Le cloud d'Amazon propose déjà un certain nombre de solutions pour protéger les données sensibles. Mais pour certaines applications et certaines données qui font l'objet de mandats contractuels ou réglementaires pour la gestion des clés cryptographiques, des protections additionnelles peuvent être nécessaires. « C'est à ce niveau-là que la solution CloudHSM (Hardware Security Module) peut intervenir », a déclaré Amazon. « Jusqu'à présent, les entreprises avaient une seule solution : conserver les données localement ou déployer des équipements en interne pour protéger les données cryptées dans le cloud, avec en contrepartie, un impact négatif sur la performance des applications », a ajouté le fournisseur.
Le service tourne sur une appliance Luna SA de SafeNet réputée inviolable. « Une entreprise peut stocker ses clefs dans l'unité et les utiliser pour chiffrer et déchiffrer ses données, cela en conservant un contrôle total sur le matériel », a expliqué Amazon. Parmi les applications potentielles, il y a le cryptage des bases de données, l'authentification et l'autorisation, la signature de documents, le traitement des transactions. Les applications peuvent être intégrées avec des API du genre Java JCA/JCE (Java Cryptography Architecture/Java Cryptography Extensions).
AWS ne conserve qu'une gestion administrative de l'appliance
Lorsqu'une entreprise s'abonne au service, elle bénéficie d'un accès single-tenant à chaque appliance. L'appareil apparaît comme une ressource réseau dans un cloud privé virtuel (VPC). Amazon se réserve une autorisation administrative sur l'appliance, mais celle-ci ne concerne que la gestion de l'appliance elle-même. « La séparation des tâches et le contrôle d'accès basés sur les rôles sont des éléments clés de SafeNet Luna SA », a précisé Amazon. Le cloud privé virtuel VPC permet aux responsables informatiques d'isoler une section du cloud d'Amazon au niveau de laquelle ils peuvent charger des ressources dans le réseau virtuel qu'ils ont eux-mêmes défini, avec des sous-réseaux publics, des sous-réseaux privés et un accès VPN au hardware.
Chaque unité CloudHSM coûte 5 000 dollars HT à la base, plus 1,88 dollar HT de l'heure pendant toute la durée d'utilisation de l'appliance. « Ce qui équivaut à un coût moyen de 1 373 dollars HT par mois », selon Amazon. Au-delà de 5 000 Go de données transférées chaque mois vers et hors de chaque unité, le fournisseur fera également payer 0,02 dollar HT par Go. Il n'y a pas de frais supplémentaires pour l'utilisation du VPC dans la configuration standard. Cependant, si une entreprise choisit de se connecter en utilisant une passerelle matérielle VPN, elle sera facturée 0,05 dollar HT de l'heure.
Disponible aux Etats-Unis et en Irlande pour l'instant
CloudHSM est d'ores et déjà disponible dans plusieurs régions de l'Est des États-Unis (Virginie du Nord) et de l'Europe de l'Ouest (Irlande). Amazon a prévu d'étendre son service à d'autres régions tout au long de l'année, en fonction de la demande. Pour convaincre les entreprises que son cloud est bien équipé pour sécuriser les données sensibles, Amazon a créé AWS Security & Compliance Center où les entreprises peuvent trouver des informations de sécurité et de conformité, voir les différentes certifications dont elle a la responsabilité et celles qu'elle cherche à obtenir. Elles peuvent également trouver des détails sur les différentes fonctionnalités de sécurité de son service, notamment sur l'authentification à plusieurs facteurs et sur le support du cryptage S3 (Simple Storage Service) côté serveur et côté client.