マネージドHSMは、Alibaba Cloudが提供する認定ハードウェアセキュリティモジュール (HSM) に簡単にアクセスできるようにするためのKey Management Service (KMS) の重要な機能です。
HSMは、暗号操作を実行し、キーを生成および格納する高度に安全なハードウェアデバイスである。 最も機密性の高いAlibaba Cloudワークロードとアセットのキーは、Alibaba Cloudで管理されているHSM (マネージドHSMと呼ばれます) でホストできます。
サポートするリージョン
次のリージョンで Managed HSM を使用できます。 この機能は、今後より多くのリージョンで利用できるようになる予定です。
リージョン | 都市 | 認証タイプ | リージョン ID |
中国 (北京) | Beijing | 国家暗号管理 (SCA) 認定 | cn-beijing |
中国 (張家口) | 張家口 | SCA 認証 | cn-zhangjiakou |
中国 (杭州) | 杭州 | SCA 認証 | cn-hangzhou |
中国 (上海) | 上海 | SCA 認証 | cn-shanghai |
中国 (深セン) | 深セン | SCA 認証 | cn-shenzhen |
中国 (香港) | 香港 | 連邦情報処理基準 (FIPS) 140-2レベル3 | cn-hongkong |
シンガポール | シンガポール | FIPS 140-2 Level 3 | ap-southeast-1 |
マレーシア (クアラルンプール) | マレーシア (クアラルンプール) | FIPS 140-2 Level 3 | ap-southeast-3 |
インドネシア (ジャカルタ) | ジャカルタ | FIPS 140-2 Level 3 | ap-southeast-5 |
米国 (バージニア) | バージニア | FIPS 140-2 Level 3 | us-east-1 |
コンプライアンス
マネージドHSMは、規制要件を満たすのに役立ちます。 Alibaba Cloudは、ローカル市場ごとの異なる規制要件に基づいて、さまざまなサードパーティ組織によって認定されたHSMを提供しており、ローカライズ要件と国際化要件の両方を満たしています。
中国本土のリージョンの場合:
SCA認証: Alibaba Cloudで管理されるHSMは、SCAが指定する機関の認証に合格しました。
SCAコンプライアンス: Alibaba Cloudで管理されるHSMは、SCAの関連技術要件と仕様に準拠し、Alibaba Cloudユーザーに国内標準と産業標準の両方に準拠した商用暗号アルゴリズムを提供します。
中国本土以外のリージョンの場合:
ハードウェアのFIPS検証: Alibaba Cloudで管理されているHSMは、ハードウェアとファームウェアを含め、FIPS 140-2レベル3検証に合格しました。 National Institute of Standards and Technology (NIST) によって発行された証明書の詳細については、証明書 #3254をご覧ください。
FIPS 140-2レベル3コンプライアンス: Alibaba CloudマネージドHSMは、FIPS承認レベル3の運用モードで実行されます。
PCI DSS: Alibaba Cloudで管理されるHSMは、Payment Card Industry Data Security Standard (PCI DSS) の要件に準拠しています。
高度なセキュリティ保証
ハードウェア保護
マネージドHSMは、安全なハードウェアメカニズムを使用して、KMSのキーを保護します。 CMKの平文キーマテリアルは、キー操作のためにHSM内でのみ処理されます。 また、HSM のハードウェアセキュリティ境界内に保持されます。
安全なキー生成
ランダム性は、キーの暗号化強度にとって重要です。 マネージドHSMは、乱数生成アルゴリズムを使用して鍵材料を生成する。 アルゴリズムは安全でライセンスされており、高いシステムエントロピシードを持っています。 これにより、攻撃者によるキーの復元や予測からキーを保護します。
運用のしやすさ
HSMハードウェアはAlibaba Cloudによって完全に管理されます。 これにより、次のハードウェア管理操作で発生するコストを削減できます。
ハードウェアのライフサイクル管理
HSM クラスター管理
高可用性と拡張性の管理
システムパッチ
ほとんどディザスタリカバリ操作
統合のしやすさ
ネイティブキー管理機能により、次の機能を使用できます。
キーバージョン管理
自動キーローテーション
リソースタグ管理
制御可能な許可
これらの機能により、アプリケーションとHSMの迅速な統合、ECS、ApsaraDB for RDS、およびその他のクラウドサービスとManaged HSMの統合が可能になります。研究開発費を支払うことなく、保存時にクラウドデータの暗号化を実装できます。
キー制御
Managed HSM を使用すると、クラウド上の暗号化キーを適切に制御し、最も機密性の高いコンピューティングタスクと資産をクラウドに移動できます。
マネージドHSMと BYOK (自分のキーを持ってくる) の両方を使用する場合、次の項目を完全に制御できます。
キーマテリアルの生成モード。
キーマテリアルの処理: マネージドHSMにインポートしたキーマテリアルは破棄できますが、エクスポートできません。
キーのライフサイクル。
キーの永続性。
費用対効果
クラウドコンピューティングの従量課金のメリットを享受できます。 オンプレミスHSMを使用してユーザーが作成した主要なインフラストラクチャと比較して、Managed HSMはハードウェア調達コスト、およびその後のR&DおよびO&Mコストを削減します。