密钥管理服务KMS(Key Management Service)具有广泛的应用场景,本文为您介绍KMS常见的应用场景。

典型场景

用户角色 诉求 典型场景 解决方案
应用开发者 保证应用系统中敏感数据的安全。 作为开发者,我的程序需要使用一些敏感的业务数据和运行数据。我希望敏感数据被加密保护,而加密密钥则通过KMS来保护。 敏感数据加密保护
IT运维人员 为部署在云上的IT设施提供安全的环境。 云上的IT设施与其他租户共享,我无法像传统自建机房那样,在云上建立物理的安全边界。但是我仍然需要为云上的计算与存储托管环境构建一套可信、可见及可控的安全机制。 控制云上计算与存储环境
首席安全官 保证信息系统的安全与合规。 作为首席安全官(CSO),我既需要满足一些合规标准中对密钥管理的直接要求,也需要利用密码技术去满足更多针对应用和信息系统安全的要求。 信息系统满足合规要求
服务提供商 使用第三方加密作为服务的安全能力。 作为ISV服务提供商,用户要求我们加密保护ISV服务中的用户数据。
  • 我们专注于服务的业务功能开发,不希望重复实现密钥的管理和分发功能。
  • 用户希望我们提供的数据加密保护能力是可控、可信的。
ISV的第三方加密方案

敏感数据加密保护

您可以通过数据加密,保护云上产生或存储的敏感数据。阿里云支持您通过多种方式实现对敏感数据的加密保护。

加密保护方式 诉求 说明 参考文档
信封加密 保护应用系统中敏感数据的安全。这些敏感数据需要高QPS加解密或者加密数据量过大无法使用直接加密方式。例如对您的客户的手机号、身份证号等敏感信息加密。 使用信封加密技术将主密钥存放在KMS中,只部署加密后的数据密钥。仅在需要使用数据密钥时,使用KMS获取数据密钥的明文,用于本地加解密业务数据。

您也可以使用封装了信封加密的加密SDK进行加密保护。

直接加密 保护应用系统中敏感数据的安全。这些敏感数据加解密QPS小于系统限流阈值而且数据大小小于等于6K。例如对您的应用配置AK、数据库账密等敏感信息加密。 调用KMS的加密API,使用主密钥直接加密敏感数据。 使用KMS主密钥在线加密和解密数据
服务端加密 为云上的IT设施数据安全的环境提供基础保障。例如:通过对象存储服务端加密,保护存储敏感数据的OSS桶或通过数据库透明数据加密(TDE),保护存储敏感数据的表。 如果您使用阿里云产品来保存数据,您可以使用云产品的服务端加密功能,更有效地对数据进行加密保护。 支持服务端集成加密的云服务
使用凭据管家 为您提供凭据的全生命周期管理和安全便捷的应用接入方式,帮助您规避在代码中硬编码凭据带来的敏感信息泄露风险。例如:您可以将口令、Token、SSH Key、AK等敏感数据托管到凭据管家,通过安全的接入方式进行管理。 将您的敏感信息托管到凭据管家,通过应用级别安全访问机制确保敏感信息访问安全。您也可以动态轮转凭据,避免数据泄露风险。

控制云上计算与存储环境

通过云产品集成KMS加密(服务端集成加密)的方式,阿里云为您提供了控制云上计算与存储环境的能力,在分布式多租户系统中隔离保护您的计算与存储资源。您可以通过控制KMS主密钥的生命周期、使用状态或访问控制的权限策略,控制分布式计算环境或存储环境。您也可以配合操作审计服务,检查与审计KMS密钥的使用情况。控制云上计算与存储环境有以下几种常见应用场景:

应用场景 诉求 说明 参考文档
云服务器ECS场景 通过KMS密钥加密方式保护您在云上ECS系统盘、数据盘、快照及镜像数据安全,适用于数据安全和法规合规等场景。 通过授权ECS使用KMS密钥,帮助ECS加密保护系统盘、数据盘、快照及镜像。例如:启动ECS实例需要同时解密系统盘和数据盘,从加密盘制作的快照也需要被加密。增加的这些限制措施,使ECS实例和存储资源的使用,都通过KMS得到了安全加固。 加密概述
持久化存储场景 通过KMS密钥客户端加密或服务端加密方式保护您在OSS存储数据安全,支持国密和AES两种加密方式。 阿里云提供的持久化存储类服务(例如:RDS、OSS或NAS等),通过分布式多冗余的方式,保证数据存储的可靠性。这些服务通过集成KMS对数据进行落盘前的加密,让您获得对分布式系统中数据冗余的可控与可见性,即任何读取的请求都需要首先经过KMS对数据进行解密。
其他计算与存储场景 通过KMS密钥加密方式保护您在云上存储产品数据安全。 多种云服务均支持服务端集成加密。 支持服务端集成加密的云服务

信息系统满足合规要求

企业或者组织在评估合规标准对密码技术的要求时,可能会遇到以下两种情况:

  • 合规规范要求使用密码技术对信息系统进行保护,并且所使用的密码技术必须满足特定的技术标准和安全规范。
  • 合规规范对密码技术并不强制要求使用,但使用密码技术会对加快满足合规的过程。例如:在打分制的规范中获得更多的得分点。

KMS提供以下方面的能力,帮助企业满足合规要求:

功能 说明 参考文档
密码合规 KMS支持托管密码机。托管密码机使用了通过监管机构认证的第三方硬件设备,在许可的安全模式下运行。针对不同市场,托管密码机分别获得了国密局的检测和认证,以及FIPS 140-2第三级的检测认证。
密钥轮转 KMS内置了加密密钥的自动轮转功能,企业可以自定义轮转策略,快速满足数据安全规范和最佳实践。
凭据轮转 通过使用凭据管家,轻松满足对口令、访问密钥等凭据的轮转要求,同时带来高效而可靠的数据泄露应急处理能力。 轮转通用凭据
数据保密性 通过KMS对个人隐私进行加密保护,防止个人隐私在攻击场景下泄露,满足数据保护相关法律法规要求。
数据完整性 KMS通过集成日志服务和操作审计服务,对云上日志进行防止篡改的加密保护,同时满足对日志数据的保密性和完整性保护。
身份认证和访问控制 KMS通过接入访问控制(RAM),实现统一的认证和授权管理。 使用RAM实现对资源的访问控制
审计密钥的使用 KMS将所有的API调用记录存储到操作审计(ActionTrail),操作审计可以对密钥的使用情况进行合规性审计。 使用操作审计查询密钥管理服务的操作事件

ISV的第三方加密方案

如果您是ISV服务提供商,您可以集成KMS,将KMS作为第三方的数据安全解决方案,保护您提供的服务中的用户数据。通过允许用户在KMS中管理密钥,并授权ISV服务使用这些密钥,KMS充当了ISV服务和用户中间的第三方安全保护机制,用户和ISV服务可以各司其职,共同保证系统的安全性。

用户角色 说明 参考文档
用户的管理员 在KMS中生成密钥并管理密钥的生命周期。在访问控制(RAM)中管理密钥使用的权限,通过跨阿里云账号的资源授权等方式,允许ISV服务使用KMS中的指定密钥。 跨阿里云账号的资源授权
ISV服务 通过集成KMS的API使用用户指定的密钥,对ISV服务中的数据进行加密保护。 API概览
用户的审计员 通过操作审计(ActionTrail),对ISV服务每次访问KMS使用密钥的行为进行事后审计。 使用操作审计查询密钥管理服务的操作事件