AWS CloudHSM 群集备份

备份的安全性

当 AWS CloudHSM 通过 HSM 制作备份时，HSM 将先加密其所有数据，然后再将这些数据发送给 AWS CloudHSM。数据绝不会以明文形式离开 HSM。

为了对其数据进行加密，HSM 将使用称为“临时备份密钥 (EBK)”的唯一的临时加密密钥。EBK 是 AWS CloudHSM 制作备份时在 HSM 内部生成的 AES 256 位加密密钥。HSM 将生成 EBK，然后借助经 FIPS 批准的 AES 密钥包装方法 (此方法符合 NIST 特刊 800-38F) 通过 EBK 加密 HSM 的数据。然后，HSM 将加密的数据提供给 AWS CloudHSM。加密的数据包括 EBK 的加密副本。

为了对 EBK 进行加密，HSM 使用另一个名为“永久备份密钥”(PBK) 的加密密钥。PBK 也是 AES 256 位加密密钥。为了生成 PBK，HSM 将在符合 NIST 特刊 800-108 的计数器模式下使用经 FIPS 批准的密钥派生函数 (KDF)。此 KDF 的输入包括：

• 一个制造商密钥备份密钥 (MKBK)，此密钥永久嵌入在硬件制造商提供的 HSM 硬件中。

• 一个 AWS 密钥备份密钥 (AKBK)，此密钥最初由 AWS CloudHSM 配置时安全地安装在 HSM 中。

下图中总结了加密流程。备份加密密钥表示永久备份密钥 (PBK) 和临时备份密钥 (EBK)。