Upgrade to Pro — share decks privately, control downloads, hide ads and more …

使えそうで使われないCloudHSM

かぴ
October 31, 2024
Technology
0
110

 使えそうで使われないCloudHSM

2024/10/30開催「若手エンジニア応援LT会(Japan AWS Jr. Champions&JAWS-UG東京コラボ)」の登壇資料
https://jawsug.connpass.com/event/330025/

かぴ

October 31, 2024
Tweet

Other Decks in Technology

See All in Technology
クラシルの現在とこれから
am1157154
1
370
サーバーサイドのデータプレーンプログラミング 〜 NVIDIA Blue Field / DOCA 〜
ebiken
PRO
1
240
で、ValhallaのValue Classってどうなったの?
skrb
1
610
来年もre:Invent2024 に行きたいあなたへ - “集中”と“つながり”で楽しむ -
ny7760
0
240
Data Migration on Rails
ohbarye
7
5k
Amazon FSx for NetApp ONTAPを利用するにあたっての要件整理と設計のポイント
non97
1
140
omakaseしないための.rubocop.yml のつくりかた / How to Build Your .rubocop.yml to Avoid Omakase #kaigionrails
linkers_tech
3
360
ガチ勢によるPipeCD運用大全〜滑らかなCI/CDを添えて〜 / ai-pipecd-encyclopedia
cyberagentdevelopers
PRO
2
160
現実のRuby/Railsアップグレード
takeyuweb
3
4.9k
失敗しないOpenJDKの非互換調査
tabatad
0
250
Comparing Apache Flink and Spark for Modern Stream Data Processing
sharonx
0
190
バイセルにおけるAI活用の取り組みについて紹介します/Generative AI at BuySell Technologies
kyuns
1
220

Featured

See All Featured
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.2k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
YesSQL, Process and Tooling at Scale
rocio
167
14k
Scaling GitHub
holman
458
140k
Six Lessons from altMBA
skipperchong
26
3.4k
How to train your dragon (web standard)
notwaldorf
88
5.6k
We Have a Design System, Now What?
morganepeng
50
7.2k
Designing the Hi-DPI Web
ddemaree
280
34k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
27
1.9k
A Tale of Four Properties
chriscoyier
156
23k
Happy Clients
brianwarren
97
6.7k
Into the Great Unknown - MozCon
thekraken
31
1.5k

Transcript

  1. 1 ©AR Advanced Technology All Right Reserved. 使えそうで使われないCloudHSM 2024年10月30日(水) ARアドバンストテクノロジ株式会社

  2. 2 ©AR Advanced Technology All Right Reserved. 自己紹介 上林 麻衣

    ニックネーム:かぴ 経緯:かみばやし→かみぱらし→かぴぱら→かぴ ARアドバンストテクノロジ株式会社所属 新卒3年目 官公庁系システムの運用保守

  3. 3 ©AR Advanced Technology All Right Reserved. CloudHSM使ってますか?

  4. 4 ©AR Advanced Technology All Right Reserved. きっかけ • 案件でCloudHSMに格納されている鍵の交換(格納

    /削除)を実施 • 作業を通してCloudHSMへの理解が深まった ⇒学んだことをアウトプットしたい!

  5. 5 ©AR Advanced Technology All Right Reserved. 話すこと 1.CloudHSMの概要 2.CloudHSMの管理方法

    3.KMSとの比較

  6. 6 ©AR Advanced Technology All Right Reserved. CloudHSMの概要 • AWSが提供するHSM(ハードウェアセキュリティモジュール)

    →簡単にいうと鍵の保管庫 • 暗号鍵を管理、暗号化・復号処理の高速化・負荷軽減ができる • セキュリティ面では FIPS 140-3 Level3 の認証を取得 • シングルテナント方式を採用している

  7. 7 ©AR Advanced Technology All Right Reserved. CloudHSMの概要 • AWSが提供するHSM(ハードウェアセキュリティモジュール)

    →簡単にいうと鍵の保管庫 • 暗号鍵を管理、暗号化・復号処理の高速化・負荷軽減ができる • セキュリティ面では FIPS 140-3 Level3 の認証を取得 • シングルテナント方式を採用している 4段階中上から2番目 アメリカが定めた グローバルなコンピュータ・セキュリ ティ・情報システムに関する規定

  8. 8 ©AR Advanced Technology All Right Reserved. CloudHSMの構成 CloudHSMクラスター HSM

    HSM

  9. 9 ©AR Advanced Technology All Right Reserved. CloudHSMの構成 CloudHSMクラスター HSM

    HSM Key Key 同期

  10. 10 ©AR Advanced Technology All Right Reserved. 話すこと 1.CloudHSMの概要 2.CloudHSMの管理方法

    3.KMSとの比較

  11. 11 ©AR Advanced Technology All Right Reserved. CloudHSMを操作してみる Virtual private

    cloud (VPC) 管理用EC2 AWS CloudHSM

  12. 12 ©AR Advanced Technology All Right Reserved. CloudHSMを操作してみる Virtual private

    cloud (VPC) 管理用EC2 AWS CloudHSM AWS CloudHSM Client SDKs

  13. 13 ©AR Advanced Technology All Right Reserved. AWS CloudHSM Client

    SDKs とは? • HSMに接続するためのツール • Client SDK 3 と Client SDK 5 がある (今回は Client SDK 5 を利用する) • Client SDK 5 は CloudHSM CLI を使って鍵を操作する

  14. 14 ©AR Advanced Technology All Right Reserved. CloudHSM CLI login/logout

    HSMへのログイン/ログアウト hsm-info CloudHSMクラスターのHSMの一覧を表示 key list HSMに格納されている鍵一覧を表示 key import pem HSMにPEM 形式キーをインポート key generate- asymmetric-pair rsa HSMに非対称RSAキーを生成 key delete HSMに格納されている鍵を削除

  15. 15 ©AR Advanced Technology All Right Reserved. 実践してみる Virtual private

    cloud (VPC) 管理用EC2 AWS CloudHSM AWS CloudHSM Client SDKs

  16. 16 ©AR Advanced Technology All Right Reserved. # CloudHSM CLIをインタラクティブモードにする

    # ログインする

  17. 17 ©AR Advanced Technology All Right Reserved. # CloudHSMクラスターのHSMの一覧を表示する

  18. 18 ©AR Advanced Technology All Right Reserved. # HSMに格納されている鍵一覧を表示

  19. 19 ©AR Advanced Technology All Right Reserved. #非対称RSAキーを生成する

  20. 20 ©AR Advanced Technology All Right Reserved. # HSMに格納されている鍵一覧を表示

  21. 21 ©AR Advanced Technology All Right Reserved. 話すこと 1.CloudHSMの概要 2.CloudHSMの管理方法

    3.KMSとの比較

  22. 22 ©AR Advanced Technology All Right Reserved. 使えそうで使われないCloudHSM

  23. 23 ©AR Advanced Technology All Right Reserved. 使えそうで使われないCloudHSM

  24. 24 ©AR Advanced Technology All Right Reserved. 使えそうで使われないCloudHSM

  25. 25 ©AR Advanced Technology All Right Reserved. なぜ使われない? KMSが強すぎる!!

  26. 26 ©AR Advanced Technology All Right Reserved. KMSとは 項目 KMS

    セキュリティ FIPS 140-2 Level3 管理 AWS 方式 マルチテナント

  27. 27 ©AR Advanced Technology All Right Reserved. KMSとは 項目 KMS

    CloudHSM セキュリティ FIPS 140-2 Level3 FIPS 140-3 Level3 管理 AWS ユーザ 方式 マルチテナント シングルテナント

  28. 28 ©AR Advanced Technology All Right Reserved. コスト面で比較 サービス 料金

    コスト KMS AWS KMSキー 1つあたり 1 USD/月 CloudHSM HSM 1台あたり 1.81 USD/時間

  29. 29 ©AR Advanced Technology All Right Reserved. コスト例 1つのKMSキーを作成して1カ月間利用する場合 •

    AWS KMSキーの料金 • HSMの料金 ※為替は155円、AWS KMSへのAPIリクエスト料金は除外 1(USD)×1(カ月)×155(円)=155円 1.81(USD)×1(台)×24(時間)×31(日)×155(円) =208,729円 1台HSMを作成して1カ月間利用する場合

  30. 30 ©AR Advanced Technology All Right Reserved. コスト例 1つのKMSキーを作成して1カ月間利用する場合 •

    AWS KMSキーの料金 • HSMの料金 ※為替は155円、AWS KMSへのAPIリクエスト料金は除外 1(USD)×1(カ月)×155(円)=155円 1.81(USD)×1(台)×24(時間)×31(日)×155(円) =208,729円 1ヶ月約21万円

  31. 31 ©AR Advanced Technology All Right Reserved. CloudHSMが使われない理由 高い! 管理が必要!

    KMSでカバーできる範囲が広い! ⇒特定の条件下でしか使われない • FIPS 140-3 Level3 の認定が必須 • シングルテナントが必須 • etc…

  32. 32 ©AR Advanced Technology All Right Reserved. まとめ • CloudHSM

    は ユーザが管理できるHSMサービス • セキュリティが強い • クラスター構成になっている • HSMに接続したい場合は AWS CloudHSM Client SDKs を使う必要がある • あんまり使われないけどよかったら触ってみてください (高いけど…)

  33. 33 ©AR Advanced Technology All Right Reserved. 参考資料 • とは

    AWS CloudHSM - AWS CloudHSM • よくある質問 - AWS CloudHSM | AWS • [AWS Black Belt Online Seminar] AWS CloudHSM – YouTube • 米国政府標準FIPSとセキュリティ対策 - ネットセキュリティ情報と説明 • Offload operations with AWS CloudHSM Client SDKs - AWS CloudHSM • AWS CloudHSM クライアント SDK 5 の利点 - AWS CloudHSM • AWS CloudHSM コマンドラインインターフェイス (CLI) - AWS CloudHSM • CloudHSM CLI コマンドのリファレンス - AWS CloudHSM • 料金 - AWS CloudHSM | AWS • 料金 - AWS Key Management Service | AWS

  34. 34 ©AR Advanced Technology All Right Reserved. ARアドバンストテクノロジ株式会社【略称:ARI】 〒150-0002 東京都渋谷区渋谷1-14-16

    渋谷野村證券ビル8F TEL : 03-6450-6080 FAX : 03-6450-6088 URL : https://ari-jp.com