AWS ha sido diseñado para ser uno de los entornos de computación en la nube más flexibles y seguros del mercado. Diseñado para una plataforma escalable y confiable, permite a los clientes implementar aplicaciones y datos de forma segura y rápida. Las organizaciones migran continuamente su infraestructura y aplicaciones a proveedores de servicios en la nube.
Sin embargo, los problemas de seguridad son fundamentales a la hora de tomar la decisión de migrar. Actualmente, las organizaciones no tienen claras las opciones disponibles para alojar claves criptográficas en la nube. Para Amazon Web Services, AWS ofrece dos servicios de gestión de claves criptográficas en su nube: AWS Key Management Service (KMS) o AWS CloudHSM.
HSM en la nube de AWS
AWS CloudHSM es una solución basada en la nube módulo de seguridad de hardware AWS CloudHSM es propiedad del cliente y está gestionado por él. AWS CloudHSM actúa como un único inquilino en el hardware, lo que impide que se comparta con otros clientes y aplicaciones. Las organizaciones pueden utilizar AWS CloudHSM si desean usar HSM para administrar y gestionar... cifrado llaves, pero sin tener que preocuparse por administrar el hardware HSM en un centro de datos.
AWS CloudHSM permite que un clúster HSM de un solo inquilino, validado según FIPS 140-2 Nivel 3, en su Amazon Virtual Private Cloud (VPC) almacene y use sus claves. Los usuarios tienen control total sobre el uso de sus claves mediante un mecanismo de autenticación independiente de AWS.
AWS CloudHSM admite múltiples casos de uso, incluidos los siguientes: administración de pares de claves públicas y privadas para Infraestructura de clave pública (PKI)Firma de código y documentos, almacenamiento de claves privadas para diversos servicios como bases de datos, almacenamiento y aplicaciones web, y almacenamiento de claves para soluciones DRM. AWS CloudHSM permitirá a su organización cumplir con las normativas de... gestión de claves requisitos con el uso de Módulos de Seguridad de Hardware supervisados por AWS con capacidad de incorporar múltiples plataformas para almacenar claves.
A continuación se muestra la tabla que resume las propiedades criptográficas de AWS Cloud HSM
| Arrendatario | Inquilino único |
|---|---|
| Estándar |
FIPS 140-2 Nivel 3 Criterios comunes EAL4+ (compatible con el modelo clásico anterior de cloudHSM) |
| Llaves maestras | HSM de clave maestra |
| Tipos de claves criptográficas |
|
| Soporte API |
|
| Autenticación/Política de acceso | Principio de los Caballeros de Nueve Años basado en el quórum |
| Accesibilidad clave | Se puede acceder y compartir entre múltiples VPC |
| Alta disponibilidad | AGREGAR HSM en diferentes zonas de disponibilidad |
| Capacidad de auditoría |
|
Servicios de administración de claves de AWS (KMS)
AWS KMS Permite a su organización crear y controlar claves para operaciones criptográficas. Esto incluye la generación, el almacenamiento, la gestión y la auditoría de claves durante el proceso de cifrado/descifrado o firma digital de datos para aplicaciones o servicios de AWS. AWS KMS ofrece seguridad completa mediante claves de cifrado administradas en todas las plataformas de AWS.
La gestión centralizada de claves ofrece al usuario un punto de control central para gestionar claves y definir políticas de acceso en todos los servicios integrados de AWS. Con AWS KMS, podrá crear una clave maestra de cliente (CMK), generalmente conocida como llave maestraUsar una clave maestra, crear y exportar una clave de datos cifrada con una clave maestra, habilitar o deshabilitar claves maestras y auditar su uso en AWS CloudTrail. AWS incorpora claves maestras y claves de datos.
La clave maestra no saldrá del servicio AWS KMS sin cifrar. Con AWS KMS, se pueden establecer políticas de acceso específicas solo para usuarios de confianza que puedan usar CMK. En AWS KMS, Traiga su propia llave (BYOK) La función permite importar su propio material de claves a esa CMK. Sin embargo, el material de claves importado solo es compatible con CMK simétricas en claves AES-256-XTS con el formato estándar PKCS#1. AWS KMS se puede vincular con el clúster de AWS CloudHSM para crear el material de claves para una CMK administrada por el servicio AWS KMS.
A continuación se muestra la tabla que resume las propiedades criptográficas del servicio de administración de claves de AWS
| Arrendatario | Multiinquilino |
|---|---|
| Estándar | FIPS 140-2 Nivel 2 |
| Llaves maestras |
|
| Claves criptográficas |
|
| API criptográfica | SDK/API de AWS para KMS |
| Autenticación/Política de acceso | Política de IAM de AWS |
| Accesibilidad clave | Accesible en múltiples regiones (las claves fuera de la región en la que se crearon no se pueden usar) |
| Alta disponibilidad | Servicio administrado de AWS |
| Capacidad de auditoría |
|
AWS KMS y AWS Cloud HSM
AWS CloudHSM proporciona almacenamiento de claves para un solo inquilino, cumpliendo con la norma FIPS 140-2 Nivel 3. CloudHSM permite el control total de sus claves, incluyendo claves simétricas (AES), asimétricas (RSA), SHA-256, SHA 512, basadas en hash y firmas digitales (RSA). Por otro lado, AWS Key Management Service es un almacenamiento de claves multiinquilino, propiedad de AWS y administrado por esta.
AWS KMS permite admitir claves maestras de cliente para cifrado de clave simétrica (AES-256-XTS) y claves asimétricas (RSA o curva elíptica (ECC).
Si la estrategia de gestión de claves de cifrado de su organización implicará utilizar un único proveedor de servicios en la nube por ahora y en el futuro próximo, AWS KMS le proporcionará el entorno más sencillo de mantener. Sin embargo, si planea aprovechar varios proveedores de servicios en la nube, pero no desea mantener los HSM, AWS CloudHSM puede ser la solución ideal para su organización, ya que permite separar las claves de cifrado de los datos de las demás plataformas utilizadas.
