44. 44
AWS CloudHSM
• 以下のリージョンで利用可能
– US East (N. Virginia), US West (Oregon), AWS GovCloud (US),
EU (Ireland), EU (Frankfurt), Asia Pacific (Sydney), Asia Pacific
(Singapore) ,Asia Pacific (Tokyo)
• コンプライアンス
– AWSのPCI DSSおよびSOC-1 コンプライアンスパッケージに含まれる
– FIPS 140-2 level 2 (Gemalto/SafeNetによって維持されている)
• 典型的なユースケース
– Amazon RedshiftやRDS for Oracleで利用
– サードパーティソフトウェアから利用 (Oracle, Microsot SQL Server,
Apache, SafeNet)
– カスタムアプリケーションの構築
45. 45
SafeNet ProtectV manager
and Virtual KeySecure
in EC2
CloudHSM と SafeNet Softwareを利用したEBS ボ
リュームの暗号化
• SafeNet ProtectV with Virtual KeySecure
• CloudHSM はマスターキーを保管
SafeNet
ProtectV
client
CloudHSM
Your encrypted data
in EBS
Your applications
in EC2
ProtectV client
• EC2インスタンスから
EBSボリュームへのIO
を暗号化
• prebootの認証も含む
49. 49
Your encryption
client application
Your key management
infrastructure
Your
applications
in your data
center
Your application
in EC2
Your key
management
infrastructure in EC2
Your encrypted data in AWS services
…
AWSでのDIY鍵管理
クライアントサイドでデータを暗号化し、暗号文をAWSのストレージサービスに保管
56. 56
参考資料
• AWS Key Management Service
– http://aws.amazon.com/jp/kms/
• AWS Cloud HSM
– http://aws.amazon.com/jp/cloudhsm/
• Protecting Your Data in AWS
– http://www.slideshare.net/AmazonWebServices/protecting-your-data-
in-aws-61113337
• Securing Data at Rest with Encryption
– http://aws.amazon.com/jp/ec2/developer-resources/