Comprendere la sincronizzazione AWS CloudHSM delle chiavi - AWS CloudHSM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Comprendere la sincronizzazione AWS CloudHSM delle chiavi

AWS CloudHSM utilizza la sincronizzazione delle chiavi per clonare le chiavi dei token su tutti i moduli di sicurezza hardware (HSM) di un cluster. Le chiavi token vengono create come chiavi persistenti durante le operazioni di generazione, importazione o annullamento del wrapping delle chiavi. Per distribuire queste chiavi nel cluster, Cloud HSM offre la sincronizzazione delle chiavi sia lato client che lato server.

Key synchronization diagram showing client-side and server-side sync for CloudHSM cluster.

L'obiettivo della sincronizzazione delle chiavi, sia lato server che lato client, è quello di distribuire nuove chiavi nel cluster il più rapidamente possibile dopo averle create. Questo è importante perché le chiamate successive effettuate per utilizzare nuove chiavi possono essere indirizzate a qualsiasi altra chiave disponibile nel cluster. HSM Se la chiamata effettuata indirizza a un indirizzo HSM senza la chiave, la chiamata ha esito negativo. È possibile attenuare errori di questo tipo specificando che le applicazioni eseguiranno un nuovo tentativo per le chiamate successive effettuate dopo le operazioni di creazione delle chiavi. Il tempo necessario per la sincronizzazione può variare a seconda del carico di lavoro del cluster e di altri elementi indefiniti. Utilizzate le CloudWatch metriche per determinare la tempistica che l'applicazione deve impiegare in questo tipo di situazione. Per ulteriori informazioni, Parametri CloudWatch .

La difficoltà della sincronizzazione delle chiavi in un ambiente cloud è la durabilità delle chiavi. Crei chiavi su una singola chiave HSM e spesso inizi a usarle immediatamente. Se la chiave HSM su cui create le chiavi dovesse fallire prima che le chiavi siano state clonate su un'altra HSM chiave del cluster, perderete le chiavi e l'accesso a tutto ciò che è criptato dalle chiavi. Per attenuare questo rischio, è disponibile la sincronizzazione lato client. La sincronizzazione lato client è un processo lato client che clona le chiavi create durante le operazioni di generazione, importazione o annullamento del wrapping delle chiavi. Clonare le chiavi man mano che vengono create ne migliora la durabilità. Naturalmente, non è possibile clonare le chiavi in un cluster con una sola. HSM Per rendere le chiavi più durevoli, consigliamo inoltre di configurare il cluster in modo da utilizzarne almeno dueHSMs. Con la sincronizzazione lato client e un cluster con dueHSMs, puoi affrontare la sfida della durabilità delle chiavi in un ambiente cloud.