La normativa exige que las claves de cifrado se gestionen en un módulo de seguridad de hardware (HSM) físico dedicado propiedad de la empresa. ¿Qué servicio de AWS cumple este requisito?
Pregunta para identificar el servicio que gestiona claves en un HSM físico dedicado.
AWS KMS
AWS KMS es un servicio que crea y gestiona claves de cifrado de forma administrada y satisface muchos requisitos de cifrado.
Sin embargo, el KMS estándar utiliza una infraestructura HSM compartida administrada por AWS, por lo que no cumple el requisito normativo de este problema de un HSM físico dedicado (CloudHSM) y es incorrecto.
AWS Secrets Manager
AWS Secrets Manager es un servicio que almacena y rota secretos como credenciales de bases de datos y claves API.
Maneja información confidencial como contraseñas, no la gestión de claves de cifrado en un HSM físico dedicado, por lo que es incorrecto.
AWS Certificate Manager
AWS Certificate Manager (ACM) es un servicio que emite y renueva certificados TLS/SSL.
Su propósito es gestionar certificados para el cifrado de comunicaciones, no la gestión de claves de cifrado de uso general en un HSM dedicado, por lo que es incorrecto.
AWS CloudHSM
Correcto. AWS CloudHSM es un servicio que proporciona módulos de seguridad de hardware (HSM) dedicados al cliente en la nube. Permite gestionar las claves de cifrado en hardware dedicado, satisfaciendo requisitos de cumplimiento estrictos (como la gestión de claves en un HSM propiedad de la empresa). Ofrece mayor exclusividad y control que KMS.
«HSM físico dedicado» y «cumplimiento estricto» apuntan a AWS CloudHSM. La gestión estándar de claves administradas utiliza KMS; cuando se requiere hardware dedicado, use CloudHSM. Elija según el nivel de exigencia.