Data Encryption Service是雲上的硬體加密解決方案,通過使用Data Encryption Service,您能運用多種密碼編譯演算法對雲上業務資料進行可靠的加解密運算,實現資料保護,同時滿足資料安全方面的監管合規要求。
概述
Data Encryption Service的服務底層使用通過FIPS 140-2 3級認證的密碼硬體,通過虛擬化技術,協助使用者滿足資料安全方面的監管合規要求,保護雲上業務資料的隱私性要求。藉助Data Encryption Service,使用者能夠對密鑰進行安全可靠的管理,也能使用多種密碼編譯演算法來對資料進行可靠的加解密運算。
Data Encryption Service可以協助您執行如下密碼計算:
產生、儲存、匯入、匯出和管理加密金鑰,包括對稱金鑰和非對稱金鑰對。
使用對稱和非對稱演算法加密和解密資料。
使用雜湊Function Compute訊息摘要和基於雜湊的訊息身分識別驗證代碼 (HMAC)。
對資料進行數位簽章和驗證簽名。
產生安全隨機資料。
密碼機
Data Encryption Service是密碼機的硬體加密模組虛擬化形成的資源,Data Encryption Service與硬體加密模組具有同樣的合規性,具備對資料的加解密運算能力。Data Encryption Service為您提供虛擬密碼機和專屬密碼機。密碼機的詳細參數,請參見密碼機類型。
虛擬密碼機
部署在多租戶環境,通常由多個使用者共用硬體資源,滿足國家密碼法要求及國際安全標準FIPS 140-2/3,適合中小企業或對效能要求不高的應用情境。支援的密碼機類型有:金融資料密碼機EVSM、通用資料密碼機GVSM、簽名驗證伺服器SVSM、通用密碼機FIPS。
專屬密碼機
硬體資源完全由單一使用者獨享,專有硬體資源確保了高輸送量和低延遲。提供最進階別的物理安全,防篡改設計,符合國際安全標準FIPS 140-2/3。適合大型企業、金融機構或對安全性、效能要求極高的情境。提供專業權威機構(國家密碼局/NIST( FIPS 140-2/3)/PCI HSM v3)認證的物理專屬獨享加密機。
應用情境
產品優勢
安全金鑰儲存區
使用硬體密碼機保護使用者密鑰,加密模組的硬體和韌體經過FIPS 140-2 3級認證。
安全的密鑰管理
裝置管理和密鑰系統管理權限分離。阿里雲只能管理密碼機硬體裝置,主要包括監控裝置可用性指標、開通服務等。密鑰完全由客戶管理,阿里雲沒有任何方法可以擷取客戶密鑰。
彈性擴充
在使用Data Encryption Service時,您可以根據實際情況,靈活地調整部署購買的密碼機的數量,通過負載平衡來滿足不同的加解密運算要求。
叢集高可用性
Data Encryption Service支援叢集管理的功能。您可以將購買的多個密碼機添加到一個叢集中,快速增加密碼機的高可用性,降低業務中斷及核心資料丟失風險。
便捷的雲上使用
藉助Data Encryption Service,您可以將購買的密碼機部署在您指定的VPC專用網路中,通過指定的私網IP地址進行安全管理和調用,便捷地與雲端服務器上的業務配合使用。
支援的地區和可用性區域
地區 | 地區ID | 可用性區域 |
中國香港 | cn-hongkong | 可用性區域B、可用性區域C |
新加坡 | ap-southeast-1 | 可用性區域A、可用性區域B |
沙特(利雅得) | me-central-1 | 可用性區域A、可用性區域B |
馬來西亞(吉隆坡) | ap-southeast-3 | 可用性區域A、可用性區域B |
使用限制
Data Encryption Service的使用限制如下表所示,表中配額暫不支援調整。
限制項 | 限制 |
一個加密機支援儲存的密鑰數量 | 3,300 |
一個加密機支援的使用者數量 | 1,024 |
使用者名稱的字元長度 | 31 |
使用者密碼的長度範圍 | 7~32 |
常見術語
密碼機執行個體
密碼機執行個體是密碼機的硬體加密模組虛擬化形成的資源。密碼機執行個體與硬體加密模組具有同樣的合規性,可以實現Data Encryption Service的所有功能,具備對資料的加解密運算能力。