キー管理サービス (KMS) は、さまざまなシナリオに適しています。 このトピックでは、KMSを使用できる一般的なシナリオについて説明します。
シナリオ
シナリオ | ロール | 需要 | 説明 |
最高リスク責任者 (CRO) | 情報システムのセキュリティとコンプライアンスを確保します。 | CROは、ITシステムが情報システムセキュリティの次の要件を満たすことを望んでいます。
| |
ITシステムビルダー | アプリケーションの機密データのセキュリティを確保します。 | ITシステムビルダーは、ITセキュリティ部門の要求に応じて、アプリケーション内の機密ビジネスデータと運用データを暗号化および保護する必要があります。 KMSは、自作の鍵管理機能や暗号化および復号化機能と比較して、コストを大幅に削減します。 | |
独立系ソフトウェアベンダー (ISV) | 秘密のセキュリティを確保します。 ユーザーは秘密がISVに公開されることを望まない。 | ISVによって提供されるサービスは、ユーザーの秘密を使用する必要があります。 しかしながら、ユーザは、秘密がISVに公開されることを望まない。 ISVは、サードパーティのシークレット管理ソリューションとしてKMSを導入できます。 |
情報システムのセキュリティコンプライアンス要件
企業または組織は、情報システムのセキュリティコンプライアンス要件を評価するときに、次のシナリオに遭遇する可能性があります。
セキュリティ規制は、企業または組織が情報システムを保護するために暗号技術を使用しなければならないことを要求し、暗号技術および鍵管理施設は、関連する技術標準およびセキュリティ規制に準拠しなければならない。
セキュリティ規制は、暗号技術の使用を要求しないが、暗号技術の使用は、セキュリティコンプライアンスのプロセスをスピードアップすることができる。 たとえば、暗号化手法を使用すると、スコアリングベースのアプローチでより高いスコアを取得できます。
次の表に、企業がセキュリティコンプライアンス要件を満たすためにKMSが提供する機能を示します。
特徴 | 説明 | 関連ドキュメント |
暗号化コンプライアンス | Data Encryption Serviceのハードウェアセキュリティモジュール (HSM) クラスターをKMSに接続して、キーを管理し、暗号化操作を実行できます。 暗号化操作中に使用されるハードウェア保護キーは、HSMクラスターに格納する必要があります。 KMSは、データ暗号化やデジタル署名 (署名と検証) など、ハードウェアで保護された鍵と操作のための一般的な暗号アルゴリズムをサポートしています。 説明 Data Encryption Serviceが提供するHSMは、FIPS (Federal Information Processing Standard) Publication 140-2 Level 3で指定されたコンプライアンス要件を満たしています。 | |
秘密の管理 | Secrets Managerを使用すると、Resource Access Management (RAM) ユーザーのAccessKeyペア、ApsaraDB RDSアカウントのパスワード、Elastic Compute Service (ECS) インスタンスのSSHキーなどのシークレットを簡単に管理できます。 Secrets Managerを使用すると、効率的かつ信頼性の高い方法でデータリークを処理できます。 | |
データの機密性 | KMSを使用すると、データを暗号化してデータの機密性を確保できます。 これにより、システムが攻撃されたときのデータ漏洩を防ぎ、データ保護に関連する法規制の要件を満たすことができます。 | |
認証とアクセス制御 | KMSはRAMと統合され、一元化された認証と承認を実装します。 KMSインスタンスは、仮想プライベートクラウド (VPC) 内のIPアドレスからのアクセスのみをサポートし、アプリケーションアクセスポイント (AAP) を使用してアプリケーションレベルの認証と承認管理も提供します。 | |
キー監査 | KMSはすべてのAPI呼び出しレコードをActionTrailに保存します。これにより、キーのコンプライアンス監査を実行できます。 KMSインスタンスのセキュリティ監査を有効にし、KMSインスタンスAPIのすべての呼び出しレコードを指定されたObject Storage Service (OSS) バケットに保存できます。 |
機密データ暗号化
データ暗号化手法を使用して、クラウド上で生成または保存される機密データを保護できます。 Alibaba Cloudは、機密データを暗号化および保護するための複数の方法を提供します。
暗号化方法 | 需要 | 説明 | 関連ドキュメント |
KMSを利用したアプリケーションシステムにおけるデータの直接暗号化 | アプリケーションシステムの機密データは、暗号化技術を使用して保護されます。 機密データの暗号化と復号化に1秒あたりの高いクエリ数 (QPS) が必要ない場合、またはデータサイズが6 KBを超えない場合は、この方法を使用できます。 たとえば、この方法を使用して、データベースへのアクセスに使用されるAccessKeyペアやユーザー名およびパスワードなどの機密データを暗号化できます。 | KMSの暗号化APIを呼び出して、キーを使用して機密データを直接暗号化します。 | |
KMSを利用したアプリケーションシステムにおけるデータのエンベロープ暗号化 | アプリケーションシステムの機密データは、暗号化技術を使用して保護されます。 機密データの暗号化と復号化に高いQPSが必要な場合、またはデータサイズが大きい場合は、この方法を使用できます。 たとえば、この方法を使用して、携帯電話番号やIDカード番号などの機密データを暗号化できます。 | エンベロープ暗号化は、顧客マスターキー (CMK) をKMSに保存します。 エンベロープデータキー (EDK) のみをデプロイする必要があります。 KMSを使用してEDKを復号化し、返された平文データキー (DK) を使用してローカルビジネスデータを暗号化または復号化できます。 エンベロープ暗号化をカプセル化してデータを暗号化するEncryption SDKを使用することもできます。 | |
クラウドサービスのサーバー側暗号化 | クラウド内のIT施設の環境を基本的に保証し、データのセキュリティを確保します。 たとえば、OSSでサーバー側暗号化を実行して機密データを格納するバケットを保護したり、機密データを格納するテーブルを保護するために透過的データ暗号化 (TDE) を使用したりできます。 | Alibaba Cloudサービスを使用してデータを保存する場合、サーバー側暗号化を使用してデータを効果的に暗号化および保護できます。 | |
秘密マネージャ | Secrets Managerを使用すると、シークレットのライフサイクルを管理し、アプリケーションでシークレットを安全かつ効率的に使用できます。 これにより、コード内のハードコードされたシークレットによって引き起こされる機密データの漏洩を防ぎます。 たとえば、パスワード、トークン、SSHキー、AccessKeyペアなどの機密データをSecrets Managerでホストし、安全な方法でデータを管理できます。 | 機密データの資格情報をSecrets Managerでホストし、アプリケーションレベルのセキュリティアクセスメカニズムを使用して、機密データへの安全なアクセスを確保できます。 シークレットを動的に回転させて、データ漏洩を防ぐこともできます。 |
サードパーティの秘密管理ソリューション
ユーザーはKMSでシークレットを管理し、ISVのサービスにこれらのシークレットの使用を許可できます。 KMSは、ISVのサービスとユーザーの間のサードパーティのセキュリティ保護システムとして機能します。 ユーザーとISVは、システムのセキュリティを確保するために連携できます。
ロール | 説明 | 関連ドキュメント |
ユーザー管理者 | KMSで秘密を管理します。 ユーザー管理者は、RAMを使用してシークレットの権限を管理できます。 ユーザー管理者は、Alibaba Cloudアカウント全体でのリソース承認などの方法に基づいて、ISVがKMSで指定されたシークレットを使用できるようにします。 | |
ISVのサービス | KMS APIを統合して、指定されたシークレットを使用します。 | |
ユーザー監査人 | ActionTrailを使用して、KMSのキーの使用記録を監査します。 |