AWS CloudHSM ユースケース - AWS CloudHSM

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS CloudHSM ユースケース

AWS CloudHSM のハードウェアセキュリティモジュール (HSM) は、さまざまな目標を達成するのに役立ちます。

ウェブサーバーの SSL/TLS 処理をオフロードにする

ウェブサーバーおよびそのクライアント (ウェブブラウザ) では、Secure Sockets Layer (SSL) または Transport Layer Security (TLS) を使用できます。これらのプロトコルは、インターネット経由でウェブページまたは他のデータを送受信するために、ウェブサーバーのアイデンティティの確認と、安全な接続の確立を行います。これは一般に HTTPS として知られています。このウェブサーバーでは、パブリック/プライベートのキーペアと SSL/TLS パブリックキー証明書を使用して、各クライアントとの HTTPS セッションを確立します。このプロセスでは、ウェブサーバーで大量の計算が必要になりますが、一部の計算は AWS CloudHSM クラスターの HSM にオフロードできます。このプロセスは、SSL アクセラレーションと呼ばれることもあります。オフロードにより、ウェブサーバーのプライベートキーを HSM に保存することで、ウェブサーバーの計算の負担が軽減され、セキュリティが強化されます。

AWS CloudHSM で SSL/TLS オフロードを設定する方法については、「SSL/TLS のオフロード」を参照してください。

認証機関 (CA) の発行に必要なプライベートキーを保護する

公開鍵基盤 (PKI) において、認証機関 (CA) は、デジタル証明書を発行する信頼されたエンティティです。これらのデジタル証明書は、公開鍵暗号方式およびデジタル署名を使用して、パブリックキーを ID (個人または組織) にバインドします。CA を操作するには、CA によって発行された証明書に署名するプライベートキーを保護して、信頼関係を維持する必要があります。プライベートキーは HSM の AWS CloudHSM クラスターに保存でき、HSM を使用して暗号化署名オペレーションを実行できます。

Oracle データベースの透過的なデータ暗号化 (TDE) を有効にする

一部バージョンの Oracle のデータベースソフトウェアには、透過的なデータ暗号化 (TDE) と呼ばれる機能が搭載されています。データベースソフトウェアは、TDE を使用して、ディスクに保存する前にデータを暗号化します。データベースのテーブル列またはテーブルスペースのデータは、テーブルキーまたはテーブルスペースキーで暗号化されています。これらのキーは、TDE のマスター暗号化キーを使用して暗号化されます。TDE マスター暗号化キーを AWS CloudHSM クラスターの HSM に保存でき、それによりセキュリティが強化されます。

AWS CloudHSM で Oracle TDE を設定する方法については、「Oracle Database 暗号化」を参照してください。