All Products
Search

This Product

    Key Management Service:Apa itu Cloud Hardware Security Module?

    Document Center

    Key Management Service:Apa itu Cloud Hardware Security Module?

    Last Updated:Mar 18, 2026

    Cloud Hardware Security Module (HSM) adalah solusi enkripsi berbasis cloud yang menggunakan berbagai algoritma enkripsi untuk mengenkripsi dan mendekripsi data Anda secara andal. Layanan ini melindungi data Anda serta membantu memenuhi persyaratan kepatuhan regulasi terkait keamanan data.

    Ikhtisar

    Cloud Hardware Security Module (HSM) dibangun di atas modul keamanan perangkat keras yang telah disertifikasi oleh State Cryptography Administration atau divalidasi sesuai standar FIPS 140-2 Level 3. Layanan ini memanfaatkan teknologi virtualisasi untuk membantu Anda memenuhi persyaratan kepatuhan regulasi terkait keamanan data serta melindungi privasi data bisnis Anda di cloud. Dengan Cloud HSM, Anda dapat mengelola kunci secara aman dan andal serta menggunakan berbagai algoritma enkripsi untuk melakukan enkripsi dan dekripsi data yang aman dan andal. Cloud HSM mendukung komputasi kriptografi berikut:

    • Membuat, menyimpan, mengimpor, mengekspor, dan mengelola kunci enkripsi, seperti kunci simetris dan pasangan kunci asimetris.

    • Menggunakan algoritma simetris dan asimetris untuk mengenkripsi dan mendekripsi data.

    • Menggunakan fungsi hash untuk menghitung message digest dan kode autentikasi pesan berbasis hash (HMACs).

    • Menandatangani data secara digital dan memverifikasi signature.

    • Menghasilkan data acak yang aman secara kriptografi.

    Penting

    HSM menyediakan layanan konsultasi teknis untuk inisialisasi perangkat, konfigurasi kluster, pemantauan, dan integrasi SDK. Layanan ini juga menyediakan sertifikat sertifikasi produk kriptografi komersial untuk perangkat HSM. Namun, layanan ini tidak mencakup dokumentasi rinci dari lembaga penilaian keamanan aplikasi kriptografi komersial pihak ketiga. Untuk informasi lebih lanjut, hubungi layanan penilaian kriptografi komersial Alibaba Cloud public cloud.

    Perangkat HSM

    HSM adalah resource virtual yang dibuat dari modul kriptografi perangkat keras suatu perangkat HSM. HSM memiliki status kepatuhan yang sama dengan perangkat HSM fisik dan mendukung enkripsi serta dekripsi data secara penuh. HSM menawarkan Virtual Security Modules (VSMs) dan Dedicated HSMs. Untuk spesifikasi lengkapnya, lihat Data performa mesin kriptografi virtual.

    Mesin Kriptografi Virtual

    VSM berjalan di lingkungan multi-tenant tempat resource perangkat keras dibagi oleh beberapa pengguna. VSM mematuhi Undang-Undang Kriptografi Republik Rakyat Tiongkok dan telah divalidasi sesuai standar FIPS 140-2 Level 3. VSM cocok untuk usaha kecil dan menengah atau aplikasi dengan kebutuhan performa tingkat menengah. Jenis VSM yang didukung meliputi:

    • VSM di Tiongkok daratan: General-purpose SM-compliant VSM.

    • VSM luar Tiongkok daratan: General FIPS-compliant VSMs.

    Dedicated HSMs

    Dedicated HSM mengalokasikan resource perangkat keras secara eksklusif untuk satu pengguna, sehingga menjamin throughput tinggi dan latensi rendah. Dedicated HSM menyediakan tingkat keamanan fisik tertinggi dengan desain tahan-tamper serta mematuhi standar FIPS 140-2 dan FIPS 140-3. Dedicated HSM cocok untuk perusahaan besar, institusi keuangan, atau skenario yang memerlukan tingkat keamanan dan performa tertinggi. Perangkat ini telah disertifikasi oleh lembaga otoritatif seperti State Cryptography Administration, NIST (FIPS 140-2 Level 3), dan PCI HSM v3.

    Skenario

    • Migrasi aplikasi HSM dari pusat data on-premises ke server cloud

      Saat memigrasikan aplikasi HSM pusat data on-premises Anda ke Elastic Compute Service, Anda dapat mengganti HSM pusat data on-premises dengan Cloud Hardware Security Module (HSM) untuk melakukan enkripsi, dekripsi, penandatanganan, verifikasi signature, dan operasi lainnya guna melindungi data cloud Anda.

    • Menyediakan enkripsi dan dekripsi yang sesuai regulasi untuk aplikasi

      Sebagai contoh, Anda dapat menggunakan HSM untuk mengenkripsi dan mendekripsi data sensitif dalam sistem aplikasi untuk Alibaba Cloud Dedicated KMS, data database untuk database dalam skenario enkripsi database, serta data dalam penyimpanan file dalam skenario enkripsi file.

    • Mendukung SSL offloading untuk situs web HTTPS

      GVSM di Tiongkok daratan menyediakan SSL offloading, yang mengurangi beban server dan meningkatkan waktu respons client. Selain itu, HSM menghasilkan kunci privat sertifikat, sehingga meningkatkan perlindungan kunci privat untuk mencegah kebocoran kunci privat dari server dan meningkatkan keamanan.

    • Melindungi kunci privat sertifikat

      Untuk sertifikat digital yang dikeluarkan oleh certification authorities (CAs), Anda dapat menyimpan kunci privat sertifikat tersebut di HSM dan menggunakan HSM untuk melakukan operasi penandatanganan. Hal ini melindungi keamanan kunci privat sertifikat Anda.

    • Integrasi Oracle Transparent Data Encryption (TDE)

      HSM terintegrasi dengan database Oracle untuk menyediakan Transparent Data Encryption (TDE). TDE menyimpan kunci enkripsi di HSM di luar database dan menggunakan kunci tersebut untuk mengenkripsi data sensitif dalam file data. Hal ini menjamin keamanan data sensitif.

    • Mengenkripsi data sensitif

      Pada industri seperti layanan publik, e-commerce, dan keuangan, Anda dapat mengintegrasikan HSM dengan aplikasi untuk mengenkripsi atau menyimpan data pengguna sensitif. Hal ini membantu Anda memenuhi persyaratan keamanan dan kepatuhan.

    Manfaat

    • Kepatuhan regulasi

      • VSM di Tiongkok daratan: Telah lulus sertifikasi dari State Cryptography Administration dan mematuhi spesifikasi teknis industri kriptografi. Spesifikasi tersebut mencakup GM/T 0028-2014 Security Requirements for Cryptographic Modules, GM/T 0030-2014 Specification for Server Cryptographic Machine.

      • VSM luar Tiongkok daratan: Divaildasi sesuai FIPS 140-2 Level 3.

    • Antarmuka dan algoritma enkripsi standar industri yang lengkap

      HSM mendukung berbagai antarmuka dan algoritma enkripsi standar industri. Untuk informasi selengkapnya tentang antarmuka dan algoritma yang didukung, lihat Data performa mesin kriptografi virtual.

    • Manajemen kunci yang aman

      Izin manajemen perangkat dan manajemen kunci dipisahkan. Alibaba Cloud hanya mengelola perangkat keras HSM, termasuk memantau ketersediaan perangkat dan mengaktifkan layanan. Anda memiliki kontrol penuh atas kunci Anda. Alibaba Cloud tidak dapat mengakses kunci Anda.

    • Skalabilitas elastis

      Anda dapat menyesuaikan jumlah HSM yang dibeli sesuai kebutuhan. Anda dapat menggunakan load balancing untuk memenuhi berbagai kebutuhan enkripsi dan dekripsi.

    • Ketersediaan tinggi kluster

      HSM mendukung manajemen kluster, yang memungkinkan Anda menambahkan beberapa HSM ke dalam satu kluster guna meningkatkan high availability serta mengurangi risiko gangguan layanan dan kehilangan data inti.

    • Mudah digunakan di cloud

      Anda dapat men-deploy HSM di Virtual Private Cloud (VPC) yang Anda tentukan. Anda kemudian dapat mengelola dan memanggilnya secara aman menggunakan Alamat IP pribadi. Hal ini memungkinkan integrasi tanpa hambatan dengan aplikasi berbasis cloud Anda.

    Wilayah yang didukung dan zona

    • Tiongkok daratan

      Wilayah

      ID Wilayah

      Zona

      China (Hangzhou)

      cn-hangzhou

      Zone A, Zone G

      China (Shanghai)

      cn-shanghai

      Zone A, Zone B, Zone F

      China (Beijing)

      cn-beijing

      Zone A, Zone F, Zone K

      China (Shenzhen)

      cn-shenzhen

      Zone A, Zone E

      China (Chengdu)

      cn-chengdu

      Zone A, Zone B

      China (Heyuan)

      cn-heyuan

      Zone A, Zone B

    • Luar Tiongkok daratan

      Wilayah

      ID Wilayah

      Zona

      China (Hong Kong)

      cn-hongkong

      Zone B, Zone C

      Singapore

      ap-southeast-1

      Zone A, Zone B

      Malaysia (Kuala Lumpur)

      ap-southeast-3

      Zone A, Zone B

      SAU (Riyadh - Partner Region)

      me-central-1

      Zone A, Zone B

      Indonesia (Jakarta)

      ap-southeast-5

      Zone A, Zone B

    Glosarium

    • Instans HSM

      Instans HSM adalah resource virtual yang dibuat dari modul kriptografi perangkat keras suatu perangkat HSM. Instans ini memenuhi persyaratan kepatuhan yang sama dengan perangkat HSM fisik dan mendukung semua fitur HSM, seperti enkripsi dan dekripsi data.

    • Kartu autentikasi (USB Key)

      Pengidentifikasi unik untuk Cloud Hardware Security Module (HSM) ini digunakan bersama alat manajemen klien HSM untuk mengelola kunci dan hanya tersedia untuk HSM di Tiongkok daratan.

    • Layanan Kluster

      HSM menyediakan layanan kluster. Layanan ini memungkinkan Anda mengelompokkan beberapa instans HSM di berbagai zona dalam wilayah yang sama yang melayani aplikasi yang sama. Hal ini memungkinkan manajemen terpusat serta menyediakan ketersediaan tinggi, load balancing, dan skalabilitas horizontal untuk operasi kriptografi. Setiap kluster mencakup satu instans HSM utama dan beberapa instans HSM non-utama. Semua instans HSM dalam satu zona berbagi subnet yang sama.