在看「How to migrate 3DES keys from a FIPS to a non-FIPS AWS CloudHSM cluster」這篇的時候看到一個沒有印象的服務,叫做 AWS Payment Cryptography,查了一下是去年推出的新服務:「New – Move Payment Processing to the Cloud with AWS Payment Cryptography」。
這個服務從名字大概知道跟金流用到的密碼學演算法有關,從「What is AWS Payment Cryptography?」這頁可以看到是把 HSM 的部分包起來:
AWS Payment Cryptography is a managed AWS service that provides access to cryptographic functions and key management used in payment processing in accordance with payment card industry (PCI) standards without the need for you to procure dedicated payment HSM instances.
另外從文件上可以看到圍繞在很多 PCI SSC 發佈的標準,所以理論上自己兜 AWS CloudHSM 或是 AWS KMS 應該都是可以用的,只是自己實作的部分就得另外 auditing?
AWS CloudHSM 的 compliance 資訊在「Compliance」這邊,可以看到 CloudHSM 在服務層級上掛了 PCI DSS、PCI PIN (看起來是個資相關) 以及 PCI-3DS。
而 AWS KMS 的 compliance 資訊在「Compliance validation for AWS Key Management Service」這邊,可以看到 KMS 主要就只有 PCI DSS 的報告部分。
也許 AWS KMS 在這塊上面能提供的功能比較少?
除了 PCI compliance 相關的整合外,另外一個切入點應該是價錢的部分,CloudHSM 因為就是租硬體,一個單位就是 US$1.6/hr,一個月就是固定 US$1152/mo 在燒;而 AWS Payment Cryptography 則是只收 US$1/mo 的 active key 費用,然後每 10k call 收 US$2,換算下來是每個月 5.7M API call 左右會跟一個 CloudHSM 差不多。
看起來交易量沒有很大的情況下也還不錯?如果兩邊在功能上是有辦法等價交換的話...