Peraturan mengharuskan kunci enkripsi dikelola pada modul keamanan perangkat keras (HSM) fisik khusus milik perusahaan. Layanan AWS mana yang memenuhi persyaratan ini?
Soal mengidentifikasi layanan pengelolaan kunci pada HSM fisik khusus.
AWS KMS
AWS KMS adalah layanan yang membuat dan mengelola kunci enkripsi secara terkelola dan memenuhi berbagai kebutuhan enkripsi.
Namun, KMS standar menggunakan infrastruktur HSM bersama yang dikelola AWS, sehingga tidak memenuhi persyaratan peraturan dalam soal ini tentang HSM fisik khusus (CloudHSM) dan merupakan pilihan yang salah.
AWS Secrets Manager
AWS Secrets Manager adalah layanan untuk menyimpan dan merotasi rahasia seperti kredensial basis data dan kunci API.
Layanan ini menangani informasi rahasia seperti kata sandi, bukan mengelola kunci enkripsi pada HSM fisik khusus, sehingga pilihan ini salah.
AWS Certificate Manager
AWS Certificate Manager (ACM) adalah layanan untuk menerbitkan dan memperbarui sertifikat TLS/SSL.
Tujuannya adalah mengelola sertifikat untuk enkripsi komunikasi, bukan mengelola kunci enkripsi umum pada HSM khusus, sehingga pilihan ini salah.
AWS CloudHSM
Benar. AWS CloudHSM adalah layanan yang menyediakan modul keamanan perangkat keras (HSM) khusus bagi pelanggan di cloud. Layanan ini memungkinkan pengelolaan kunci enkripsi pada perangkat keras khusus, memenuhi persyaratan kepatuhan yang ketat (seperti pengelolaan kunci pada HSM milik perusahaan). Layanan ini memberikan eksklusivitas dan kontrol yang lebih tinggi dibandingkan KMS.
«HSM fisik khusus» dan «kepatuhan ketat» mengarah pada AWS CloudHSM. Pengelolaan kunci terkelola standar menggunakan KMS; ketika perangkat keras khusus diperlukan, gunakan CloudHSM. Pilih sesuai tingkat persyaratan.