AWS CloudHSM クラスターのバックアップ - AWS CloudHSM

AWS CloudHSM クラスターのバックアップ

AWS CloudHSM は定期的にクラスターのバックアップを作成します。AWS CloudHSM で随時にバックアップを作成することはできませんが、特定のアクションを実行することで、結果的に AWS CloudHSM でバックアップを作成できます。詳細については、以下のトピックを参照してください。

1 つ以上のアクティブな HSM が追加済みのクラスターに別の HSM を追加すると、AWS CloudHSM はこの別の HSM に最新のバックアップを復元します。つまり、AWS CloudHSM を使用して、使用頻度が少ない HSM を管理することができます。HSM を使用する必要がない場合は、削除することで、バックアップがトリガーされます。後で HSM を再使用する必要が生じた場合は、同じクラスターに別の新しい HSM を作成することで、結果的に以前の HSM が復元されます。

また、別のクラスターにある既存のバックアップから新しいクラスターを作成できます。新しいクラスターは、既存のバックアップが含まれている同じ AWS リージョンで作成する必要があります。

バックアップの概要

各バックアップは、次のデータの暗号化されたコピーを含んでいます。

AWS CloudHSM は、クラスターと同じ AWS リージョン内の、サービス制御された Amazon Simple Storage Service(Amazon S3) バケットにバックアップを保存します。


        サービス制御された Amazon S3 バケットの暗号化された AWS CloudHSM クラスターバックアップ。

バックアップのセキュリティ

AWS CloudHSM が HSM からバックアップを作成すると、そのすべてのデータは HSM で暗号化されてから AWS CloudHSM に送信されます。データがプレーンテキスト形式で HSM から外部に出ることはありません。

データを暗号化するために、HSM はエフェメラルバックアップキー (EBK) として知られる一意の暗号化キーを一時的に使用します。EBK は、AWS CloudHSM がバックアップを作成した際に HSM 内で生成される AES 256 ビット暗号化キーです。HSM は EBK を生成し、それを使用して NIST special publication 800-38F に準拠する FIPS 承認 AES キーラップメソッドで HSM のデータを暗号化します。その後、HSM は暗号化されたデータを AWS CloudHSM に渡します。暗号化されたデータには、EBK の暗号化済みコピーが含まれています。

EBK を暗号化するために、HSM は永続的バックアップキー (PBK) として知られる別の暗号化キーを使用します。PBK も、AES 256 ビット暗号化キーです。PBK を生成するために、HSM は NIST special publication 800-108 に準拠する FIPS 承認キー取得機能 (KDF) をカウンターモードで使用します。この KDF への入力には次のものがあります。

  • ハードウェア製造元が HSM に永続的に埋め込んだ、製造元キーバックアップキー (MKBK)。

  • 最初に AWS CloudHSM に設定された場合、HSM に安全にインストールされる AWS キーバックアップキー (AKBK)。

次の図に暗号化プロセスがまとめてあります。バックアップ暗号化キーは、永続的なバックアップキー (PBK) とエフェメラルバックアップキー (EBK) を指します。


        AWS CloudHSM バックアップの暗号化に使用される暗号化キーの概要。

AWS CloudHSM は、同じ製造元に作られた AWS 所有の HSM のみにバックアップを保存できます。すべてのバックアップがすべてのユーザー、キー、およびオリジナルの HSM を含んでいるため、復元された HSM はオリジナルと同じ保護およびアクセス制御を含んでいます。復元されたデータは、復元前に HSM にあった可能性がある他のデータをすべて上書きします。

バックアップは暗号化されたデータのみで構成されます。各バックアップが Amazon S3 に保存される前に、AWS Key Management Service (AWS KMS) カスタマーマスターキー (CMK) でもう一度暗号化されます。

バックアップの耐久性

AWS CloudHSM は、AWS CloudHSM が管理する AWS アカウントの Amazon S3 バケットにクラスターバックアップを保存します。バックアップの耐久性は、Amazon S3 に保存されているオブジェクトと同様です。Amazon S3 は 99.999999999% の耐久性となるように設計されています。

バックアップの頻度

AWS CloudHSM は少なくとも 24 時間に 1 回、クラスターのバックアップを作成します。AWS CloudHSM は、継続的な毎日のバックアップに加えて、ユーザーが次のいずれかのアクションを実行したときにバックアップを作成します。