Amazon Web Services (AWS) ist ein führender Anbieter von öffentlichen Cloud-Diensten, der Privatpersonen und Unternehmen auf der ganzen Welt verschiedene Lösungen anbietet. Da die Datenverarbeitung und -speicherung in der öffentlichen Cloud zunimmt, werden Bedenken hinsichtlich des Datenschutzes immer wichtiger. Als Reaktion darauf bietet AWS den AWS Key Management Service (KMS) zur Datenverschlüsselung an. Wenn jedoch Compliance-Vorgaben vorschreiben, dass Verschlüsselungsschlüssel für regulierte Arbeitslasten ausserhalb von AWS liegen und ausschliesslich unter Ihrer Kontrolle bleiben müssen, bieten externe Schlüsselspeicher (External Key Stores, XKS) eine robuste Lösung. Dieser Blog-Beitrag führt in das Konzept von XKS ein und hebt die Vorteile der Verwendung von Securosys AWS XKS Proxy hervor.
AWS KMS bietet Verschlüsselungsfunktionen, ein wesentlicher Nachteil dabei ist jedoch die fehlende Kontrolle über die Richtlinien für Schlüsselressourcen. Da die Schlüssel von AWS verwaltet und kontrolliert werden, kann es für die Benutzer schwierig sein, den Zugriff zu beschränken, was zu Problemen mit der Souveränität und der Einhaltung von Vorschriften führen kann. Externe Schlüsselspeicher erweitern die KMS-Schlüsselhierarchie um eine externe Vertrauensbasis und bieten vollständige Kontrolle über kryptografische Schlüssel und Daten.
External Key Stores ermöglichen den Schutz von AWS-Ressourcen mit kryptografischen Schlüsseln ausserhalb der AWS-Infrastruktur. XKS arbeitet als benutzerdefinierter Schlüsselspeicher, der von einem externen Schlüsselmanager unterstützt wird, z. B. einem physischen oder virtuellen Hardware-Sicherheitsmodul (HSM). AWS KMS interagiert nur mit einer externen Schlüsselspeicher-Proxy-Software (XKS-Proxy), die von den Benutzern bereitgestellt wird, und gewährleistet keinen direkten Zugriff auf die Schlüssel. Die Schlüssel werden auf AWS KMS verwaltet, aber auf einem HSM erstellt, verwendet und gespeichert.
Digitale Souveränität: Durch das Hosten Ihrer eigenen Schlüssel erhalten Sie die vollständige Kontrolle über die Daten in AWS und müssen sich nicht mehr ausschliesslich auf AWS KMS verlassen.
Einhaltung von Vorschriften: Die Securosys XKS-Lösung, die auf dem Securosys Primus HSM aufbaut, erfüllt Zertifizierungen wie FIPS 140-2/3 L3 und CC EAL 4+ und entspricht damit den höchsten Branchenstandards.
Erhöhte Sicherheit: Ihre kryptografischen Schlüssel befinden sich ausserhalb der AWS KMS-Cloud, wodurch sichergestellt wird, dass nur Sie geschützte Inhalte entschlüsseln können und somit das Risiko eines unbefugten Zugriffs verringert wird.
Skalierbarkeit: Securosys Primus HSM Clustering bietet Unterstützung für Multi-Regionen-Setups. Der Proxy kann sowohl vor Ort als auch in der Cloud eingesetzt werden und lässt sich nahtlos sowohl mit lokalen als auch mit CloudHSM-Umgebungen verbinden.
Schnelle Bereitstellung: Securosys AWS XKS Proxy kann schnell und problemlos über ein Docker-Image bereitgestellt werden, wodurch die Komplexität der Einrichtung minimiert wird.
Kosteneffizienz: Es entstehen keine zusätzlichen Kosten oder Overhead für zusätzliche KMS-Dienste, da Sie direkt mit dem HSM verbunden sind.
Der Securosys XKS Proxy fungiert als sicherer Vermittler zwischen AWS KMS und Ihrem Securosys Primus HSM oder CloudHSM und verhindert so eine direkte Verbindung von AWS KMS zu Ihrem HSM.
Unser benutzerdefinierter XKS-Proxy, der als Docker-Image verpackt ist, wird von unseren internen Spezialisten gewartet und steht bei Bedarf für den Kundeneinsatz zur Verfügung. Die Bereitstellung ist einfach und anpassungsfähig, ob innerhalb einer AWS EC2-Instanz oder in Ihrer eigenen Umgebung.
Für eine Schritt-für-Schritt-Anleitung zur Bereitstellung von Securosys AWS XKS Proxy laden Sie bitte unsere Application Note herunter.
Wann immer Unternehmen ihre Daten AWS anvertrauen, ist es von grösster Wichtigkeit, die Datenhoheit zu gewährleisten. Der Einsatz von externen Schlüsselspeichern wie Securosys AWS XKS Proxy in Verbindung mit Securosys On-Premises HSM oder CloudHSM bietet eine schnelle und benutzerfreundliche Strategie zur Wahrung der Datenhoheit. Durch die Übernahme der Kontrolle über kryptografische Schlüssel bewahren Unternehmen die digitale Souveränität und stellen die Einhaltung von branchenspezifischer Vorschriften sicher.