AWS wurde als eine der flexibelsten und sichersten Cloud-Computing-Umgebungen auf dem Markt konzipiert. Die skalierbare, zuverlässige Plattform ermöglicht Kunden die sichere und schnelle Bereitstellung von Anwendungen und Daten. Unternehmen verlagern ihre Infrastruktur und Anwendungen kontinuierlich zu Cloud-Service-Anbietern.
Sicherheitsaspekte spielen jedoch eine wichtige Rolle bei der Migrationsentscheidung. Unternehmen sind sich derzeit nicht über die verfügbaren Optionen für das Hosting von Kryptoschlüsseln in der Cloud im Klaren. Für Amazon Web Services bietet AWS zwei Dienste zur Verwaltung von Kryptoschlüsseln in der Cloud an: AWS Key Management Service (KMS) und AWS CloudHSM.
AWS Cloud HSM
AWS CloudHSM ist ein Cloud-basiertes Hardware-Sicherheitsmodul Das ist im Besitz des Kunden und wird von ihm verwaltet. AWS CloudHSM fungiert als Single-Tenant auf Hardware und verhindert die gemeinsame Nutzung mit anderen Kunden und Anwendungen. Unternehmen können AWS CloudHSM nutzen, wenn sie HSMs für die Verwaltung und das Management der Verschlüsselung Schlüssel, ohne sich um die Verwaltung der HSM-Hardware in einem Rechenzentrum kümmern zu müssen.
AWS CloudHSM ermöglicht die Speicherung und Verwendung Ihrer Schlüssel in einem FIPS 140-2 Level 3-validierten Single-Tenant-HSM-Cluster in Ihrer Amazon Virtual Private Cloud (VPC). Über einen von AWS getrennten Authentifizierungsmechanismus haben Benutzer die volle Kontrolle über die Verwendung der Schlüssel.
AWS CloudHSM unterstützt mehrere Anwendungsfälle, darunter die folgenden: Verwaltung von öffentlichen/privaten Schlüsselpaaren für Public-Key-Infrastruktur (PKI), Code- und Dokumentensignierung, Speicherung privater Schlüssel für verschiedene Dienste wie Datenbanken, Speicher- und Webanwendungen, Speicherung von Schlüsseln für DRM-Lösungen. AWS CloudHSM ermöglicht Ihrem Unternehmen die Einhaltung von Schlüsselverwaltung Anforderungen bei der Verwendung von von AWS überwachten Hardware-Sicherheitsmodulen mit der Möglichkeit, mehrere Plattformen zur Schlüsselspeicherung zu integrieren.
Nachfolgend finden Sie eine Tabelle mit einer Zusammenfassung der AWS Cloud HSM-Kryptoeigenschaften
| Mieter | Einzelmieter |
|---|---|
| Standard |
FIPS 140-2 Stufe 3 Common Criteria EAL4+ (unterstützt vom älteren klassischen CloudHSM-Modell) |
| Hauptschlüssel | Hauptschlüssel-HSM |
| Kryptoschlüsseltypen |
|
| API-Unterstützung |
|
| Zugriffsauthentifizierung/Richtlinie | Quorumbasiertes K von N-Prinzip |
| Tastenzugänglichkeit | Kann über mehrere VPCs hinweg aufgerufen und geteilt werden |
| Hochverfügbarkeit | HSM in verschiedenen Verfügbarkeitszonen hinzufügen |
| Audit-Fähigkeit |
|
AWS-Schlüsselverwaltungsdienste (KMS)
AWS-KMS Ermöglicht Ihrem Unternehmen die Erstellung und Kontrolle von Schlüsseln für kryptografische Vorgänge. Dies umfasst die Schlüsselgenerierung, -speicherung, -verwaltung und -prüfung beim Ver-/Entschlüsseln oder digitalen Signieren von Daten für Anwendungen oder über AWS-Services hinweg. AWS KMS ermöglicht umfassende Sicherheit durch verwaltete Verschlüsselungsschlüssel auf allen AWS-Plattformen.
Die zentralisierte Schlüsselverwaltung bietet dem Benutzer eine zentrale Kontrollstelle für die Verwaltung von Schlüsseln und die Definition von Zugriffsrichtlinien für alle integrierten AWS-Services. Mit AWS KMS können Sie einen Customer Master Key (CMK) erstellen, der allgemein als Hauptschlüssel, einen Hauptschlüssel verwenden, einen mit einem Hauptschlüssel verschlüsselten Datenschlüssel erstellen und exportieren, Hauptschlüssel aktivieren/deaktivieren und die Verwendung von Hauptschlüsseln in AWS CloudTrail prüfen. AWS integriert Hauptschlüssel und Datenschlüssel.
Der Masterschlüssel verlässt den AWS KMS-Dienst nicht unverschlüsselt. Mit AWS KMS können spezifische Zugriffsrichtlinien nur für vertrauenswürdige Benutzer festgelegt werden, die CMKs verwenden können. In AWS KMS Bringen Sie Ihren eigenen Schlüssel mit (BYOK) Es ist eine Funktion verfügbar, mit der Sie Ihr eigenes Schlüsselmaterial in diesen CMK importieren können. Das importierte Schlüsselmaterial wird jedoch nur für symmetrische CMKs in AES-256-XTS-Schlüsseln im PKCS#1-Standardformat unterstützt. AWS KMS kann mit einem AWS CloudHSM-Cluster gekoppelt werden, um das Schlüsselmaterial für einen CMK zu erstellen, der vom AWS KMS-Dienst verwaltet werden kann.
Nachfolgend finden Sie eine Tabelle mit einer Zusammenfassung der Kryptoeigenschaften des AWS Key Management Service
| Mieter | Mandantenfähig |
|---|---|
| Standard | FIPS 140-2 Stufe 2 |
| Hauptschlüssel |
|
| Krypto-Schlüssel |
|
| Krypto-API | AWS SDK/API für KMS |
| Zugriffsauthentifizierung/Richtlinie | AWS IAM-Richtlinie |
| Tastenzugänglichkeit | In mehreren Regionen zugänglich (Schlüssel außerhalb der Region, in der sie erstellt wurden, können nicht verwendet werden) |
| Hochverfügbarkeit | AWS Managed Service |
| Audit-Fähigkeit |
|
AWS KMS und AWS Cloud HSM
AWS CloudHSM bietet Single-Tenant-Schlüsselspeicher und erfüllt FIPS 140-2 Level 3. CloudHSM ermöglicht die vollständige Kontrolle über Ihre Schlüssel, einschließlich symmetrischer (AES), asymmetrischer (RSA), Sha-256, SHA 512, Hash-basierter und digitaler Signaturen (RSA). Der AWS Key Management Service hingegen ist ein mandantenfähiger Schlüsselspeicher, der AWS gehört und von AWS verwaltet wird.
AWS KMS unterstützt Customer Master Keys für die symmetrische Schlüsselverschlüsselung (AES-256-XTS) und asymmetrische Schlüssel (RSA oder elliptische Kurve (ECC).
Wenn die Schlüsselverwaltungsstrategie Ihres Unternehmens für die Verschlüsselung derzeit und in absehbarer Zukunft auf einen einzelnen Cloud-Service-Anbieter abzielt, bietet AWS KMS die einfachste Umgebung für die Wartung. Wenn Sie jedoch die Vorteile mehrerer Cloud-Anbieter nutzen, die HSMs jedoch nicht selbst warten möchten, kann AWS CloudHSM die Lösung für Ihr Unternehmen sein, um Verschlüsselungsschlüssel von den Daten der anderen genutzten Plattformen zu trennen.
