AMAZON Key Management Service (KMS)
0.00

Проблемы которые решает

Отсутствие политики информационной безопасности

Несоответствие требованиям ИТ безопасности

Ценности

Сокращение затрат

Безопасность и непрерывность бизнеса

AMAZON Key Management Service (KMS)

AWS Key Management Service (KMS) позволяет без труда создавать ключи для шифрования данных в приложениях и различных сервисах AWS, а также управлять этими ключами.

Описание

AWS Key Management Service (KMS) позволяет без труда создавать ключи для шифрования данных в приложениях и различных сервисах AWS, а также управлять этими ключами. AWS KMS – это безопасный и надежный сервис, использующий для защиты ключей аппаратные модули безопасности, проверенные на соответствие FIPS 140‑2. AWS KMS интегрируется с AWS CloudTrail и предоставляет журналы использования ключей для обеспечения соответствия нормативным требованиям. ВОЗМОЖНОСТИ Сервис AWS Key Management Service (KMS) обеспечивает централизованный контроль над ключами шифрования, используемыми для защиты данных. AWS KMS интегрирован с сервисами AWS, что упрощает шифрование данных, хранимых в этих сервисах, и управление доступом к используемым ключам шифрования. Благодаря интеграции AWS KMS с AWS CloudTrail можно проверять, кто использовал ключи, какие именно, когда и для каких ресурсов. AWS KMS также позволяет разработчикам без лишних усилий добавлять функционал шифрования в код приложений напрямую через API сервиса для шифрования и дешифрования либо путем интеграции с пакетом AWS Encryption SDK. Централизованное управление ключами AWS Key Management Service обеспечивает централизованное управление ключами шифрования. Главные ключи клиента (CMK) используются для управления доступом к ключам шифрования, которые используются при шифровании и дешифровании данных. Сервис позволяет в любой момент создавать новые главные ключи и управлять настройками доступа к ним, а также списком сервисов, с которыми они могут быть использованы. Кроме того, можно импортировать в AWS KMS ключи из собственной инфраструктуры управления ключами либо использовать ключи, хранящиеся в кластере AWS CloudHSM, и управлять ими из AWS KMS. Управлять главными ключами и выполнять аудит их использования можно с помощью Консоли управления AWS, AWS SDK или интерфейса командной строки AWS. Ключи в AWS KMS (как созданные в KMS или в соответствующем кластере CloudHSM, так и импортированные клиентом) хранятся в высоконадежном хранилище в зашифрованном виде, что позволяет использовать их по мере необходимости. При желании можно настроить AWS KMS для выполнения автоматической ротации главных ключей, созданных в KMS, один раз в год без необходимости повторного шифрования данных, которые были зашифрованы с использованием главного ключа ранее. Отслеживать устаревшие версии главных ключей не потребуется, так как KMS сохраняет их для расшифровки ранее зашифрованных данных. Интеграция с сервисами AWS Сервис AWS KMS эффективно интегрирован с большинством других сервисов AWS. Такая интеграция позволяет использовать главные ключи шифрования KMS для управления шифрованием данных, хранимых в этих сервисах. Если требуется зашифровать данные в каком‑либо сервисе, можно использовать главный ключ под управлением AWS, который создается этим сервисом в KMS автоматически. AWS KMS позволяет отслеживать использование ключа, при этом управление ключом от имени клиента сервис полностью берет на себя. Если требуется управлять жизненным циклом главного ключа напрямую или разрешить другим аккаунтам использовать этот ключ, можно создать собственные главные ключи, которые будут использоваться сервисами AWS от имени владельца аккаунта, и самостоятельно управлять этими ключами. Такие главные ключи, управляемые клиентом, позволяют полностью контролировать права доступа и тем самым определять, кто и при каких условиях может использовать данный ключ. Возможности аудита Если в аккаунте AWS включен сервис AWS CloudTrail, каждый запрос в AWS KMS записывается в файл журнала, который сохраняется в корзине Amazon S3, указанной при включении AWS CloudTrail. Записанная информация содержит сведения о пользователе, времени, дате, действии API и использованном ключе (когда требуется). Масштабирование, надежность и высокая доступность AWS KMS является полностью управляемым сервисом. По мере расширения использования ключей шифрования сервис KMS автоматически выполняет масштабирование в соответствии с текущими требованиями. AWS KMS позволяет управлять тысячами главных ключей в аккаунте и использовать их в любое время. AWS KMS предусматривает лимиты по умолчанию на количество ключей и запросов, но при необходимости эти ограничения можно повысить. Главные ключи, которые созданы в AWS KMS клиентом или другими сервисами AWS от его имени, не могут быть экспортированы из сервиса. KMS несет полную ответственность за их надежное хранение. Чтобы обеспечить доступность ключей и соответствующих данных в любой момент обращения к ним, KMS хранит множество копий зашифрованных версий ключей в системах с уровнем надежности 99,999999999 %. При импорте ключей в KMS требуется надежно хранить копию главных ключей, чтобы в случае недоступности их можно было в любое время импортировать повторно. Если вы используете возможности собственного хранилища ключей в KMS и создаете главные ключи в кластере AWS CloudHSM, для зашифрованных копий ключей будут автоматически создаваться резервные копии, а процесс их восстановления можно будет полностью контролировать. AWS KMS представляет собой высокодоступный сервис с региональным адресом API. Поскольку большинство сервисов AWS зависит от шифрования и расшифровки AWS KMS, он спроектирован таким образом, чтобы обеспечить уровень доступности, необходимый для поддержки остальных сервисов AWS, а также подкреплен Соглашением об уровне обслуживания AWS KMS. Безопасность AWS KMS устроен таким образом, что никто, включая сотрудников AWS, не может извлечь из сервиса незашифрованные ключи. Сервис использует проверенные на соответствие FIPS 140‑2 аппаратные модули безопасности (HSM) для защиты конфиденциальности и целостности всех ключей – как созданных KMS от имени пользователя и созданных в кластере AWS CloudHSM, так и импортированных в сервис. Незашифрованные ключи никогда не записываются на диск и используются только в энергозависимой памяти HSM в течение времени, необходимого для выполнения запрошенной криптографической операции. Ключи, созданные KMS, могут использоваться только в том регионе AWS, где они были созданы, и никогда не передаются за его пределы. Обновление встроенного ПО модулей HSM в KMS управляется системой многостороннего контроля доступа, за аудит и проверку на соответствие требованиям стандарта FIPS 140‑2 которой отвечает независимая группа в составе Amazon, а также лаборатория, прошедшая сертификацию NIST. Собственное хранилище ключей AWS KMS позволяет создать собственное хранилище ключей, используя управляемые клиентом модули HSM. Для каждого собственного хранилища ключей кластер AWS CloudHSM создает резервную копию. Когда вы создаете главный ключ клиента (CMK) KMS в собственном хранилище ключей, сервис KMS генерирует неизвлекаемые данные CMK и хранит их в кластере AWS CloudHSM, полностью находящемся под вашим управлением. Когда используется CMK, созданный в собственном хранилище ключей, криптографические операции, зависящие от этого ключа, выполняются в соответствующем кластере CloudHSM. Управление главными ключами, хранящимися в собственном хранилище ключей, а не в хранилище ключей KMS по умолчанию, выполняется так же, как и управление любыми другими главными ключами в KMS. Такие главные ключи можно использовать с любым сервисом AWS, который поддерживает управляемые клиентом CMK. Использование собственного хранилища ключей влечет за собой дополнительные расходы на кластер CloudHSM. Ответственность за доступность данных, связанных с ключами в этом кластере, несет сам клиент. ЦЕНЫ
Хранение ключей Каждый главный ключ клиента (CMK), созданный в AWS Key Management Service (KMS), независимо от того, сгенерированы его данные KMS или импортированы клиентом, оплачивается по тарифу 1 USD в месяц до момента удаления. Если вы задаете ежегодную автоматическую ротацию CMK, сгенерированных KMS, каждая новая версия, полученная в результате ротации, приведет к повышению стоимости ключей CMK на 1 USD в месяц. KMS сохраняет предыдущие версии ключей CMK и управляет ими для расшифровки старых данных. Плата не взимается за следующие типы ключей.
  • Созданные и сохраненные ключи CMK, управляемые AWS, которые создаются автоматически от имени пользователя при первой попытке зашифровать ресурс в поддерживаемых сервисах AWS.
  • Ключи CMK, ожидающие удаления. Если в течение периода ожидания удаление будет отменено, начисляется плата за хранение ключа CMK, как если бы его удаление не было запланировано.
  • Ключи данных, созданные с помощью запросов API GenerateDataKey и GenerateDataKeyWithoutPlaintext. Плата за эти запросы API взимается в соответствии с приведенными ниже тарифами за использование, независимо от того, как были созданы эти запросы API – непосредственно клиентом или интегрированным сервисом AWS от его имени. Ежемесячная плата за ключи данных не начисляется, так как они не хранятся в сервисе KMS и не управляются им.
Собственное хранилище ключей Сервис предоставляет возможность создавать и сохранять ключи AWS KMS с помощью кластера CloudHSM. При использовании специального хранилища ключей плата за хранение и использование ключей CMK взимается по стандартным тарифам KMS. Однако при использовании специального хранилища ключей необходимо оплачивать использование кластера CloudHSM, содержащего как минимум два инстанса HSM. Повысить доступность и производительность поможет добавление дополнительных инстансов HSM. Плата взимается по стандартным тарифам CloudHSM. Уровень бесплатного пользования AWS Key Management Service обеспечивает уровень бесплатного пользования 20 000 запросов в месяц во всех регионах, где доступен KMS. ПРЕИМУЩЕСТВА: Полное управление Вы управляете доступом к зашифрованным данным, назначая разрешения на использование ключей, а AWS KMS применяет эти разрешения и обеспечивает надежность и физическую безопасность ключей. Централизованное управление ключами AWS KMS предоставляет единый центр для управления ключами и последовательного определения политик для всех интегрированных сервисов AWS и приложений. Можно без труда создавать, импортировать и удалять ключи, выполнять их ротацию и управлять разрешениями на их использование через Консоль управления AWS, с помощью AWS SDK или интерфейса командной строки. Управление шифрованием для сервисов AWS AWS KMS интегрирован с сервисами AWS, чтобы упростить использование ключей для шифрования данных всех рабочих нагрузок на AWS. Вы выбираете необходимый уровень контроля доступа, в том числе возможность предоставления общего доступа к зашифрованным ресурсам для разных аккаунтов и сервисов. KMS регистрирует в AWS CloudTrail все случаи использования ключей, чтобы предоставить отдельное представление о том, кто обращался к вашим зашифрованным данным, включая сервисы AWS, использующие их от вашего имени. Шифрование данных в приложениях AWS KMS интегрирован с SDK AWS Encryption, что позволяет использовать ключи шифрования данных, находящиеся под защитой KMS, для локального шифрования данных в приложениях. С помощью простых API можно также встроить шифрование и управление ключами в собственные приложения, где бы они ни работали. Встроенные возможности аудита AWS KMS интегрирован с AWS CloudTrail для записи всех запросов API, включая действия по управлению ключами и использование ключей. Регистрация запросов API помогает управлять рисками, обеспечивать соответствие требованиям и проводить анализ в рамках следственных мероприятий. Низкая стоимость Использование AWS KMS не предполагает обязательств и авансовых платежей. Вы лишь платите 1 USD в месяц за хранение любого созданного вами ключа. Ключи, которые были созданы сервисами AWS от вашего имени и находятся под управлением AWS, хранятся бесплатно. Когда количество запросов на использование ключей или управление ими превышает уровень бесплатного пользования, плата начисляется за каждый запрос. Безопасность Для создания и защиты ключей сервис AWS KMS использует аппаратные модули безопасности (HSM), проверенные на соответствие FIPS 140‑2. Ключи используются только внутри этих устройств и никогда не передаются в незашифрованном виде. Доступ к ключам KMS никогда не предоставляется за пределами регионов AWS, в которых они были созданы. Соответствие требованиям Используемые в AWS KMS средства управления безопасностью и качеством прошли сертификацию по множеству схем соответствия требованиям, чтобы упростить вам выполнение ваших обязательств. AWS KMS позволяет хранить ключи в однопользовательских модулях HSM в управляемых вами инстансах AWS CloudHSM.

Внедрения с этим продуктом

Особенности пользователей

Роли заинтересованных сотрудников

Исполнительный директор

ИТ директор

Руководитель отдела информационной безопасности

Менеджер по информационной безопасности

Организационные особенности

Web-портал для клиентов

Отдел информационной безопасности

Соответствие GDPR