📝
AWS CloudHSMってなんだろ?
AWS CloudHSM(法令遵守のためのハードウェアベースキーストレージ)| AWS
概要
- クラウドベースのハードウェアセキュリティモジュール (HSM)
- 暗号化キーを簡単に生成して使用できる
- FIPS 140-2 のレベル 3 認証済みの HSM を使用して、暗号化キーを管理
- 業界標準の API を使用して、アプリケーションを柔軟に統合できる
- 完全マネージド型
メリット
- FIPS 140-2 レベル 3 認証済みの HSM に暗号化キーを生成および使用
- セキュアでコンプライアンスに準拠したワークロードのデプロイ
- 業界標準で構築されたオープン HSM の使用
- 暗号化キーの制御の維持
- 簡単な管理とスケール
- AWS KMS キーの制御
仕組み
- A
- AWS では、HSMアプライアンスが管理されるが、キーへのアクセス権は持たない
- B
- ユーザーは自分のキーを制御して、管理する
- C
- アプリケーションのパフォーマンスが向上する (AWS ワークロードと近接しているため)
- D
- 複数のAZで利用できる、不正使用防止策が施されたハードウェアでの安全なキーストレージ
- E
- HSM は VPC 内にあり、他の AWS ネットワークから分離されている
ユースケース
- ウェブサーバーの SSL 処理のオフロード
- 発行認証局 (CA) 向けのプライベートキーの保護
- Oracle データベースでの Transparent Data Encryption (TDE) の有効化
ポイント
- クラウドベースのハードウェアセキュリティモジュール (HSM)
- 暗号化キーを簡単に生成して使用できる
- KMSキーの制御が可能
- VPC内で実行される
HSM超入門講座 「HSMとは?」 -- Sarion Systems Research
HSMって何だろう?
- 鍵を守る金庫の役目をするハードウェア
- 鍵は暗号や電子署名に利用する鍵のことで、一般的には128~2048bit程度のバイナリーデータ
- 鍵が漏洩すると機密情報が流出するなどの危険がある
- ソフトウェアの工夫だけで鍵を守ろうとしても限界がある
- 鍵を保管するハードウェアとして作られたのがHSM
- さまざまな攻撃から鍵を保護する仕組みが備わっている
鍵を保管するだけ?
- 暗号・電子署名などの演算機能まで本体内に内蔵
- 鍵を一切外に取り出さずに暗号、電子署名などの処理ができる
HSMの基本機能
- 鍵を安全に保管する
- 物理的攻撃に対しても鍵を安全に守れるような構造上の工夫が施されている
- 鍵を用いて暗号演算や電子署名演算を行う
- 鍵を生成する
- 乱数を生成する
ポイント
- 鍵を守るハードウェア
- 暗号・電子署名機能も備えている
- 物理的攻撃にも対応している
よくある質問 - AWS CloudHSM | AWS
Q: AWS CloudHSM とは何ですか?
- AWS内の専用HSMインスタンスを使用して、データセキュリティにコンプライアンス要件などを満たすことができる
- 既存のデータ保護ソリューションを補完する役割
- HSM 内での暗号キー保護
- ユーザー自身にしかアクセスできない方法で、データ暗号化に使用される暗号キーを安全に生成、保存、管理
Q: ハードウェアセキュリティモジュール (HSM) とは何ですか?
- 不正使用防止策の施されたハードウェアデバイス内での、安全なキー保管と暗号化操作が可能
Q: CloudHSM を使用すると、どのようなことができるのですか?
- データベース暗号化
- デジタル著作権管理 (DRM)
- 公開鍵基盤 (PKI)
- 認証と許可
- ドキュメントの署名
- トランザクション処理など
Q: CloudHSM はどのように機能しますか?
- CloudHSM クラスターを作成
- クラスターの HSM は自動的に同期、負荷分散
- 各 HSM はVPCのネットワークリソース
- クラスターを作成して初期化した後、EC2 インスタンスでクライアントを設定
Q: 現在 VPC を使用していません。それでも AWS CloudHSM を使用できますか?
- できない
Q: 作成するアプリケーションは、CloudHSM クラスターと同じ VPC 内に配置する必要がありますか?
- 別々でもよい
- クラスター内のすべての HSM に到達可能なネットワーク (IP) は必要
Q: CloudHSM は、オンプレミスの HSM で動作しますか?
- 動作する
Q: CloudHSM を使用して、キーを保存したり、他の AWS のサービスで使用されるデータを暗号化することはできますか?
- できる
- CloudHSM と統合されたアプリケーションでは、すべての暗号化を使用可能
Q: AWS の他のサービスで CloudHSM を使用して、キーの保存や管理を行えますか?
- AWS のサービスは、KMS と統合してから KMS カスタムキーストア機能を通じて AWS CloudHSM に統合される
- サーバー側の暗号化 (EBS、S3、または Amazon RDS など) を使用する必要がある場合、AWS KMS でカスタムキーストアを設定すると使用される
Q: AWS CloudHSM サービスの利用料金の課金と請求はどのように行われますか?
- クラスターにプロビジョニングされた 1 時間 (または 1 時間未満) ごとに時間料金が課金
- ネットワークデータ転送や受信料もかかる
ポイント
- 専用HSMインスタンスを使用
- ユーザー自身にしかアクセスできない方法で暗号キーを安全に生成、保存、管理
- クラスターをVPC内に構築し、EC2インスタンスにクライアントを設定する
- VPCは必須だが通信ができれば実行アプリとは別VPCでもよい
- オンプレでも利用可能
- KMSと統合可能
【AWS】CloudHSMの使い方について – Amazon Web Service(AWS)導入開発支援
メリット
- 簡単な管理とスケール
- 時間のかかるHSM管理タスクを自動化
- オンデマンドでクラスターからHSMを追加および削除することで、簡単にキャパシティーをスケール
- リクエストを自動的に負荷分散し、HSMに保存されているキーをクラスター内のその他のHSMすべてに対して安全に複製
- 暗号化キーの制御の維持
- CloudHSMを使って生成および使用する暗号化キーにアクセスできるのは、指定したHSMユーザーのみ
- AWS側からは暗号化キーは不可視
- 安全なVPCアクセス
- アプリケーションは、HSMクライアントソフトウェアによって確立された相互認証済みSSLチャネルを使用してHSMに接続
- HSMは、EC2インスタンスの近くにあるAmazonデータセンターに配置されるため、アプリケーションとHSM間のネットワークレイテンシーはオンプレミスのHSMよりも低くなる
- 負荷分散と高可用性
- キーの耐久性が向上
- キーの複数のコピーが、異なるAZに配置されたHSMに保存
- AWS KMSキーの制御
- CloudHSMクラスターをカスタムキーストアとする
- KMSマスターキーの保護をHSMの制御下に置いたままで、データを暗号化できる
CloudHSMとAWS KMSの比較
- CloudHSM
- 専用のハードウェアで暗号化キーを保管
- CloudHSMの方がより安心してキーを管理することが可能
- KMSに比べると金額は割高
- KMS
- AWS管理のサーバを共有で利用し、そのサーバで暗号化キーを管理
- システム的に他の組織へのアクセス制限はされていますが、物理的には同じサーバ上に存在
- CloudHSMに比べると安価に利用することができる
ポイント
- キーの耐久性と可用性が向上
- オンプレよりレイテンシーを抑えられる
- CloudHSMは専用ハードウェアを使用し、より安全に管理可能だがKMSよりコストはかかる
- KMSでは物理的にサーバーを共有する
コンソール
まとめ
- クラウドベースのハードウェアセキュリティモジュール (HSM)
- HSMは鍵を守るハードウェアで、暗号・電子署名機能も備え、物理的攻撃にも対応
- 暗号化キーを簡単に生成して使用できる
- VPC内で実行される
- 専用HSMインスタンスを使用
- ユーザー自身にしかアクセスできない方法で暗号キーを安全に生成、保存、管理
- クラスターをVPC内に構築し、EC2インスタンスにクライアントを設定する
- オンプレでも利用可能
- KMSと統合可能
- キーの耐久性と可用性が向上
- オンプレよりレイテンシーを抑えられる
- CloudHSMは専用ハードウェアを使用し、より安全に管理可能だがKMSよりコストはかかる
- KMSでは物理的にサーバーを共有する
Discussion