Key Management Service (KMS) membantu Anda mengatasi empat kategori masalah keamanan: mengenkripsi data aplikasi sensitif, mengamankan infrastruktur cloud, memenuhi persyaratan kepatuhan kriptografi, dan mengaktifkan enkripsi pihak ketiga untuk vendor perangkat lunak independen (ISV). Temukan peran Anda di bawah ini untuk langsung menuju solusi yang tepat.
| Peran | Masalah yang harus diselesaikan | Skenario |
|---|---|---|
| Application developer | Lindungi data sensitif dalam aplikasi | Enkripsi dan lindungi data sensitif |
| IT O&M engineer | Komputasi awan dan sumber daya penyimpanan yang aman | Kelola lingkungan komputasi dan penyimpanan cloud |
| Chief Security Officer (CSO) | Penuhi persyaratan kepatuhan kriptografi | Penuhi persyaratan kepatuhan |
| Independent software vendor (ISV) | Berikan enkripsi pihak ketiga kepada pelanggan | Berikan solusi enkripsi pihak ketiga |
Enkripsi dan lindungi data sensitif
Alibaba Cloud menyediakan empat metode enkripsi. Pilih berdasarkan ukuran data, kebutuhan throughput, dan cara Anda mengelola rahasia.
| Metode | Kapan digunakan | Cara kerja | Referensi |
|---|---|---|---|
| Envelope encryption | Beban kerja dengan permintaan per detik (QPS) tinggi atau data terlalu besar untuk dienkripsi secara langsung—misalnya, nomor telepon seluler dan nomor kartu identitas | KMS menyimpan customer master keys (CMK) Anda dan tidak pernah mengeksposnya. Hanya enveloped data keys (EDK) yang didistribusikan. KMS mendekripsi EDK untuk mengembalikan plaintext data key (DK); gunakan DK tersebut untuk mengenkripsi atau mendekripsi data secara lokal. Alternatifnya, gunakan Encryption SDK yang telah membungkus pola ini untuk Anda. | Gunakan envelope encryption untuk mengenkripsi dan mendekripsi data lokal dan Quick start Encryption SDK untuk Java |
| Direct encryption | Beban kerja dengan QPS rendah dan data tidak lebih besar dari 6 KB—misalnya, Pasangan Kunci Akses dan kredensial database | Panggil API enkripsi KMS untuk mengenkripsi data secara langsung menggunakan CMK. | Gunakan CMK KMS untuk mengenkripsi dan mendekripsi data |
| Server-side encryption (SSE) | Data yang disimpan di layanan Alibaba Cloud—misalnya, bucket Object Storage Service (OSS) berisi konten sensitif atau tabel ApsaraDB RDS dengan transparent data encryption (TDE) | Aktifkan fitur SSE pada layanan Alibaba Cloud target. Layanan tersebut mengenkripsi data sebelum menuliskannya ke penyimpanan dan mendekripsinya saat dibaca, menggunakan KMS untuk mengelola kunci dasarnya. | Layanan Alibaba Cloud yang dapat diintegrasikan dengan KMS |
| Secrets Manager | Rahasia dengan siklus hidup—kata sandi, token, kunci SSH, dan Pasangan Kunci Akses | Simpan rahasia di Secrets Manager dan akses melalui kontrol keamanan tingkat aplikasi. Konfigurasikan rotasi dinamis untuk membatasi paparan jika rahasia bocor. | Rotasi rahasia generik dan Ikhtisar rahasia ApsaraDB RDS dinamis |
Envelope encryption vs. direct encryption
Gunakan envelope encryption ketika throughput atau ukuran data menjadi pertimbangan. Envelope encryption menghasilkan kunci data lokal dan mengenkripsi data di aplikasi Anda—hanya EDK kecil yang dikirim ke KMS. Gunakan direct encryption ketika data Anda tidak lebih besar dari 6 KB dan QPS Anda berada di bawah ambang batas pembatasan kecepatan KMS; KMS mengenkripsi data secara langsung dan mengembalikan ciphertext.
Kelola lingkungan komputasi dan penyimpanan cloud
Infrastruktur cloud bersifat multi-penyewa, sehingga batas keamanan fisik tidak tersedia. Gunakan KMS untuk membuat batas kriptografi sebagai gantinya: integrasikan KMS dengan layanan Alibaba Cloud melalui SSE, kelola siklus hidup CMK dan kebijakan kontrol akses secara terpusat, serta audit penggunaan kunci melalui ActionTrail.
| Skenario | Kapan digunakan | Cara kerja | Referensi |
|---|---|---|---|
| Elastic Compute Service (ECS) | Lindungi disk sistem, disk data, Snapshot, dan image | Otorisasi ECS untuk menggunakan kunci KMS. ECS mengenkripsi disk dan Snapshot secara otomatis. Menjalankan instance ECS memerlukan dekripsi baik disk sistem maupun disk data. Snapshot dari disk terenkripsi juga dienkripsi. | Ikhtisar |
| Persistent storage | Lindungi data di ApsaraDB RDS, OSS, dan Penyimpanan File NAS | Integrasikan KMS dengan layanan penyimpanan persisten menggunakan client-side encryption atau SSE. Algoritma yang didukung mencakup Advanced Encryption Standard (AES) dan SM. Setiap permintaan baca memerlukan KMS untuk mendekripsi data terlebih dahulu, sehingga menjaga kerahasiaan salinan redundan di penyimpanan terdistribusi. | — |
| Layanan Alibaba Cloud lainnya | Lindungi data di berbagai layanan cloud | Beberapa layanan Alibaba Cloud mendukung integrasi KMS. | Layanan Alibaba Cloud yang dapat diintegrasikan dengan KMS |
Penuhi persyaratan kepatuhan
Kerangka kepatuhan biasanya mensyaratkan salah satu dari dua hal: perlindungan kriptografi sebagai persyaratan wajib, atau perlindungan kriptografi sebagai faktor penilaian yang memperkuat postur kepatuhan Anda. KMS mengatasi keduanya dengan fitur-fitur berikut.
| Fitur | Deskripsi | Referensi |
|---|---|---|
| Kepatuhan kriptografi | KMS mendukung hardware security modules (HSM) terkelola — perangkat keras pihak ketiga yang disertifikasi oleh lembaga pengatur dan divalidasi oleh State Cryptography Administration (SCA) dan FIPS 140-2 Level 3. HSM berjalan dalam mode keamanan yang telah disetujui. | Ikhtisar dan Gunakan HSM terkelola |
| Key rotation | KMS mendukung rotasi otomatis kunci enkripsi. Konfigurasikan kebijakan rotasi khusus agar sesuai dengan spesifikasi keamanan data Anda. | Ikhtisar dan Rotasi kunci otomatis |
| Secrets rotation | Gunakan Secrets Manager untuk merotasi kata sandi, Pasangan Kunci Akses, dan rahasia lainnya sesuai jadwal. Rotasi membatasi jangkauan dampak kebocoran kredensial. | Rotasi rahasia generik |
| Kerahasiaan data | Enkripsi data pribadi untuk mencegah kebocoran jika sistem Anda disusupi, serta memenuhi regulasi perlindungan data. | — |
| Integritas data | KMS diintegrasikan dengan Log Service dan ActionTrail. Mengenkripsi log layanan mencegah perubahan dan menjamin kerahasiaan serta integritas data log. | — |
| Authentication and access control | KMS diintegrasikan dengan Resource Access Management (RAM) untuk autentikasi dan otorisasi terpusat. | Gunakan RAM untuk mengontrol akses ke resource KMS |
| Audit penggunaan kunci | KMS menyimpan semua catatan panggilan API di ActionTrail untuk audit kepatuhan. | Gunakan ActionTrail untuk mengkueri log event KMS |
Berikan solusi enkripsi pihak ketiga
Sebagai ISV, integrasikan KMS sehingga pelanggan Anda—bukan Anda—yang memiliki dan mengontrol kunci enkripsi yang melindungi data mereka. KMS bertindak sebagai batas keamanan antara Anda dan pelanggan Anda: pelanggan membuat dan mengelola kunci mereka sendiri, mengotorisasi layanan Anda untuk menggunakan kunci tertentu, serta melakukan audit setiap operasi kunci secara independen.
| Peran | Tanggung jawab | Referensi |
|---|---|---|
| Customer administrator | Buat kunci di KMS dan kelola siklus hidupnya. Gunakan RAM untuk mengontrol izin kunci. Berikan akses ISV ke kunci tertentu melalui otorisasi resource cross-account. | Gunakan peran RAM untuk memberikan izin lintas Akun Alibaba Cloud |
| ISV | Integrasikan KMS dan gunakan kunci yang diotorisasi pelanggan untuk mengenkripsi dan melindungi data pelanggan. | Daftar operasi berdasarkan fungsi |
| Customer auditor | Gunakan ActionTrail untuk mengaudit catatan penggunaan kunci di KMS. | Gunakan ActionTrail untuk mengkueri log event KMS |