AWS CloudHSM ユースケース

企業のセキュリティ標準に準拠する必要がある企業は、 AWS CloudHSM を使用して、機密性の高いデータを保護するプライベートキーを管理できます。が提供する HSMs AWS CloudHSM は FIPS 140-2 レベル 3 認定を受けており、PCI DSS に準拠しています。さらに、 AWS CloudHSM は PCI PIN に準拠し、PCI-3DS に準拠しています。詳細については、「コンプライアンス」を参照してください。

を使用して AWS CloudHSM 、機密性の高いデータ、転送中の暗号化、保管中の暗号化を保護するプライベートキーを管理します。さらに、 は、複数の暗号化 SDKs との標準準拠の統合 AWS CloudHSM を提供します。

暗号化では、プライベートキーを使用して文書に署名すると、受信者はパブリックキーを使用して、他の誰でもないお客様が実際に文書を送信したことを検証できます。を使用して AWS CloudHSM 、この目的のために特別に設計された非対称パブリックキーとプライベートキーのペアを作成します。

暗号化では、Cipher Message Authentication Codes (CMACs) と Hash-based Message Authentication Code (HMAC) を使用して、安全でないネットワークを介して送信されるメッセージを認証し、整合性を確保します。を使用すると AWS CloudHSM、HMACs と CMACs。

お客様は、 AWS CloudHSM と を組み合わせて、キーマテリアルをシングルテナント環境にAWS KMS格納しながら、キー管理、スケーリング、クラウド統合の利点を得ることができます AWS KMS。その方法について詳しくは、「AWS Key Management Service 開発者ガイド」の「AWS CloudHSM キーストア」を参照してください。

インターネット経由でデータを安全に送信するために、ウェブサーバーでは、パブリック/プライベートのキーペアと SSL/TLS パブリックキー証明書を使用して、HTTPS セッションを確立します。このプロセスにはウェブサーバーの多くの計算が含まれますが、一部の計算負荷を軽減しながら、クラスターにオフロードすることでセキュリティを強化できます AWS CloudHSM 。で SSL/TLS オフロードを設定する方法については AWS CloudHSM、「」を参照してくださいSSL/TLS のオフロード。

透過的なデータ暗号化 (TDE) を使用して、データベースファイルを暗号化します。TDE を使用すると、データベースソフトウェアはデータをディスクに保存する前に暗号化します。TDE マスター暗号化キーを AWS CloudHSMの HSM に保存すると、セキュリティを強化するのに役立ちます。で Oracle TDE を設定する方法については AWS CloudHSM、「」を参照してくださいOracle Database 暗号化。

認証機関 (CA) は、パブリックキーを ID (個人または組織) にバインドするデジタル証明書を発行する信頼されたエンティティです。CA を操作するには、CA によって発行された証明書に署名するプライベートキーを保護して、信頼関係を維持する必要があります。このようなプライベートキーを AWS CloudHSM クラスターに保存し、HSMs を使用して暗号化署名オペレーションを実行できます。

暗号化キーを作成するための乱数の生成は、オンラインセキュリティの中核です。 は、ユーザーが管理する HSMs で乱数を安全に生成するために使用 AWS CloudHSM でき、ユーザーのみに表示されます。