Key Management Service是一個綜合的雲上資料加密服務,它提供Key Management Service、Data Encryption ServiceHSM,為您解決資料安全、密鑰安全、密鑰管理、憑據管理等問題。
產品簡介
Key Management Service提供安全合規的密鑰管理和憑據管理。它不僅支援雲產品服務端加密,還支援為業務應用提供符合國密標準的密鑰服務和簡便的加解密服務。此外,KMS允許將敏感性資料儲存為憑據,從而避免在應用中寫入程式碼憑據,降低敏感性資料泄露的風險。KMS協助您降低在密碼基礎設施、資料加解密產品和憑據管理產品上的採購、營運、研發開銷,以便您只需關注業務本身,是一種SaaS(Software as a Service,軟體即服務)化的服務。
Data Encryption ServiceHSM基於硬體密碼機提供雲上資料加解密服務,滿足中國內地監管要求及國際FIPS 140-2/3的安全合規監管要求,是一種IaaS(Infrastructure as a Service,基礎設施即服務)化的服務。
應用情境
Key Management Service
敏感性資料加密保護
您可以通過資料加密技術,保護雲上產生或儲存的敏感性資料。阿里雲支援您通過多種方式實現對敏感性資料的加密保護。
資訊系統滿足安全合規要求
企業或者組織在評估資訊系統的安全合規要求時,可能會遇到以下兩種情況:
安全規範要求使用密碼技術對資訊系統進行保護,並且所使用的密碼技術、密鑰管理設施必須滿足特定的技術標準和安全規範。
安全規範並不強制要求使用密碼技術,但使用密碼技術會對加快滿足規範的過程。例如:在打分制的規範中獲得更多的得分點。
ISV服務整合KMS憑據管理方案
使用者可在KMS中管理認證,並授權ISV服務使用憑據,KMS充當了ISV服務和使用者中間的第三方安全保護機制,使使用者和ISV服務可以各司其職,共同保證系統的安全性。
Data Encryption ServiceHSM
功能特性
Key Management Service
管理及使用密鑰
密鑰生命週期管理:確保密鑰在整個生命週期中的安全性,包括建立、儲存、分發、使用和銷毀。
密鑰輪換:提供自動或手動輪換密鑰,以提高安全性。
支援BYOK:匯入您自己的密鑰材料,為需要更高資料安全性和控制水平的企業提供了靈活且安全的選擇。
使用密鑰進行密碼運算操作:支援多種類型的對稱金鑰和非對稱金鑰,用於加密解密和簽名驗簽。
管理及使用憑據
憑據生命週期管理:確保憑據在整個生命週期中的安全性,包括建立、儲存、分發、使用和銷毀。
使用憑據:通過從KMS中擷取憑據值,避免使用者在應用中寫入程式碼敏感資訊,提高安全性。
多帳號資源共用:KMS執行個體的所有者帳號(資源所有者)可以將KMS執行個體共用給其他阿里雲帳號(資源使用者),資源使用者可以在KMS執行個體中建立密鑰和憑據,然後使用密鑰進行雲產品服務端加密或自建應用加密,使用憑據規避在代碼中寫入程式碼敏感資訊帶來的泄露風險。
備份管理:支援您購買備份額度後備份,也支援跨地區備份到其他KMS執行個體中。
存取控制:提供對密鑰的存取權限控制和審計功能,確保只有授權人員和系統可以存取金鑰。
日誌記錄:記錄密鑰和憑據的使用及訪問日誌,以便進行審計和監控。
Data Encryption ServiceHSM
支援共用虛擬密碼機和專屬密碼機:提供滿足國家密碼法要求及國際安全標準FIPS 140-2/3的密碼機,中小企業或對效能要求不高的情境下可以選擇共用虛擬密碼機,大型企業、金融機構或對安全性、效能要求極高的情境下可以選擇專屬密碼機。
密鑰管理:裝置管理和密鑰系統管理權限分離。阿里雲只能管理密碼機硬體裝置,主要包括監控裝置可用性指標、開通服務等。密鑰完全由客戶管理,阿里雲沒有任何方法可以擷取客戶密鑰。
使用密鑰加解密:使用HSM對應廠商提供的API進行加密、解密、簽名、驗證等操作。
資料備份恢複:您可以在誤操作後恢複本密碼機執行個體的資料,也可以將資料恢複到其他密碼機執行個體,達到密碼機執行個體之間資料複製的目的。
安全審計:將密碼機執行個體的運行資訊自動儲存到Object Storage Service中,並以特定的審計日誌格式進行持久化儲存,以滿足合規和審計需求。