クラウド上の安全で信頼性の高いキーライフサイクル管理

Alibaba Cloud Key Management Service (KMS) は、安全かつコンプライアンス要件を満たした鍵管理および暗号化サービスで機密データ資産の暗号化と保護を支援します。KMS は Alibaba Cloud のさまざまなサービスと統合されており、クラウド上のデータの暗号化と分散環境の制御が可能です。KMS では ActionTrail による鍵の使用ログやカスタムキーローテーションといった機能や Level 3 の FIPS 140-2 等の関連する検証に合格した HSM を利用でき、規制およびコンプライアンス要件への対応を支援します。

フルマネージド型

KMS は、キーの管理と暗号化のサービスを提供します。 ユーザーがキーのライフサイクルと権限を管理し、そのキーを暗号化と署名に使用する一方で、Alibaba Cloud は暗号化のインフラストラクチャを完全に管理し、サービスの可用性、セキュリティ、信頼性を保証します。

可用性、信頼性、および弾力性

KMS は、各リージョンのアベイラビリティーゾーン全体の冗長暗号化モジュールを使用し、低遅延でリクエストを処理し、また、作成が必要なキーの数に応じて拡張が可能です 。 ユーザー自身のキーを KMS に取り込み、そのコピーをオフラインにしておくと耐久性が向上します。

セキュリティとコンプライアンス

KMS は、安全な設計とレビューを通じて Alibaba Cloud 上でユーザーの鍵を厳重に保護します。KMS は Level 3 の FIPS 140-2 Level 3 等の関連する検証に合格したマネージド HSM を提供しており、カスタムキーローテーションポリシーの設定や RAM での権限管理、ActionTrail による鍵の使用状況の追跡といった機能により、規制およびコンプライアンス要件を迅速に満たせるようにユーザーを支援します。ActionTrail のイベントは、OSS や Log Service と連携させ、SIEMソリューションと統合し、より詳細な分析と脅威の検知を行うことも可能です。

統合クラウドサービスのためのデータ暗号化

KMS は、ECS、RDS、OSS、NAS、MaxCompute など、Alibaba Cloud のサービスと幅広く統合されています。KMS を使用すると、最小限のキー管理コストでこれらのサービスのデータを暗号化し、分散型のコンピューティングおよびストレージの環境を管理できます。OSS SSE やデータベース TDE などのサーバーサイドの暗号化の場合は、KMS と RAM により暗号化の動作を管理できます。一方、Alibaba Cloud は、暗号化ワークロードの複雑な処理と課金処理を実行します。

カスタムの暗号化とデジタル署名

KMS は、簡素化された暗号化と HSM API をカプセル化し、統合化されたセキュリティとコンプライアンスのためにアプリケーション内のデータを容易に暗号化して、攻撃者が狙う機密データの攻撃対象領域をさらに削減します。 重要データの整合性を確保するために、デジタル署名に非対称キーを使用することも可能です。

コスト効率

KMS では、使用したリソースの分だけ課金されるため、HSM を購入する必要がなく、ハードウェアの継続的な運用、パッチ適用、交換に関連するコストが不要になります。 KMS を使用すると、キー管理インフラストラクチャの構築と保守を自社で行う場合に比べてそのコストが削減されます。

特徴

包括的な管理機能

KMS は、あらゆるニーズを満たす豊富なキー管理機能を提供します。

KMS で生成されたキー、または外部ソースからインポートされたキー

KMS でキーを生成できます。また、ユーザー自身のキー (BYOK) を管理対象の HSM にインポートすることも可能です。 BYOK の場合は、キーのコピーをオフラインでも保有できます。 マネージド HSM では、インポートされたキーがエクスポートされないことを保証します。

キーライフサイクルの管理と自動キーローテーション

キーの有効化や無効化、およびキー削除の定期的なサイクルをスケジュールできます。 BYOK の場合、キーはいつでも削除可能で、自動的に有効期限切れとするポリシーを設定することも可能です。 KMS を使って暗号化キーを定期的に自動でローテーションするカスタムのローテーションポリシーを設定し、それによってキーのセキュリティを強化できます。

認証、承認、および監査 (AAA)

RAM を使用して KMS のユーザー認証および承認のポリシーを管理できます。 ActionTrail を使用してキーの使用状況の追跡と監査が可能で、長期保存、データ分析、SIEM 統合といった広範なシナリオで、OSS やログサービスにキーの使用状況のログを保存することも可能です。

フルマネージド型 HSM

マネージド HSM は、セキュリティレベルの高いキー保護メカニズムを提供します。

HSM の認証とコンプライアンス

KMS は、FIPS 140-2 レベル 3 の認証を受けた HSM を提供し、FIPS 認証のレベル 3 モードで動作します。また、各地域の規制要件に準拠するために、関連する認証を受けた HSM を提供します。

安全なキー生成

マネージド HSM は、ライセンスされた安全な乱数生成アルゴリズムを使用します。 このアルゴリズムでは、高エントロピーのシードを使用してキーの要素を生成します。 これによって、悪意のある第三者によるキーの回復や予測から保護します。

キーのハードウェア保護

マネージド HSM では、ハードウェアメカニズムで KMS のキーを保護します。 キーのプレーンテキストは、キーの運用のために HSM 内でのみ処理され、HSM のハードウェアセキュリティ境界内で保持されます。

他の Alibaba Cloud サービスとの統合

KMS を複数の Alibaba Cloud サービスと統合すると、ネイティブの暗号化エクスペリエンスと高度なセキュリティ機能が提供できます。

エントリーレベルのデフォルト暗号化

KMS を使用すると、各クラウドサービスに専用の暗号化キーを自動で管理できます。 デフォルトでは、使用する専用キーのライフサイクルと承認ポリシーをクラウドサービス側で気にする必要はありません。

暗号化キーのソースのオプション

KMS でキーを作成するか、外部からキーマテリアルをインポートし、ユーザーが管理するキーをデータ暗号化の保護のためにクラウドサービスが使用することを承認できます。 したがって、キーの権限およびライフサイクルを管理することで、キーを完全に管理できます。

クラウドサービスによるキー使用の監査

サービスで管理されたキーかユーザーが管理するキーかに関わらず、クラウドサービス側が KMS API 処理を呼び出すことで、ユーザーの代わりにキーの使用状況を監査できます。

シンプルで効果的な暗号化処理

KMS は抽象的な暗号化の概念を活用し、単純な暗号化処理用 API を提供します。

エンベロープ暗号化

KMS に組み込まれているエンベロープ暗号化を使ってセカンダリキーを生成し、1 回の API 呼び出しで CMK を暗号化できます。

AEAD

KMS は、 関連データ付きの認証済み暗号 (AEAD) をカプセル化します。 暗号化コンテキストを使って、暗号化されたデータの整合性と信頼性を強化できます。

デジタル署名の検証

KMS は非対称キーをホストし、非対称キーに基づくデジタル署名の検証アルゴリズムを提供します。 KMS は、ID 認証、コード署名、ブロックチェーンなどの幅広いシナリオで使用できます。

用途の提案

Alibaba Cloud サービスに保存されているデータの暗号化 / 透過的なデータ暗号化
データフィールドの暗号化
AK / SK シークレットの管理
キーのバックアップと復元
ハードウェア KMS
使用シナリオ Elastic Compute Service (ECS)、ApsaraDB RDS、Object Storage Service (OSS) など、80 以上の Alibaba Cloud サービスに適用 ファイル、データフィールド、証明書チェーンの暗号化に適用 AK および SK シークレット、トークン、データベースアカウントのパスワード、およびその他のシークレットの管理に適用 世界中のリージョンでのキーとシークレットのバックアップに適用 Federal Information Processing Standards (FIPS) 140-2 レベル 3 で検証済みのハードウェアキー管理サービスに適用
暗号化方法 Alibaba Cloud サービスに保存されているデータの暗号化または透過的なデータ暗号化 アプリケーションの暗号化 アプリケーションの暗号化 N/A アプリケーションの暗号化、Alibaba Cloud サービスに保存されたデータの暗号化、または透過的なデータ暗号化
データアクセス特性 クラウドサービスが呼び出すリアルタイムアクセス リアルタイムアクセス、キャッシュアクセス リアルタイムアクセス アーカイブ後のリアルタイムアクセス リアルタイムアクセス
処理パフォーマンス 制限なし 100,000 QPS 以上 100,000 QPS 以上 N/A 100,000 QPS 以上
SDK を統合する必要性の有無 いいえ はい はい いいえ はい
サポートされる SDK 開発言語 N/A Java、Go、PHP、Python... Java、Go、PHP、Python... N/A Java、Go、PHP、Python...
Terraform のサポート はい はい はい いいえ いいえ
SLA 特定のクラウドサービスのサービスレベル契約 (SLA) の対象 99.95% 99.95% 99.9999% 99.95%
課金項目 無料 QPS、キー数、VPC 数... カスタマーマスターキー (CMK) に基づく暗号化後のシークレット数および QPS に基づいて課金 バックアップ期間 QPS、VPC 数、ハードウェアセキュリティモジュール (HSM) 数...
料金 1 か月あたり 0.0 USD 1 か月あたり 500.0 USD 以上 1 か月あたり 550.0 USD 以上 0~6 日の場合は無料
7 日以上の場合は 1 か月あたり 12.5 USD
1 か月あたり 1,799.0 USD 以上
購入リンク 無料でご利用いただけます ソフトウェアキー 証憑管理者 鍵バックアップ ハードウェアキー管理

シナリオ

高品質なサポート

1 対 1 のプリセールスコンサルティング、24 時間体制のテクニカルサポート、迅速な応答、チケット増量

1 対 1 のプリセールス
コンサルティング

経験豊富なクラウドエキスパートによるコンサルティング。 詳細を見る

24 時間体制の
テクニカルサポート

週 5 日 10 時間から 24 時
間 365 日にサービス時間を
延長。 詳細を見る

各四半期に 6 枚の無料
チケット

無料チケットの数を、四半期ごとに 3 枚から 6 枚に倍増。 詳細を見る

迅速な応答

販売後の応答時間を 36 時間から 18 時間に短縮。詳細を見る

マネージドのハードウェアセキュリティモジュール (HSM) の利用

phone お問い合わせ