KMS & CloudHSM

Clase 58 de 75Curso de AWS Certified Solutions Architect Associate

Clase anteriorSiguiente clase

Gestión de Claves en AWS: KMS y CloudHSM

En Nexia Bank, la protección de datos sensibles requiere soluciones robustas de cifrado. AWS ofrece dos servicios principales para la gestión de claves criptográficas: KMS y CloudHSM.

AWS Key Management Service (KMS)

KMS es un servicio gestionado que permite crear y controlar claves maestras de cliente (CMKs) para cifrar datos en AWS.

Screenshot (50).png

Características Principales

  • Creación y Gestión de CMKs: Permite generar, almacenar y administrar claves de cifrado de forma segura.
  • Integración Nativa: Se integra con múltiples servicios AWS:
    • S3 (SSE-KMS)
    • EBS (cifrado de volúmenes)
    • RDS (cifrado de bases de datos)
    • DynamoDB (cifrado en reposo)

Rotación de Claves y Políticas

  • Rotación Automática: Posibilidad de rotar claves anualmente sin afectar los datos cifrados.

  • Key Policies: Controlan quién puede administrar y usar las claves mediante documentos JSON.

    {

    "Version": "2012-10-17",

    "Statement": [{

    "Effect": "Allow",

"Principal": {"AWS": "arn:aws:iam::123456789012:role/NexiiaDataAnalyst"},

"Action": "kms:Decrypt",

"Resource": "*"

    }]

    }

AWS CloudHSM

CloudHSM proporciona módulos de seguridad hardware (HSM) dedicados que cumplen con estándares de seguridad FIPS 140-2 Nivel 3.
Screenshot (51).png

Características Principales

  • Hardware Dedicado: HSMs físicos dedicados exclusivamente a tu cuenta.
  • Control Total: Acceso exclusivo a la gestión de claves y operaciones criptográficas.
  • Cumplimiento Normativo: Certificación FIPS 140-2 Nivel 3, ideal para entornos altamente regulados.

Comparativa KMS vs. CloudHSM

Aspecto

KMS

CloudHSM

Costo

Más económico, pago por uso

Mayor costo (hardware dedicado)

Control

AWS gestiona el hardware

Control total del cliente

Cumplimiento

FIPS 140-2 Nivel 2

FIPS 140-2 Nivel 3

Escalabilidad

Alta, gestionada por AWS

Requiere planificación de capacidad

Integración

Nativa con servicios AWS

Requiere más configuración

Casos de Uso en Nexiia Bank

  • KMS: Cifrado de datos transaccionales en RDS, protección de documentos en S3 y cifrado de comunicaciones internas.
  • CloudHSM: Gestión de claves para firmas digitalesde transacciones de alto valor, almacenamiento de claves raíz de PKI y cumplimiento de normativas bancarias estrictas.

En Nexiia Bank, utilizamos KMS para la mayoría de las operaciones diarias debido a su integración nativa y facilidad de uso, mientras que reservamos CloudHSM para las aplicaciones más críticas que requieren el máximo nivel de seguridad y control.

La elección entre KMS y CloudHSM debe basarse en los requisitos específicos de seguridad, cumplimiento normativo y consideraciones de costo para cada caso de uso.Screenshot (50).png