キー管理サービス (KMS) は、さまざまなシナリオに適しています。 このトピックでは、KMSを使用できる一般的なシナリオについて説明します。
一般的なシナリオ
ロール | 需要 | 一般的なシナリオ | 解決策 |
アプリケーション開発者 | アプリケーションの機密データのセキュリティを確保します。 | アプリケーション開発者は、アプリケーションで機密ビジネスデータと運用データを使用する必要があります。 アプリケーション開発者は、暗号化キーを使用して機密データを暗号化し、KMSを使用して暗号化キーを保護したいと考えています。 | |
IT O&Mエンジニア | クラウドにデプロイされているIT機能に安全な環境を提供します。 | クラウド内のITインフラストラクチャは、他のテナントと共有されます。 この場合、IT O&Mエンジニアは、従来のデータセンターと同様に、クラウド内に物理的なセキュリティ境界を確立することができません。 ただし、IT O&Mエンジニアは、クラウドコンピューティングおよびストレージ環境のために、信頼できる、目に見える、制御可能なセキュリティメカニズムを構築する必要があります。 | |
最高セキュリティ責任者 (CSO) | 情報システムのセキュリティとコンプライアンスを確保します。 | CSOは、特定のコンプライアンス標準におけるキー管理要件が満たされていることを確認する必要があります。 CSOは、暗号技術を使用することによって、アプリケーションおよび情報システムのセキュリティの要件が満たされていることも確認する必要があります。 | |
独立サービスベンダー (ISV) | サードパーティの暗号化を使用して、サービスのセキュリティ機能を提供します。 | ISVは、サービス内のユーザーデータを暗号化および保護するために顧客から要求されます。
|
機密データの暗号化と保護
データ暗号化を使用して、クラウド上で生成または保存される機密データを保護できます。 Alibaba Cloudは、機密データを暗号化および保護するための複数の方法を提供します。
暗号化方法 | 需要 | 説明 | 関連ドキュメント |
Envelope encryption | アプリケーションの機密データのセキュリティを確保します。 機密データは、高いクエリ /秒 (QPS) パフォーマンスで暗号化および復号化する必要があります。または、大量のデータを直接暗号化することはできません。 たとえば、携帯電話番号やIDカード番号などの機密データを暗号化します。 | エンベロープ暗号化機能は、顧客マスターキー (CMK) をKMSに保存します。 エンベロープデータキー (EDK) のみをデプロイする必要があります。 KMSを使用してEDKを復号化し、返された平文データキー (DK) を使用してローカルビジネスデータを暗号化または復号化できます。 エンベロープ暗号化機能をカプセル化してデータを暗号化するEncryption SDKを使用することもできます。 | |
直接暗号化 | アプリケーションの機密データのセキュリティを確保します。 機密データの暗号化と復号化のQPSは、システムのスロットリングしきい値よりも小さくなります。 データのサイズは6 KB以下です。 たとえば、データベースへのアクセスに使用されるAccessKeyペアやユーザー名、パスワードなどの機密データを暗号化します。 | KMSの暗号化APIを呼び出して、CMKを使用して機密データを直接暗号化できます。 | |
サーバー側暗号化 (SSE) | クラウド内のIT施設のデータセキュリティ環境の基本的な保証を提供します。 たとえば、OSS (Object Storage Service) のSSE機能を使用して、機密データを格納するバケットを保護したり、TDE (transparent data encryption) を使用して機密データを格納するテーブルを保護したりできます。 | Alibaba Cloudサービスを使用してデータを保存する場合、これらのサービスのSSE機能を使用して、データを効果的に暗号化および保護できます。 | |
秘密マネージャ | Secrets Managerを使用すると、シークレットのライフサイクルを管理し、アプリケーションでシークレットを安全かつ効率的に使用できます。 これにより、ハードコードされたシークレットによる機密データの漏洩を防ぎます。 パスワード、トークン、SSHキー、AccessKeyペアなどの機密データをSecrets Managerでホストし、安全な方法でデータを管理できます。 | 機密データをSecrets Managerでホストし、アプリケーションレベルのセキュリティアクセスメカニズムを使用して、機密データへの安全なアクセスを確保できます。 シークレットを動的に回転させて、データ漏洩を防ぐこともできます。 |
クラウドコンピューティングとストレージ環境の管理
KMSを他のAlibaba Cloudサービスと統合して、SSE機能を使用できます。 これにより、クラウドコンピューティングおよびストレージ環境を管理し、分散マルチテナントシステムを使用してコンピューティングおよびストレージリソースを分離および保護できます。 KMSのCMKのライフサイクル、使用状況、およびアクセス制御ポリシーを管理することで、分散コンピューティングおよびストレージ環境を管理できます。 KMSをActionTrailと統合して、KMSでのキーの使用状況を確認および監査することもできます。 次の表に、KMSを使用してクラウドコンピューティングおよびストレージ環境を管理する一般的なシナリオを示します。
シナリオ | 需要 | 説明 | 関連ドキュメント |
Elastic Compute Service (ECS) | KMSキーを使用して、ECSインスタンスのシステムディスク、データディスク、スナップショット、イメージのセキュリティを確保します。 KMSは、データセキュリティと規制コンプライアンスが必要なシナリオに適しています。 | ECSにKMSキーの使用を許可すると、ECSはシステムディスク、データディスク、スナップショット、およびイメージを暗号化および保護できます。 たとえば、ECSインスタンスを起動するには、システムディスクとデータディスクの両方を復号化する必要があります。 また、暗号化されたディスクから作成されたスナップショットを暗号化する必要があります。 これにより、KMSを使用してECSインスタンスとストレージリソースのセキュリティを強化できます。 | |
永続ストレージ | KMSのクライアント側暗号化機能またはSSE機能を使用して、OSSに保存されているデータのセキュリティを確保します。 AES (Advanced Encryption Standard) およびSMアルゴリズムがサポートされています。 | Alibaba Cloudが提供する永続ストレージサービスは、分散冗長性を使用してデータストレージの信頼性を確保します。 これらのサービスには、ApsaraDB RDS、OSS、File Storage NASが含まれます。 KMSをこれらのサービスと統合して、データを保存する前にデータを暗号化すると、分散システムのデータの冗長性が制御可能になります。 読み取り要求については、まずデータをKMSで復号化する必要があります。 | なし |
その他のコンピューティングとストレージのシナリオ | KMSキーを使用して、クラウド内のストレージサービスのデータを保護します。 | 複数のAlibaba CloudサービスがKMSとの統合をサポートしています。 |
情報システムがコンプライアンス要件を満たすのを支援する
企業または組織は、暗号技術のコンプライアンス要件を評価するときに、次の状況に遭遇する可能性があります。
コンプライアンス規制は、関連する技術標準およびセキュリティ仕様を満たすために、情報システムが暗号技術および暗号技術によって保護されることを要求している。
暗号技術の使用は、コンプライアンス仕様では必須ではありません。 しかし、暗号化技術は、準拠プロセスをもたらす。 たとえば、暗号化テクノロジを使用すると、スコアリングルールでより高いスコアを取得できます。
次の表に、企業がコンプライアンス要件を満たすためにKMSが提供する機能を示します。
特徴 | 説明 | 関連ドキュメント |
暗号化コンプライアンス | KMSは、マネージドハードウェアセキュリティモジュール (HSM) をサポートします。 マネージドHSMは、規制当局によって認定されたサードパーティのハードウェアデバイスです。 HSMは承認済みセキュリティモードで実行されます。 管理されたHSMは、State Cryptography Administration (SCA) およびFederal Information Processing Standard (FIPS) 140-2 Level 3によって検証されています。 | |
キーローテーション | KMSは暗号化キーの自動ローテーションをサポートしています。 企業は、データセキュリティ仕様とベストプラクティスを満たすようにカスタムローテーションポリシーを構成できます。 | |
秘密の回転 | Secrets Managerを使用して、パスワードやAccessKeyペアなどのシークレットのローテーション要件を満たすことができます。 さらに、データ漏洩に対する効果的で信頼性の高い緊急対応を楽しむことができます。 | |
データの機密性 | KMSを使用すると、個人のプライバシーデータを暗号化および保護できます。 これにより、システムが攻撃されたときのプライバシー漏洩を防ぎ、データ保護に関連する法律や規制の要件を満たすことができます。 | なし |
データの整合性 | KMSはLog ServiceおよびActionTrailと統合されています。 KMSを使用してAlibaba Cloudサービスのログを暗号化し、ログの改ざんを防ぐことができます。 KMSは、ログデータの機密性と整合性も保証します。 | なし |
認証とアクセス制御 | KMSはResource Access Management (RAM) と統合されており、一元化された認証と承認を実装します。 | |
キー使用量の監査 | KMSは、すべてのAPI呼び出しレコードをActionTrailに保存します。これにより、キーの使用に関するコンプライアンス監査を実行できます。 |
ISVにサードパーティの暗号化ソリューションを提供する
ISVとして、KMSをサードパーティのデータセキュリティソリューションとして統合して、サービス内の顧客のデータを保護できます。 顧客がKMSでキーを管理し、ISVにこれらのキーの使用を許可すると、KMSはISVと顧客の間のサードパーティのセキュリティ保護システムとして機能します。 顧客とISVは連携してシステムのセキュリティを確保できます。
ロール | 説明 | 関連ドキュメント |
顧客管理者 | 管理者はKMSでキーを生成し、キーのライフサイクルを管理します。 管理者はRAMを使用してキーの権限を管理できます。 管理者は、Alibaba Cloudアカウント間のリソース承認などの方法を使用して、ISVがKMSで指定されたキーを使用できるようにすることができます。 | |
ISV | ISVは、指定されたキーを使用して、KMSを統合してデータを暗号化および保護します。 | |
顧客監査人 | 監査人はActionTrailを使用してKMSのキーの使用記録を監査します。 |