Proteção de dados no AWS Key Management Service

AWS Key Management ServiceO armazena e protege suas chaves de criptografia para torná-las altamente disponíveis e, ao mesmo tempo, oferece controle de acesso forte e flexível.

Proteger material de chave

Por padrão, o AWS KMS gera e protege o material da chave criptográfica para chaves do KMS. Além disso, o AWS KMS oferece opções para materiais de chave criados e protegidos fora do AWS KMS. Para obter detalhes sobre o gerenciamento de chaves do KMS e do material de chave, consulte Detalhes criptográficos do AWS Key Management Service

Proteger o material essencial gerado em AWS KMS

Quando você cria uma chave do KMS, por padrão, o AWS KMS gera o material de chave para essa chave do KMS.

Para proteger o material de chave para chaves do KMS, o AWS KMS conta com uma frota distribuída de módulos de segurança de hardware (HSMs) validados para FIPS 140-2 Nível de segurança 3 - validado. Cada HSM do AWS KMS é um dispositivo de hardware independente projetado para fornecer funções criptográficas dedicadas a fim de atender aos requisitos de segurança e escalabilidade do AWS KMS. (Os HSMs usados pelo AWS KMS nas regiões China (Pequim) e China (Ningxia) são certificados pelaOSCCA e estão em conformidade com todos os regulamentos chineses pertinentes, mas não são validados pelo Programa de validação de módulos criptográficos FIPS 140-2.)

O material de chave de uma chave do KMS é criptografado por padrão quando é gerado no HSM. O material da chave é descriptografado somente na memória volátil do HSM e somente por alguns milissegundos necessários para ser usado em uma operação criptográfica. Sempre que o material da chave não está em uso ativo, ele é criptografado no HSM e transferido para um armazenamento persistente altamente durável (99,999999999%) e de baixa latência, onde permanece separado e isolado dos HSMs. O material de chave em texto nunca deixa o limite de segurança de HSM; ele nunca é gravado em disco ou em qualquer mídia de armazenamento persistente. (A única exceção é a chave pública de um par de chaves assimétricas, que não é secreta.)

A AWS afirma como princípio fundamental de segurança que não há interação humana com material de chave criptográfica de texto simples de qualquer tipo em nenhum Serviço da AWS. Não há mecanismo para que ninguém, incluindo os operadores de Serviço da AWS, visualize, acesse ou exporte material de chave em texto simples. Esse princípio se aplica mesmo durante falhas catastróficas e eventos de recuperação de desastres. O material de chave do cliente em texto simples do AWS KMS é usado para operações criptográficas em HSMs validados pelo FIPS do AWS KMS somente em resposta às solicitações autorizadas feitas ao serviço pelo cliente ou seu representante.

Para chaves gerenciadas pelo cliente, a Conta da AWS que cria a chave é a proprietária única e intransferível da chave. A conta proprietária tem controle total e exclusivo sobre as políticas de autorização que controlam o acesso à chave. Para Chaves gerenciadas pela AWS, a Conta da AWS tem controle total sobre as políticas do IAM que autorizam solicitações para o Serviço da AWS.

Proteger o material de chave gerado no AWS KMS

O AWS KMS fornece alternativas aos principais materiais gerados em AWS KMS.

Repositórios de chaves personalizados, um recurso opcional do AWS KMS, permitem criar chaves do KMS apoiadas por material de chave gerado e usado fora do AWS KMS. As chaves do KMS nos repositórios de chaves do AWS CloudHSM são apoiadas por chaves nos módulos de segurança de hardware do AWS CloudHSM que você controla. Esses HSMs têm certificação FIPS 140-2 Nível de segurança 3. As chaves do KMS em repositórios de chaves externos são apoiadas por chaves em um gerenciador de chaves externo que você controla e gerencia fora da AWS, como um HSM físico em seu datacenter privado.

Outro recurso opcional permite importar o material de chave para uma chave do KMS. Para proteger o material de chaves importado enquanto ele está em trânsito para o AWS KMS, você criptografa o material de chaves usando uma chave pública de um par de chaves RSA gerado em um HSM do AWS KMS. O material de chave importada é descriptografado em um HSM do AWS KMS e criptografado novamente sob chaves simétricas no HSM. Como todo material de chave do AWS KMS, material de chave importado em texto não criptografado nunca sai dos seus HSMs sem estarem criptografados. No entanto, o cliente que forneceu o material de chave é responsável pelo uso seguro, a durabilidade e a manutenção do material de chave fora do AWS KMS.

Criptografia de dados

Os dados no AWS KMS consistem em AWS KMS keys e no material de chave de criptografia que eles representam. Esse material de chave existe em texto simples somente dentro de módulos de segurança de hardware (HSMs) do AWS KMS e somente quando em uso. Caso contrário, o material de chave é criptografado e armazenado em armazenamento persistente durável.

O material de chave gerado pelo AWS KMS para chaves do KMS nunca deixam os limites dos HSMs do AWS KMS em estado não criptografado. Ele não é exportado nem transmitido em nenhuma operação de API do AWS KMS. A exceção é para chaves de várias regiões, em que o AWS KMS usa um mecanismo de replicação entre regiões para copiar o material de chaves para uma chave de várias regiões de um HSM em uma Região da AWS para um HSM em uma Região da AWS. Para obter mais detalhes, consulte Processo de replicação para chaves em multirregiões em Detalhes criptográficos AWS Key Management Service.

Tópicos

• Criptografia inativa
• Criptografia em trânsito

Criptografia inativa

O AWS KMS gera material de chave para AWS KMS keys em FIPS 140-2 Nível de segurança 3 - compatíveis com módulos de segurança de hardware (HSMs). A única exceção são as regiões da China, nas quais os HSMs usados pelo AWS KMS para gerar chaves do KMS estão em conformidade com todos os regulamentos chineses pertinentes, mas não são validados pelo Programa de validação de módulos criptográficos FIPS 140-2. Quando não estiver em uso, o material de chave é criptografado por uma chave do HSM e gravado em um armazenamento durável e persistente. O material de chave para chaves do KMS e as chaves de criptografia que protegem o material de chave nunca deixam os HSMs em formato de texto simples.

A criptografia e o gerenciamento de material de chave para chaves do KMS são tratados inteiramente pelo AWS KMS.

Para obter mais detalhes, consulte .Trabalhar comAWS KMS keys, em Detalhes criptográficos do AWS Key Management Service.

Criptografia em trânsito

O material de chave gerado pelo AWS KMS para chaves do KMS nunca é exportado nem transmitido em operações de API do AWS KMS. O AWS KMS usa identificadores de chave para representar as chaves do KMS em operações de API. Da mesma forma, o material de chave para chaves do KMS em armazenamentos de chaves personalizados do AWS KMS não é exportável e nunca é transmitido em operações de API do AWS KMS ou do AWS CloudHSM.

No entanto, algumas operações de API do AWS KMS retornam chaves de dados. Além disso, os clientes podem usar operações de API para importar material de chave para chaves do KMS selecionadas.

Todas as chamadas de API do AWS KMS devem ser assinadas e transmitidas usando Transport Layer Security (TLS). O AWS KMS requer o TLS 1.2 e recomenda o TLS 1.3 em todas as regiões. O AWS KMS também oferece suporte a TLS híbrido pós-quântico para terminais do serviço AWS KMS em todas as regiões, exceto nas regiões da China. O AWS KMS não é compatível com o TLS pós-quântico híbrido para endpoints FIPS em AWS GovCloud (US). Chamadas para o AWS KMS também exigem um pacote de codificação moderno que seja compatível com sigilo de encaminhamento perfeito, o que significa que o comprometimento de qualquer segredo, como uma chave privada, não compromete também a chave de sessão.

Se você precisar de módulos criptográficos validados pelo FIPS 140-2 ao acessar a AWS por meio de uma interface de linha de comando ou uma API, use um endpoint do FIPS. Para usar os endpoints padrão do AWS KMS ou endpoins do FIPS do AWS KMS, os clientes devem ser compatíveis com TLS 1.2 ou posterior. Para ter mais informações sobre endpoints do FIPS, consulte Federal Information Processing Standard (FIPS) 140-2. Para obter uma lista de endpoints FIPS do AWS KMS, consulte Endpoints e cotas do AWS Key Management Service no Referência geral da AWS.

As comunicações entre hosts de serviço do AWS KMS e HSMs são protegidas usando ECC (Elliptic Curve Cryptography) e Advanced Encryption Standard (AES) em um esquema de criptografia autenticado. Para obter mais detalhes, consulte Segurança da comunicação interna, em Detalhes criptográficos do AWS Key Management Service.

Privacidade do tráfego entre redes

O AWS KMS é compatível com um AWS Management Console e um conjunto de operações de API que permitem criar e gerenciar AWS KMS keys e usá-las em operações de criptografia.

O AWS KMS é compatível com duas opções de conectividade de rede da sua rede privada para a AWS.

• Uma conexão VPN IPSec pela Internet

• AWS Direct Connect, que vincula sua rede interna a um local do AWS Direct Connect usando um cabo de fibra óptica Ethernet padrão.

Todas as chamadas de API do AWS KMS devem ser assinadas e transmitidas usando Transport Layer Security (TLS). As chamadas também exigem um conjunto de codificação moderno que seja compatível com o sigilo de encaminhamento perfeito. O tráfego para os módulos de segurança de hardware (HSMs) que armazenam material de chave para chaves do KMS é permitido somente de hosts de API do AWS KMS pela rede interna da AWS.

Para se conectar diretamente ao AWS KMS partir de sua Virtual Private Cloud (VPC) sem enviar tráfego pela Internet pública, use endpoint da VPCs, alimentados por AWS PrivateLink. Para obter mais informações, consulte Conectar-se ao AWS KMS por meio de um endpoint da VPC.

O AWS KMS também é compatível com uma opção de troca de chaves pós-quântica híbrida para o protocolo de criptografia de rede Transport Layer Security (TLS). É possível usar essa opção com o TLS ao conectar-se aos endpoints de API do AWS KMS.