AWS is ontworpen als een van de meest flexibele en veilige cloudcomputingomgevingen die er zijn. Ontworpen als een schaalbaar en betrouwbaar platform, stelt dit klanten in staat om applicaties en data veilig en snel te implementeren. Organisaties verplaatsen hun infrastructuur en applicaties continu naar cloudserviceproviders.
Beveiligingskwesties spelen echter een belangrijke rol bij de beslissing over de migratie. Organisaties hebben tegenwoordig geen duidelijkheid over de beschikbare opties voor het hosten van cryptosleutels in de cloud. Voor Amazon Web Services biedt AWS twee diensten voor cryptosleutelbeheer in de cloud: AWS Key Management Service (KMS) en AWS CloudHSM.
AWS Cloud HSM
AWS CloudHSM is een cloudgebaseerde hardware beveiligingsmodule die eigendom is van en beheerd wordt door de klant. AWS CloudHSM fungeert als een single-tenant op hardware, waardoor deze niet gedeeld kan worden met andere klanten en applicaties. Organisaties kunnen AWS CloudHSM gebruiken voor diegenen die HSM's willen gebruiken voor het beheren en beheren van de encryptie sleutels, maar u hoeft zich geen zorgen te maken over het beheer van HSM-hardware in een datacenter.
Met AWS CloudHSM kunt u uw sleutels opslaan en gebruiken in een FIPS 140-2 Level 3-gevalideerd single-tenant HSM-cluster in uw Amazon Virtual Private Cloud (VPC). Gebruikers krijgen volledige controle over hoe sleutels worden gebruikt via een authenticatiemechanisme dat losstaat van AWS.
AWS CloudHSM ondersteunt meerdere use cases, waaronder de volgende: beheer van openbare/privé-sleutelparen voor Publieke Sleutel Infrastructuur (PKI), Code- en documentondertekening, opslaan van privésleutels voor diverse services zoals database-, opslag- en webapplicaties, opslaan van sleutels voor DRM-oplossingen. AWS CloudHSM stelt uw organisatie in staat om te voldoen aan de vereisten van sleutelbeheer vereisten met behulp van Hardware Security Modules die worden beheerd door AWS en die de mogelijkheid bieden om meerdere platformen te integreren om sleutels op te slaan.
Hieronder vindt u de tabel met een samenvatting van de AWS Cloud HSM Crypto-eigenschappen
| Bearing | Eenpersoonshuurder |
|---|---|
| Standaard |
FIPS 140-2 niveau 3 Common Criteria EAL4+ (ondersteund door het oudere model cloudHSM classic) |
| Hoofdsleutels | Hoofdsleutel HSM |
| Crypto-sleuteltypen |
|
| API-ondersteuning |
|
| Toegangsauthenticatie/beleid | Quorum-gebaseerd K van N-principe |
| Belangrijkste toegankelijkheid | Kan worden benaderd en gedeeld via meerdere VPC's |
| Hoge beschikbaarheid | HSM toevoegen in verschillende beschikbaarheidszones |
| Auditcapaciteit |
|
AWS-sleutelbeheerservices (KMS)
AWS KMS Hiermee kan uw organisatie sleutels voor cryptografische bewerkingen aanmaken en beheren. Dit omvat het genereren, opslaan, beheren en controleren van sleutels tijdens het versleutelen/ontsleutelen of digitaal ondertekenen van gegevens voor applicaties of tussen AWS-services. AWS KMS biedt volledige beveiliging via beheerde encryptiesleutels op alle AWS-platformen.
Gecentraliseerd sleutelbeheer biedt de gebruiker een centraal controlepunt voor het beheren van sleutels en het definiëren van toegangsbeleid voor alle geïntegreerde AWS-services. Met AWS KMS kunt u een klanthoofdsleutel (CMK) aanmaken, beter bekend als een hoofdsleutel, een hoofdsleutel gebruiken, een met een hoofdsleutel versleutelde gegevenssleutel aanmaken en exporteren, hoofdsleutels in- of uitschakelen en het gebruik van hoofdsleutels in AWS CloudTrail controleren. AWS integreert hoofdsleutels en gegevenssleutels.
De hoofdsleutel verlaat de AWS KMS-service niet in ongecodeerde vorm. Met AWS KMS kunnen specifieke toegangsregels worden ingesteld voor alleen vertrouwde gebruikers die CMK's kunnen gebruiken. In AWS KMS, Breng uw eigen sleutel mee (BYOK) De functie is beschikbaar om uw eigen sleutelmateriaal in die CMK te importeren. Het geïmporteerde sleutelmateriaal wordt echter alleen ondersteund voor symmetrische CMK's in AES-256-XTS-sleutels in PKCS#1-standaardformaat. AWS KMS kan worden gecombineerd met een AWS CloudHSM-cluster om het sleutelmateriaal te maken voor een CMK die beheerd kan worden door de AWS KMS-service.
Hieronder vindt u de tabel met een samenvatting van de crypto-eigenschappen van de AWS Key Management Service
| Bearing | Meerdere huurders |
|---|---|
| Standaard | FIPS 140-2 niveau 2 |
| Hoofdsleutels |
|
| Crypto-sleutels |
|
| Crypto-API | AWS SDK/API voor KMS |
| Toegangsauthenticatie/beleid | AWS IAM-beleid |
| Belangrijkste toegankelijkheid | Toegankelijk in meerdere regio's (sleutels buiten de regio waarin ze zijn gemaakt, kunnen niet worden gebruikt) |
| Hoge beschikbaarheid | AWS beheerde service |
| Auditcapaciteit |
|
AWS KMS en AWS Cloud HSM
AWS CloudHSM biedt sleutelopslag voor één tenant en voldoet aan FIPS 140-2 Level 3. CloudHSM biedt volledige controle over uw sleutels, waaronder symmetrisch (AES), asymmetrisch (RSA), Sha-256, SHA 512, hash-based en digitale handtekeningen (RSA). AWS Key Management Service is daarentegen een multi-tenant sleutelopslag die eigendom is van en beheerd wordt door AWS.
AWS KMS ondersteunt Customer Master Keys voor symmetrische sleutelversleuteling (AES-256-XTS) en asymmetrische sleutels (RSA of elliptische curve (ECC)).
Als de sleutelbeheerstrategie van uw organisatie voor encryptie nu en in de nabije toekomst uitgaat van één enkele cloudserviceprovider, biedt AWS KMS de eenvoudigste omgeving om te onderhouden. Als u echter van plan bent om te profiteren van meerdere cloudproviders, maar de HSM's niet wilt onderhouden, kan AWS CloudHSM de oplossing voor uw organisatie zijn. Hiermee kunt u encryptiesleutels scheiden van de gegevens op de andere gebruikte platforms.
