Cloud Hardware Security Module (CloudHSM) adalah solusi enkripsi berbasis cloud yang menggunakan perangkat keras. CloudHSM memungkinkan Anda menggunakan berbagai algoritma enkripsi untuk mengenkripsi dan mendekripsi data bisnis Anda di cloud secara andal, sehingga membantu memastikan perlindungan data dan memenuhi persyaratan kepatuhan regulasi terkait keamanan data.
Ikhtisar
CloudHSM menggunakan hardware security modules (HSMs) yang telah disertifikasi oleh State Cryptography Administration atau FIPS 140-2 Level 3. Dengan memanfaatkan teknologi virtualisasi, CloudHSM membantu Anda memenuhi persyaratan kepatuhan regulasi terkait keamanan data serta melindungi privasi data bisnis Anda di cloud. CloudHSM memungkinkan pengelolaan kunci secara aman dan penggunaan berbagai algoritma enkripsi untuk enkripsi dan dekripsi data yang andal.
CloudHSM dapat melakukan komputasi kriptografi berikut:
Membuat, menyimpan, mengimpor, mengekspor, dan mengelola kunci enkripsi, termasuk kunci simetris dan pasangan kunci asimetris.
Menggunakan algoritma simetris dan asimetris untuk mengenkripsi dan mendekripsi data.
Menggunakan fungsi hash untuk menghitung ringkasan pesan dan kode autentikasi pesan berbasis hash (HMAC).
Menandatangani data secara digital dan memverifikasi signature.
Membuat data acak yang aman.
HSMs
CloudHSM menyediakan resource yang divirtualisasi dari modul kriptografi perangkat keras HSM. Sebuah instans CloudHSM menawarkan tingkat kepatuhan yang setara dengan modul kriptografi perangkat keras dan mampu melakukan enkripsi serta dekripsi data. CloudHSM menyediakan HSM virtual dan HSM spesifikasi khusus. Untuk informasi lebih lanjut mengenai parameter HSM, lihat data performa instans HSM.
Virtual HSMs
Virtual HSM diterapkan dalam lingkungan multi-tenant di mana resource perangkat keras dibagi oleh beberapa pengguna. Virtual HSM memenuhi persyaratan Undang-Undang Kriptografi RRT dan telah disertifikasi sesuai standar keamanan internasional FIPS 140-2 Level 3. Virtual HSM cocok untuk usaha kecil-menengah atau aplikasi yang tidak memerlukan performa tinggi. Jenis HSM yang didukung adalah:
HSM di Daratan Tiongkok: HSM seri SM tujuan umum.
HSM di luar Daratan Tiongkok: HSM FIPS tujuan umum.
Dedicated HSMs
Dedicated HSM menyediakan resource perangkat keras yang digunakan secara eksklusif oleh satu pengguna. Resource perangkat keras khusus ini menjamin throughput tinggi dan latensi rendah. Dedicated HSM menyediakan tingkat keamanan fisik tertinggi dengan desain proteksi anti-pemalsuan dan mematuhi standar keamanan internasional FIPS 140-2/3. Dedicated HSM cocok untuk perusahaan besar, lembaga keuangan, atau skenario yang memerlukan keamanan dan performa sangat tinggi. HSM ini merupakan HSM fisik yang didedikasikan secara eksklusif dan telah disertifikasi oleh otoritas profesional seperti State Cryptography Administration, National Institute of Standards and Technology (NIST) (tersertifikasi FIPS 140-2 Level 3), dan PCI HSM v3.
Skenario
Migrasi aplikasi HSM dari pusat data on-premises ke server cloud
Saat memigrasikan aplikasi HSM on-premises ke server cloud, Anda dapat menggunakan CloudHSM sebagai pengganti HSM on-premises untuk melakukan enkripsi, dekripsi, penandatanganan, dan verifikasi signature guna melindungi keamanan data Anda di cloud.
Menyediakan enkripsi dan dekripsi yang sesuai regulasi untuk aplikasi terenkripsi
Contohnya, Anda dapat menggunakan CloudHSM untuk mengenkripsi dan mendekripsi data sensitif pada berbagai aplikasi, termasuk Alibaba Cloud dedicated KMS, database, serta aplikasi enkripsi penyimpanan file.
Mendukung SSL offloading untuk situs web HTTPS
GVSM di Daratan Tiongkok menyediakan fitur SSL offloading. Fitur ini mengurangi beban performa pada server dan meningkatkan kecepatan respons akses client. CloudHSM juga menggunakan HSM untuk menghasilkan kunci privat sertifikat, sehingga memperkuat perlindungan kunci privat dan mencegah kebocoran dari server, serta meningkatkan keamanan.
Proteksi kunci privat sertifikat
Untuk sertifikat digital yang dikeluarkan oleh certification authorities (CAs), Anda dapat menyimpan kunci privat sertifikat di dalam HSM dan menggunakan HSM tersebut untuk melakukan operasi penandatanganan, sehingga melindungi keamanan kunci privat sertifikat Anda.
Integrasi Oracle TDE
CloudHSM terintegrasi dengan database Oracle untuk menyediakan fitur transparent data encryption (TDE). TDE menyimpan kunci enkripsi di HSM di luar database dan menggunakan kunci tersebut untuk mengenkripsi data sensitif dalam file data, sehingga menjamin keamanan data sensitif.
Enkripsi data sensitif
Pada industri seperti layanan publik, e-commerce, dan keuangan, Anda dapat mengintegrasikan CloudHSM dengan aplikasi untuk mengenkripsi, memproses, atau menyimpan data pengguna sensitif guna memenuhi persyaratan keamanan dan kepatuhan.
Manfaat
Memenuhi persyaratan kepatuhan regulasi
HSM di Daratan Tiongkok telah lulus inspeksi dan sertifikasi dari State Cryptography Administration serta mematuhi spesifikasi teknis industri kriptografi. Spesifikasi tersebut mencakup GM/T 0028-2014 Security Technical Requirements for Cryptographic Modules, GM/T 0030-2014 Technical Specification for Server HSM.
HSM di luar Daratan Tiongkok tersertifikasi FIPS 140-2 Level 3.
Antarmuka dan algoritma enkripsi berstandar industri
CloudHSM mendukung berbagai antarmuka dan algoritma enkripsi berstandar industri. Untuk informasi lebih lanjut mengenai spesifikasi antarmuka dan algoritma enkripsi yang didukung CloudHSM, lihat data performa instans HSM.
Manajemen Kunci yang Aman
CloudHSM memisahkan izin untuk manajemen perangkat dan manajemen kunci. Alibaba Cloud hanya dapat mengelola perangkat keras HSM, yang terutama melibatkan pemantauan ketersediaan perangkat dan aktivasi layanan. Kunci dikelola secara eksklusif oleh Anda, dan Alibaba Cloud tidak dapat mengakses kunci Anda.
Skalabilitas
Dengan CloudHSM, Anda dapat menyesuaikan jumlah HSM yang diterapkan secara fleksibel sesuai kebutuhan bisnis Anda. Anda dapat menggunakan load balancing untuk memenuhi berbagai kebutuhan enkripsi dan dekripsi.
Ketersediaan tinggi kluster
CloudHSM mendukung manajemen kluster. Dengan menambahkan beberapa HSM ke dalam satu kluster, Anda dapat meningkatkan high availability serta mengurangi risiko gangguan bisnis dan kehilangan data inti.
Penggunaan cloud yang mudah
Dengan CloudHSM, Anda dapat menerapkan HSM yang telah dibeli di virtual private cloud (VPC) yang Anda tentukan. Anda dapat menggunakan Alamat IP pribadi tertentu untuk manajemen dan panggilan yang aman, serta dengan mudah mengintegrasikan HSM tersebut dengan aplikasi bisnis Anda di server cloud.
Didukung Wilayah dan zona
Tiongkok Daratan
Wilayah
ID Wilayah
Zona
Tiongkok (Hangzhou)
cn-hangzhou
Zona A, Zona G
Tiongkok (Shanghai)
cn-shanghai
Zona A, Zona B, Zona F
Tiongkok (Beijing)
cn-beijing
Zona A, Zona F, Zona K
Tiongkok (Shenzhen)
cn-shenzhen
Zona A, Zona E
Tiongkok (Chengdu)
cn-chengdu
Zona A, Zona B
Di Luar Tiongkok Daratan
Wilayah
ID Wilayah
Zona
Tiongkok (Hong Kong)
cn-hongkong
Zona B, Zona C
Singapura
ap-southeast-1
Zona A, Zona B
Malaysia (Kuala Lumpur)
ap-southeast-3
Zona A, Zona B
SAU (Riyadh - Partner Region)
me-central-1
Zona A, Zona B
Indonesia (Jakarta)
ap-southeast-5
Zona A, Zona B
Glosarium
Instance HSM
Instans HSM adalah resource yang divirtualisasi dari modul kriptografi perangkat keras HSM. Instans HSM menawarkan tingkat kepatuhan yang setara dengan modul kriptografi perangkat keras, mengimplementasikan semua fitur CloudHSM, serta melakukan enkripsi dan dekripsi data.
Kartu autentikasi (USB Key)
Kredensial identitas unik untuk CloudHSM. Kartu ini digunakan bersama tool manajemen client HSM untuk mengelola kunci dan hanya disediakan untuk HSM di Daratan Tiongkok.
Layanan kluster
CloudHSM menyediakan layanan kluster yang mengasosiasikan sekelompok instans HSM yang berada di wilayah yang sama tetapi di zona berbeda dan digunakan untuk tujuan bisnis yang sama. Layanan ini memungkinkan manajemen terpadu serta menyediakan ketersediaan tinggi, load balancing, dan skalabilitas horizontal untuk komputasi kriptografi dalam aplikasi bisnis. Sebuah kluster terdiri dari satu instans HSM utama dan beberapa instans HSM non-utama. Instans HSM dalam satu zona di dalam kluster menggunakan subnet yang sama.