専用のハードウェアセキュリティモジュール (HSM) は、ユーザーが独占的に使用する物理的なHSMを提供し、多くの暗号化サービスを提供します。 仮想HSMとは対照的に、他のユーザーとリソースを共有することなく、専用HSMグループ内のすべてのHSMに対する完全な管理権限を持つことができます。 このトピックでは、専用HSMとその使用方法について説明します。
専用HSMとは何ですか?
専用HSMは、PCI DSSおよびFIPS 140-2レベル3標準に準拠しており、中国の暗号認証およびPCI PIN標準の要件を満たしています。 RSA、3DES、SHAシリーズのアルゴリズムをサポートしているため、キーを安全かつ確実に管理できます。 さまざまな暗号化アルゴリズムを使用して、クラウドビジネスデータの信頼できる暗号化および復号化操作を提供します。 高性能または高可用性を必要とするアプリケーションでは、複数の専用HSMをデプロイしてHSMグループを形成し、暗号化サービスを複数のアプリケーションサーバーに配信できます。
専用HSMはなぜですか?
コンプライアンス
専用のHSMは、PCI DSSおよびFIPS 140-2レベル3標準に準拠しており、商用暗号アプリケーションのセキュリティ評価を含むコンプライアンスのニーズを満たすことができる、国内の暗号認証およびPCI PIN標準の要件を満たしています。
セキュリティ
専用HSMインスタンスは物理的に分離されており、データ処理のためのより高いレベルのセキュリティを提供します。
高い信頼性と高い可用性
多数の同時リクエストを効率的に処理して、ビジネスの継続性と運用効率を確保します。
高パフォーマンスまたは高可用性のビジネスシナリオでは、複数の専用HSMをデプロイしてHSMグループを作成し、暗号化サービスを多数のアプリケーションサーバーに配信できます。
複数のゾーンをデプロイして、ゾーン間インスタンスを通じてディザスタリカバリ機能を提供します。
標準化
専用HSMは、アプリケーションとのシームレスな統合のための共通開発インターフェイスをサポートします。
使いやすさとメンテナンス
専用のHSMは、完全な管理のための自動操作およびメンテナンス機能を提供し、HSMの管理を複雑にせずに暗号化タスクに集中できるようにします。
どのように使用されていますか
セキュリティと可用性を強化するために、同じリージョン内の少なくとも2つの異なるゾーンに2つ以上の専用HSMをデプロイし、それらを1つのHSMグループに構成できます。
エンドポイントドメイン名またはENI IPを使用して、SDKを介してHSMにアクセスできます。 アプリケーションがこれらのHSMと対話するとき、接続に最適なHSMは負荷分散によって選択されます。 さらに、PrivateLinkサービスを使用することによって、データ伝送は、さらなるセキュリティのためにプライベートネットワーク内で行われることが保証される。 このアーキテクチャ設計はまた、各HSM間のネットワークパスが独立していることを保証し、システムの冗長性および障害回復能力を改善する。
次のアーキテクチャ図は、2つのHSMを持つ構成を示しています。
上記のNetwork Load Balancer (NLB) とPrivateLinkのコストは、HSMサービスに含まれています。 これらのサービスに追加料金を支払う必要はありません。
購入手順
専用HSMの配信サイクルは、HSMモデルと配信地域によって異なります。 ご質問やカスタム要件がある場合は、Contact usください。