KMS в основном предоставляет два бизнес-компонента: управление ключами и управление учетными данными.

Ключевой менеджмент

Управление учетными данными

концепция иллюстрировать Ключевой сервис Служба ключей предоставляет вам услуги криптографических вычислений, такие как безопасное хранение и управление жизненным циклом ключей, шифрование и дешифрование данных с использованием ключей, цифровые подписи и проверка подписей. Дополнительные сведения о службах управления ключами см. в разделе Обзор служб управления ключами. Аппаратный модуль безопасности HSM (Аппаратный модуль безопасности) Аппаратный модуль безопасности — это аппаратное устройство, выполняющее криптографические операции, безопасно генерирующее и хранящее ключи. Криптографическая машина является наиболее часто используемым аппаратным модулем безопасности при построении ИТ-систем. KMS поддерживает интеграцию вашего кластера криптографических машин в облачную службу шифрования Alibaba, обеспечивая более высокий уровень безопасности и гарантию соответствия вашим ключам, размещенным в KMS, а также отвечая требованиям тестирования и сертификации регулирующих органов. CMK (главный ключ клиента) CMK (главный ключ клиента) — это ключ, созданный вами и размещенный в KMS, для краткости называемый «главным ключом». Главный ключ состоит из идентификатора ключа, основных метаданных и материала ключа. Сервисный ключ Ключ создается облачной службой от вашего имени, размещается в KMS и используется по умолчанию при шифровании на стороне сервера облачного продукта. Управление ключами по умолчанию Управление ключами по умолчанию — это тип управления ключами, предоставляемый KMS. Ключи по умолчанию можно использовать для шифрования на стороне сервера только при интеграции с облачными продуктами, включая: Ключ службы: ключ, созданный и размещенный облачной службой от вашего имени для шифрования на стороне сервера. Главный ключ: вы самостоятельно создаете жизненный цикл главного ключа и управляете им. В каждом регионе можно создать только один ключ. Материал ключа может быть создан с помощью KMS или импортирован вами. В качестве ключа по умолчанию KMS поддерживает только алгоритм симметричного шифрования AES_256. Программное управление ключами Управление программными ключами — это тип управления ключами, предоставляемый KMS. Программный ключ содержит только главный ключ, который вы создаете и управляете жизненным циклом ключа независимо. Его можно интегрировать с облачными продуктами для шифрования на стороне сервера, а также можно интегрировать с вашими собственными приложениями для создания решений шифрования прикладного уровня. Ключевой материал может быть создан только с помощью KMS и не может быть импортирован самостоятельно. Для программных ключей KMS поддерживает использование нескольких спецификаций ключей, включая симметричные криптографические алгоритмы и асимметричные криптографические алгоритмы. Управление аппаратными ключами Управление аппаратными ключами — это тип управления ключами, предоставляемый KMS. Аппаратный ключ содержит только главный ключ, который вы создаете и управляете жизненным циклом ключа независимо. Его можно интегрировать с облачными продуктами для шифрования на стороне сервера, а также можно интегрировать с вашими собственными приложениями для создания решений шифрования прикладного уровня. Ключевой материал может быть создан шифровальной машиной (HSM), подключенной к KMS, или вы можете импортировать его самостоятельно. Для аппаратных ключей KMS поддерживает использование нескольких спецификаций ключей, включая симметричные криптографические алгоритмы и асимметричные криптографические алгоритмы. иллюстрировать KMS предоставляет вам аппаратное управление ключами и криптографические операции путем подключения к кластеру вашей криптографической машины (HSM) в облачной службе шифрования Alibaba. Поэтому перед использованием аппаратного ключа необходимо приобрести криптографическую машину (HSM), настроить кластер криптографической машины в Alibaba Cloud Encryption Service и подключить его в KMS. Подробные сведения о конкретных операциях см. в разделе Как настроить кластер криптографических машин, который можно подключить через экземпляр управления аппаратными ключами KMS. Ключевой материал Ключевой материал является одним из важных входных данных для криптографических операций. Рекомендуется хранить в секрете ключевой материал закрытого ключа асимметричного криптографического алгоритма и ключевой материал симметричного криптографического алгоритма для защиты криптографических операций, основанных на ключевом материале. Ключ по умолчанию: когда вы создаете главный ключ в ключе по умолчанию, он поддерживает генерацию материала ключа с помощью KMS (атрибут происхождения — Aliyun_KMS), а также поддерживает импорт материала ключа самостоятельно (атрибут происхождения — EXTERNAL). Программный ключ: при создании программного ключа поддерживается только материал ключа, созданный KMS (атрибут происхождения — Aliyun_KMS). Импорт ключа вручную в настоящее время не поддерживается. Аппаратный ключ: при создании аппаратного ключа криптографическая машина (HSM), подключенная к KMS, может генерировать материал ключа (атрибут происхождения — Aliyun_KMS), или вы можете импортировать материал ключа самостоятельно (атрибут происхождения — EXTERNAL). Реквизиты для входа Учетные данные — это конфиденциальная информация, используемая для аутентификации приложений, например пароли учетных записей базы данных, ключи SSH, конфиденциальные адреса, конфиденциальные данные AK и т. д. Менеджер секретов Credential Manager предоставляет вам полный жизненный цикл учетных данных, а также безопасный и удобный метод доступа к приложениям, помогая избежать риска утечки конфиденциальной информации, вызванной жестким кодированием учетных данных в коде. Дополнительные сведения о Credential Butler см. в разделе Обзор Credential Butler. Точка доступа приложения Точка доступа приложения AAP — это схема управления доступом, реализованная KMS, которая подходит для аутентификации личности и аутентификации поведения при доступе приложений к ресурсам KMS.

Аутентификация личности и контроль доступа

Аудит использования ключей

Интегрированное шифрование облачного продукта

Шифрование стало проще

Централизованное хранение ключей

Поддержка принести свой ключ (BYOK)

KMS поддерживает возможности вычисления избыточных паролей в нескольких зонах доступности в каждом регионе, гарантируя, что запросы, инициированные различными продуктами в Alibaba Cloud и вашими пользовательскими приложениями к KMS, могут обрабатываться с низкой задержкой. При необходимости вы можете быстро обновиться.

KMS прошел строгий контроль безопасности и аудит, чтобы обеспечить строжайшую защиту ваших ключей в Alibaba Cloud.

KMS предоставляет только безопасные каналы доступа на основе TLS и использует только набор алгоритмов безопасного транспортного шифрования, соответствующий спецификациям безопасности, таким как PCI DSS.

KMS поддерживает лицензированные и сертифицированные регулирующими органами криптографические средства.

Служба облачного шифрования Alibaba предоставляет оборудование для аппаратного шифрования, которое было протестировано и сертифицировано Государственным управлением криптозоологии и получило сертификат GM/T 0028 уровня 2. KMS поддерживает интеграцию кластера шифровальных машин, которым вы управляете, в Alibaba Cloud Encryption Service для управления ключами и расчета паролей.

Вам не нужно оплачивать первоначальные затраты на приобретение устройств аппаратного шифрования и текущие расходы на эксплуатацию, обслуживание, установку исправлений и замену старых.

KMS экономит затраты на НИОКР и обслуживание при создании кластера криптографических устройств, обеспечивающего доступность и надежность, а также наличие собственных средств управления ключами.

Интеграция KMS с другими продуктами Alibaba Cloud экономит затраты на разработку системы шифрования данных, и вам нужно только управлять ключами, чтобы получить управляемые возможности шифрования данных в облаке.

Сцены роль пользователя требования иллюстрировать Информационные системы соответствуют требованиям безопасности Директор по рискам (CRO) Обеспечить безопасность и соответствие информационным системам. Как директор по рискам (CRO), я надеюсь, что ИТ-системы соответствуют требованиям по защите безопасности информационных систем, в том числе: Правильное использование криптографии и средств управления ключами для шифрования и защиты важных данных с полным контролем доступа и проверкой безопасности ключей. Надежно храните и контролируйте использование паролей учетных записей базы данных, паролей учетных записей серверов, ключей SSH и другой учетной информации, чтобы предотвратить утечку информации и риски системных атак, вызванные утечкой учетных данных. Защита конфиденциальных данных с помощью шифрования сборщик ИТ-систем Обеспечьте безопасность конфиденциальных данных в прикладных системах. Как разработчик ИТ-системы, по запросу отдела ИТ-безопасности приложения должны шифровать и защищать конфиденциальные бизнес-данные и операционные данные, хранящиеся или используемые. Используя KMS, затраты на внедрение могут быть значительно снижены по сравнению с собственными средствами управления ключами, а также средствами шифрования и дешифрования. Решение для управления учетными данными KMS, интегрированное с услугами независимых поставщиков ПО Поставщик услугISV Служба требует использования учетных данных пользователя, но пользователь не хочет, чтобы содержимое учетных данных было раскрыто персоналу поставщика услуг. Службе независимого поставщика программного обеспечения необходимо использовать учетные данные пользователя во время работы, но пользователь не хочет, чтобы конфиденциальная информация об учетных данных была раскрыта поставщику услуг. Службы независимых поставщиков программного обеспечения могут интегрировать KMS и использовать KMS в качестве стороннего решения для управления учетными данными.

Когда предприятия или организации оценивают требования безопасности информационных систем, они могут столкнуться со следующими двумя ситуациями:

KMS предоставляет следующие возможности, помогающие предприятиям соответствовать требованиям соответствия:

Вы можете защитить конфиденциальные данные, созданные или хранящиеся в облаке, с помощью технологии шифрования данных. Alibaba Cloud поможет вам зашифровать и защитить конфиденциальные данные различными способами.

Метод защиты шифрования требования иллюстрировать Справочная документация Система приложений использует KMS для прямого шифрования данных. Защитите безопасность конфиденциальных данных в прикладных системах с помощью технологии шифрования. Скорость шифрования и дешифрования этих конфиденциальных данных невысока, а размер данных не превышает 6 КБ. Например, настройте свое приложение для шифрования конфиденциальной информации, такой как AK и пароли учетных записей базы данных. Вызовите API шифрования KMS, чтобы напрямую зашифровать конфиденциальные данные с помощью ключа. Шифрование и расшифровка данных онлайн с помощью главного ключа KMS. Система приложений использует KMS для шифрования данных. Защитите безопасность конфиденциальных данных в прикладных системах с помощью технологии шифрования. Эти конфиденциальные данные требуют шифрования и дешифрования с высокой скоростью QPS, либо объем зашифрованных данных слишком велик для использования прямого шифрования. Например, зашифруйте конфиденциальную информацию, такую ​​как номера мобильных телефонов и идентификационные номера ваших пользователей. Используйте технологию шифрования конвертов для хранения ключей в KMS и развертывайте только зашифрованные ключи данных. Только если вам необходимо использовать ключ данных, используйте KMS, чтобы получить простой текст ключа данных для локального шифрования и дешифрования бизнес-данных. Вы также можете использовать SDK шифрования, который инкапсулирует шифрование конверта для защиты шифрования. Шифрование и дешифрование данных локально с помощью шифрования конверта KMS. Обзор крипто SDK Шифрование на стороне сервера облачного продукта Обеспечьте базовую гарантию среды безопасности данных ИТ-объектов в облаке. Например: использование шифрования на стороне сервера хранилища объектов для защиты сегментов OSS, в которых хранятся конфиденциальные данные, или использование прозрачного шифрования данных базы данных (TDE) для защиты таблиц, в которых хранятся конфиденциальные данные. Если вы используете продукты Alibaba Cloud для сохранения данных, вы можете использовать функцию шифрования на стороне сервера облачного продукта для более эффективного шифрования и защиты данных. Облачные сервисы, поддерживающие интегрированное шифрование на стороне сервера. Используйте диспетчер учетных данных Он предоставляет вам полное управление жизненным циклом учетных данных, а также безопасный и удобный метод доступа к приложениям, помогая избежать риска утечки конфиденциальной информации, вызванной жестким кодированием учетных данных в коде. Например: вы можете разместить конфиденциальные данные, такие как пароли, токены, ключи SSH и AK, в диспетчере учетных данных и управлять ими с помощью методов безопасного доступа. Разместите свои учетные данные для доступа к конфиденциальной информации в Credential Manager, чтобы обеспечить безопасность доступа к конфиденциальной информации с помощью механизмов безопасного доступа на уровне приложений. Вы также можете динамически менять учетные данные, чтобы избежать риска утечки данных. Обзор управления учетными данными

Пользователи могут управлять учетными данными в KMS и разрешать службам ISV использовать учетные данные. KMS действует как сторонний механизм защиты между службами ISV и пользователями, позволяя пользователям и службам ISV выполнять свои соответствующие обязанности и совместно обеспечивать безопасность системы.

роль пользователя иллюстрировать Справочная документация Администратор пользователя Управляйте учетными данными в KMS. Управляйте разрешениями на использование учетных данных в системе контроля доступа (RAM) и позволяйте службам независимых поставщиков программного обеспечения использовать указанные учетные данные в KMS посредством авторизации ресурсов в учетных записях Alibaba Cloud. Авторизация ресурсов в аккаунтах Alibaba Cloud Служба независимого поставщика программного обеспечения Служба ISV использует учетные данные, указанные пользователем, через API, интегрированный с KMS. Обзор API Аудитор пользователя Посредством аудита операций (ActionTrail) служба ISV выполняет постфактум аудит поведения использования ключей при каждом доступе к KMS. Запрос событий операций службы управления ключами с помощью аудита операций.

KMS предоставляет два API: KMS API и API экземпляра KMS. Следует отметить, что квота запросов API KMS ограничена для каждой учетной записи Alibaba Cloud, а данные производительности API экземпляра KMS ограничены для каждого экземпляра KMS.

KMS устанавливает квоту на количество операций API, запрошенных в секунду. Как только квота запросов API будет превышена, KMS ограничит запросы (то есть отклонит допустимые в противном случае запросы) и вернет ответ об ошибке, аналогичный следующему примеру. Для таких ответов об ошибках, которые можно устранить путем повторной попытки, вы можете ввести в свое приложение политики отсрочки запроса и повторной попытки.

В следующей таблице указана квота запросов KMS для каждой учетной записи Alibaba Cloud в одном регионе.

Пример управления программными ключами

Пример управления аппаратными ключами