こんにちは、yassanです。
今回は、【AWS SAP対策】AWS KMSとCloudHSMの違いを紹介します。
KMSもCloudHSMも、暗号化で使われるサービスということは知っている方も多いと思います。
それゆえに、解答の選択肢をこの2つまで絞ることができても、結局正解を選ぶことができない...ということも多いのではないでしょうか。
そこで今回は、AWS SAPで頻出のKMSとCloudHSMについて取り上げたいと思います。
ちなみに、KMSとCloudHSMの違いは、公式ドキュメントのよくある質問にも記載されています。
AWS KMSとは?
KMS(Key Management Service)は、データの暗号化に使用される暗号化キーの生成・管理を行うマネージドサービスです。
EBSやRDSなどで、暗号化オプションを選択したことがある型は、見たことがあるかと思います。
KMSで管理されるキーには、サービスごとのデフォルトのキーと、CMK(Customer Master Key)の2種類があります。
サービスごとのデフォルトキーは、EBSなどの様々なサービスに対して1つずつ発行されるキーです。
AWS側で自動で作成・管理してくれるので、暗号化の要件を非常に簡単に満たすことができます。
CMKは、利用者側で作成した暗号化キーを、KMSにインポートしたものです。
暗号化方式を変えたいときなど、個別で対応が必要な場合に利用されます。
サービスごとのデフォルトのキーは、リージョンをまたぐことができません。
リージョンをまたぐ利用が想定される場合は、マルチリージョンキーを発行する必要があります。
CMK作成時に、マルチシージョンキーを選択することで、複数のリージョンにキーをレプリケーションできます。
KMSは、キー1つごとに毎月USDの課金が発生します。
自動ローテーション機能を有効にした場合は、さらに1USDの課金が発生します。
CloudHSMとは
CloudHSMも、暗号化キーを作成・管理するための専用ハードウェアです。
CloudHSMを利用することで、AWSのデータセンター内に、専用のハードウェアがプロビジョニングされることとなります。
CloudHSMを利用することで、専用HSMインスタンスで管理することになるので、データセキュリティのコンプライアンス要件を満たすことができます。
また、KMSでは物理サーバーを共有しますが、CloudHSMでは専用するため安全性が高まります。
CloudHSMはVPCを利用する必要があります。
CloudHSMで管理するキーとは別VPCとなっても問題はありません。
CloudHSMの料金は、起動してから終了するまで1時間ごとに(東京リージョンの場合)約1.8USDの課金が発生します。
CloudHSMはKMSよりも高額です。
最後に、CloudHSMのユースケースとしては下記の通りです。
ウェブサーバーのSSL処理のオフロード
Secure Sockets Layer (SSL) と Transport Layer Security (TLS) は、ウェブサーバーのアイデンティティを確認し、インターネットを通じてセキュアな HTTPS 接続を確立するために使用されます。AWS CloudHSM を使用することでウェブサーバーの SSL/TLS 処理をオフロードすることができます。ウェブサーバーの SSL/TLS 処理に CloudHSM を使用すれば、CloudHSM 内にあるウェブサーバーのプライベートキーを保存することで、ウェブサーバーの負担を軽減し、セキュリティを強化できます。
https://aws.amazon.com/jp/cloudhsm/ より引用
発行認証局 (CA) 向けのプライベートキーの保護
公開鍵基盤 (PKI) では、認証局 (CA) がデジタル認証を発行する信頼されたエンティティです。このようなデジタル認証は、個人または組織を識別するために使用されます。AWS CloudHSM を使用すると、プライベートキーを保存し、自社の認証を発行する発行 CA として安全に機能することができるよう、認証リクエストに署名することができます。
https://aws.amazon.com/jp/cloudhsm/ より引用
Oracle データベースでの Transparent Data Encryption (TDE) の有効化
AWS CloudHSM を使用すると、Transparent Data Encryption (TDE) をサポートする Oracle データベースサーバーのために、TDE マスター暗号化キーを保存できます。SQL Server のサポートが近日開始TDE を使えば、サポート対象のデータベースサーバーで、データをディスクに保存する前に暗号化できます。Oracle 向け Amazon RDS は CloudHSM の TDE をサポートしていません。その場合は、AWS Key Management Service をご利用ください。
https://aws.amazon.com/jp/cloudhsm/ より引用
AWS学習におすすめの書籍
AWSについて、しっかりと基礎から学びたい、実践的なスキルを身につけたいと考えている方向けに、おすすめの書籍を紹介します。
これらの書籍は、実際にAWSエンジニアとして働く僕が参考にしている書籍です。
AWSエンジニア入門講座――学習ロードマップで体系的に学ぶ
AWSを使いこなすための前提となるITインフラの知識が足りない初学者にとって、どこからどのように学べばよいのかがわかりづらくなっています。そこで本書では、AWS学習サイト運営YouTuberである監修者自身が実サービスの導入で習得しながら体系化した「学習ロードマップ」に沿って、AWSのサービスとIT技術をやさしく解説していきます。
著者が作成した学習ロードマップに沿って、AWSやインフラストラクチャを体系的に学ぶことができます。
付属のロードマップの完成度が高く、学習に迷ったときや復習にも使えます。
これからAWSエンジニアを目指す方や、インフラストラクチャを基礎から学びたい方におすすめです。
Amazon Web Services 業務システム設計・移行ガイド
オンプレミス上に構築された業務システムをAWS上に移行するための「サービスの選定」「ネットワーク設計・構築」「サーバとデータの移し方」「運用・監視体制の構築」など。これまで多くの企業にAWSを導入し、コンサルティングフェーズから実際の設計・開発、運用フェーズまでの全行程に携わってきた著者陣のノウハウを凝縮して、一般的な企業にAWSを導入する際のベストプラクティスをお届けします。
実務を想定した様々なユースケースとそれに対するベストプラクティスを、設計構築から運用まで幅広くカバーして紹介しています。
タイトルからは移行に焦点を当てたように見えますが、僕としては移行に限らずエンタープライズとしてAWSを利用する上で知っておくべきことが記されていると思います。
より実践的な知識やノウハウを身に着けたい方、初学者から一皮むけたい方におすすめです。
