usa a AWS para seus registros médicos eletrônicos pode acessar o AWS Artifacts para obter um relatório de conformidade com a HIPAA. Este relatório mostrará como a AWS implementou as medidas de segurança necessárias para proteger informações confidenciais dos pacientes.
 

Exemplo 2: Um varejista on-line que usa o Amazon EC2 para hospedagem na web pode acessar o AWS Artifacts para obter um relatório de conformidade com PCI. Este relatório mostrará como a AWS implementou as medidas de segurança necessárias para proteger as informações dos cartões de pagamento dos clientes.

AWS Security Hub

 

 AWS Security Hub é um serviço de segurança oferecido pela Amazon Web Services (AWS) que fornece uma visão abrangente de alertas de segurança e status de conformidade nas contas AWS de uma organização. Ele consolida e prioriza descobertas de segurança de vários serviços da AWS e soluções de parceiros para ajudar os usuários a identificar e remediar possíveis ameaças à segurança.

O painel do Security Hub fornece uma visão centralizada das descobertas de segurança, permitindo que os usuários avaliem rapidamente sua postura de segurança e tomem medidas para mitigar os riscos. O serviço também fornece verificações automatizadas de conformidade em relação aos padrões do setor, como CIS AWS Foundations Benchmark e PCI DSS. O Security Hub se integra a outros serviços da AWS, como AWS Config, AWS CloudTrail e Amazon GuardDuty, para fornecer uma visão holística dos eventos de segurança em todo o ambiente AWS de uma organização.

Ao usar o AWS Security Hub, as organizações podem obter visibilidade de sua postura de segurança, reduzir o tempo necessário para identificar e remediar ameaças à segurança e melhorar sua postura geral de segurança e conformidade. O serviço está disponível em todas as regiões da AWS e pode ser acessado por meio do AWS Management Console, AWS CLI e AWS SDKs. O AWS Security Hub é uma ferramenta essencial para organizações que desejam melhorar sua postura de segurança e conformidade na nuvem AWS.

 

 

Exemplos concretos:

 

Exemplo 1: Uma empresa possui várias contas AWS para diferentes departamentos e serviços. Eles usam o AWS Security Hub para reunir alertas de segurança e status de conformidade de todas as contas em um só lugar. A equipe de TI pode então avaliar quais contas apresentam ameaças potenciais à segurança, priorizar essas ameaças e tomar medidas para mitigar os riscos.

Exemplo 2: Uma instituição financeira precisa estar em conformidade com o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS). Eles usam o AWS Security Hub para automatizar verificações de conformidade do PCI DSS e receber alertas caso surja algum problema de conformidade. A equipe de segurança pode então remediar rapidamente os problemas e manter sua postura de conformidade. 

 

 

AWS Secret Manager 

 

O AWS Secret Manager é um serviço seguro e escalável que permite o gerenciamento e a recuperação de segredos, como credenciais de banco de dados, chaves de API e outras informações confidenciais usadas em aplicativos modernos. Ele fornece um repositório centralizado para gerenciar e distribuir segredos em várias contas e serviços da AWS. Com o AWS Secret Manager, os desenvolvedores podem facilmente armazenar, alternar e controlar o acesso a segredos sem a necessidade de código ou infraestrutura personalizada.

AWS Secret Manager fornece uma interface simples e intuitiva para criar e gerenciar segredos. Ele oferece suporte a uma variedade de tipos de segredo, incluindo strings de texto simples, dados binários e objetos JSON. Os segredos podem ser criados e armazenados com segurança no AWS Key Management Service (KMS), que fornece recursos de criptografia e descriptografia para dados confidenciais. O AWS Secret Manager também oferece suporte à rotação automática de segredos, o que ajuda a garantir que eles sejam atualizados e seguros regularmente.

Além de gerenciar segredos, o AWS Secret Manager se integra a outros serviços da AWS, como Amazon RDS, Amazon DocumentDB e Amazon Redshift. Essa integração permite a integração perfeita de segredos no código do aplicativo, sem a necessidade de codificação ou gerenciamento manual. No geral, o AWS Secret Manager oferece uma solução poderosa e flexível para gerenciar segredos e melhorar a segurança e a conformidade de aplicativos modernos. 

 

 

Exemplos concretos:

 

Exemplo 1: Uma empresa que usa AWS para sua infraestrutura em nuvem precisa gerenciar e distribuir com segurança credenciais de banco de dados para suas diversas contas e serviços AWS. Eles podem usar o AWS Secret Manager para armazenar e controlar o acesso a essas credenciais, sem a necessidade de escrever código ou infraestrutura personalizada. As credenciais do banco de dados podem ser armazenadas com segurança no AWS Key Management Service e alternadas automaticamente para garantir atualizações regulares e segurança aprimorada.

Exemplo 2: Um desenvolvedor de aplicativos móveis precisa armazenar chaves de API de forma segura para serviços de terceiros usados ​​em seu aplicativo. Em vez de codificar as chaves em seu aplicativo, eles podem usar o AWS Secret Manager para armazenar e gerenciar as chaves com segurança. Com a integração do AWS Secret Manager com outros serviços da AWS, as chaves podem ser perfeitamente integradas ao código do aplicativo sem gerenciamento manual. O desenvolvedor pode alternar facilmente as chaves e controlar o acesso a elas por meio da interface simples e intuitiva do AWS Secret Manager.  

 

 

Conclusão

 

AWS Artifacts é um serviço especial que ajuda as empresas a obter documentos importantes para mostrar que estão seguindo regras e leis. Essas regras e leis garantem que a privacidade e o dinheiro das pessoas estejam seguros ao usar o site da empresa. O AWS ARTIFACTS facilita para as empresas obter e gerenciar esses documentos usando um site especial.

AWS Security Hub é uma ferramenta especial desenvolvida pela Amazon para ajudar a manter as pessoas e suas informações seguras na Internet. Ele verifica muitas coisas diferentes para garantir que tudo está seguro e informa às pessoas se algo está errado para que possam consertar rapidamente. Ele funciona com outras ferramentas da Amazon e ajuda as organizações a melhorar a forma como mantêm suas informações seguras na nuvem.
 

AWS Secret Manager é como um esconderijo secreto para senhas e informações importantes que as pessoas precisam usar para fazer os programas funcionarem. Ele mantém todos os segredos seguros e permite que as pessoas gerenciem facilmente quem pode usá-los. É como um cofre especial que apenas algumas pessoas podem abrir para obter os segredos de que precisam e garante que tudo permaneça seguro.