AWS CloudHSM ユースケース

企業のセキュリティ標準に準拠する必要がある企業は、 AWS CloudHSM を使用して、機密性の高いデータを保護するプライベートキーを管理できます。HSMs が提供する AWS CloudHSM はFIPS、140-2 レベル 3 認定を受けており、 PCI に準拠していますDSS。さらに、 AWS CloudHSM は PCI PIN に準拠し、 は PCI-3DS に準拠しています。詳細については、「コンプライアンス」を参照してください。

を使用して AWS CloudHSM 、機密性の高いデータ、転送中の暗号化、保管中の暗号化を保護するプライベートキーを管理します。さらに、 は、複数の暗号化 との標準準拠の統合 AWS CloudHSM を提供しますSDKs。

暗号化では、プライベートキーを使用して文書に署名すると、受信者はパブリックキーを使用して、他の誰でもないお客様が実際に文書を送信したことを検証できます。を使用して AWS CloudHSM 、この目的のために特別に設計された非対称パブリックキーとプライベートキーのペアを作成します。

暗号化では、暗号メッセージ認証コード (CMACs) とハッシュベースのメッセージ認証コード (HMACs) を使用して、安全でないネットワーク経由で送信されるメッセージの整合性を認証し、保証します。を使用すると AWS CloudHSM、 と をサポートする対称キーを安全に作成HMACsおよび管理できますCMACs。

お客様は AWS CloudHSM と を組み合わせて、キーマテリアルAWS KMSをシングルテナント環境に格納できると同時に、 のキー管理、スケーリング、クラウド統合のメリットも享受できます AWS KMS。その方法について詳しくは、「AWS Key Management Service 開発者ガイド」の「AWS CloudHSM キーストア」を参照してください。

インターネット経由でデータを安全に送信するために、ウェブサーバーはパブリックキーとプライベートキーのペアと SSL/TLS パブリックキー証明書を使用してHTTPSセッションを確立します。このプロセスにはウェブサーバーの多くの計算が含まれますが、一部の計算負荷を軽減しながら、クラスターにオフロードすることでセキュリティを強化できます AWS CloudHSM 。で SSL/TLS オフロードを設定する方法については AWS CloudHSM、「」を参照してくださいSSL/TLS のオフロード。

透過的なデータ暗号化 (TDE) は、データベースファイルの暗号化に使用されます。を使用するとTDE、データベースソフトウェアはデータをディスクに保存する前に暗号化します。TDE マスター暗号化キーを HSMsに保存することで、セキュリティを強化できます AWS CloudHSM。TDE で Oracle を設定する方法については、 AWS CloudHSM「」を参照してくださいOracle Database 暗号化。

認証機関 (CA) は、パブリックキーを ID (個人または組織) にバインドするデジタル証明書を発行する信頼されたエンティティです。CA を操作するには、CA によって発行された証明書に署名するプライベートキーを保護して、信頼関係を維持する必要があります。このようなプライベートキーを AWS CloudHSM クラスターに保存し、 を使用して暗号化署名オペレーションHSMsを実行できます。

暗号化キーを作成するための乱数の生成は、オンラインセキュリティの中核です。 はHSMs、ユーザーが制御する乱数を安全に生成するために使用 AWS CloudHSM でき、ユーザーのみに表示されます。