AWS har utformats för att vara en av de mest flexibla och säkra molntjänstmiljöerna som finns. Utformad för en skalbar och pålitlig plattform gör detta det möjligt för kunder att distribuera applikationer och data säkert och snabbt. Organisationer flyttar kontinuerligt sin infrastruktur och sina applikationer till molntjänstleverantörer.
Säkerhetsfrågor spelar dock en betydande roll i beslutet om migrering. Idag saknar organisationer tydlighet kring tillgängliga alternativ för att hosta kryptonycklar i molnet. För Amazon Web Services tillhandahåller AWS två tjänster för hantering av kryptonycklar i sitt moln, AWS Key Management Service (KMS) eller AWS CloudHSM.
AWS Cloud HSM
AWS CloudHSM är ett molnbaserat hårdvarusäkerhetsmodul som ägs och hanteras av kunden. AWS CloudHSM fungerar som en enda hyresgäst på hårdvara, vilket begränsar dess delning med andra kunder och applikationer. Organisationer kan använda AWS CloudHSM för de som vill använda HSM:er för att administrera och hantera kryptering nycklar, men utan att behöva oroa sig för att hantera HSM-hårdvara i ett datacenter.
AWS CloudHSM tillåter FIPS 140-2 Level 3-validerat HSM-kluster med en enda hyresgäst i ditt Amazon Virtual Private Cloud (VPC) att lagra och använda dina nycklar. Användare får fullständig kontroll över hur nycklar används genom en autentiseringsmekanism separat från AWS.
AWS CloudHSM stöder flera användningsfall, inklusive följande: hantering av offentliga/privata nyckelpar för Public Key Infrastructure (PKI), Kod- och dokumentsignering, lagring av privata nycklar för olika tjänster såsom databaser, lagring och webbapplikationer, lagring av nycklar för DRM-lösningar. AWS CloudHSM gör det möjligt för din organisation att uppfylla kraven för nyckelhantering krav vid användning av hårdvarusäkerhetsmoduler som övervakas av AWS med möjlighet att integrera flera plattformar för att lagra nycklar.
Nedan följer tabellen som sammanfattar AWS Cloud HSM Crypto Properties
| Hyresgäst | Enskild hyresgäst |
|---|---|
| Standard |
FIPS 140-2 Nivå 3 Common Criteria EAL4+ (stöds av cloudHSM classic äldre modell) |
| Huvudnycklar | Huvudnyckel HSM |
| Kryptonyckeltyper |
|
| API-support |
|
| Åtkomstautentisering/policy | Kvorumbaserad K av N-princip |
| Viktig tillgänglighet | Kan nås och delas mellan flera VPC:er |
| Hög tillgänglighet | LÄGG TILL HSM i olika tillgänglighetszoner |
| Revisionsförmåga |
|
AWS nyckelhanteringstjänster (KMS)
AWS KMS låter din organisation skapa och kontrollera nycklar för kryptografiska operationer. Detta inkluderar nyckelgenerering, lagring, hantering och granskning vid kryptering/dekryptering eller digital signering av data för applikationer eller över AWS-tjänster. AWS KMS möjliggör fullständig säkerhet genom hanterade krypteringsnycklar över AWS-plattformar.
Centraliserad nyckelhantering ger användaren en central kontrollpunkt för att hantera nycklar och definiera åtkomstpolicyer för alla integrerade AWS-tjänster. Med AWS KMS har du möjlighet att skapa en kundhuvudnyckel (CMK), allmänt känd som en huvudnyckel, använda en huvudnyckel, skapa och exportera en datanyckel krypterad med en huvudnyckel, aktivera/inaktivera huvudnycklar och granska användningen av huvudnycklar i AWS CloudTrail. AWS integrerar huvudnycklar och datanycklar.
Huvudnyckeln lämnar inte AWS KMS-tjänsten i okrypterad form. Med AWS KMS kan specifika åtkomstpolicyer ställas in för endast betrodda användare som kan använda CMK:er. I AWS KMS, Ta med egen nyckel (BYOK) Funktionen är tillgänglig för att importera ditt eget nyckelmaterial till den CMK:n, men det importerade nyckelmaterialet stöds endast för symmetriska CMK:er i AES-256-XTS-nycklar i PKCS#1-standardformat. AWS KMS kan paras ihop med AWS CloudHSM-kluster för att skapa nyckelmaterial för en CMK som kan hanteras av AWS KMS-tjänsten.
Nedan följer tabellen som sammanfattar AWS Key Management Service Crypto Properties
| Hyresgäst | Flera hyresgäster |
|---|---|
| Standard | FIPS 140-2 Nivå 2 |
| Huvudnycklar |
|
| Kryptonycklar |
|
| Krypto API | AWS SDK/API för KMS |
| Åtkomstautentisering/policy | AWS IAM-policy |
| Viktig tillgänglighet | Tillgänglig i flera regioner (nycklar utanför den region där de skapades kan inte användas) |
| Hög tillgänglighet | AWS-hanterad tjänst |
| Revisionsförmåga |
|
AWS KMS och AWS Cloud HSM
AWS CloudHSM tillhandahåller nyckellagring med en enda hyresgäst som uppfyller FIPS 140-2 nivå 3. CloudHSM ger full kontroll över dina nycklar, inklusive symmetriska (AES), asymmetriska (RSA), Sha-256, SHA 512, hashbaserade och digitala signaturer (RSA). Å andra sidan är AWS Key Management Service en nyckellagring med flera hyresgäster som ägs och hanteras av AWS.
AWS KMS stöder kundmasternycklar för symmetrisk nyckelkryptering (AES-256-XTS) och asymmetriska nycklar (RSA eller elliptisk kurva (ECC).
Om din organisations nyckelhanteringsstrategi för kryptering kommer att vara att använda en enda molntjänstleverantör för nu och under överskådlig framtid, kommer AWS KMS att erbjuda den enklaste miljön att underhålla. Men om du planerar att dra nytta av flera molnleverantörer men inte vill underhålla HSM:erna, kan AWS CloudHSM vara lösningen för din organisation för att tillåta separerade krypteringsnycklar från data från de andra plattformarna som används.
