Cloud Hardware Security Module (CloudHSM) は、クラウドベースのハードウェア暗号化ソリューションです。CloudHSM を使用すると、複数の暗号化アルゴリズムを使用して、クラウド上のビジネスデータを確実に暗号化および復号できます。これにより、データ保護を確保し、データセキュリティに関する規制コンプライアンス要件を満たすことができます。
概要
CloudHSM は、国家暗号管理局または FIPS 140-2 Level 3 の認定を受けたハードウェアセキュリティモジュール (HSM) を使用します。CloudHSM は仮想化技術を利用して、データセキュリティに関する規制コンプライアンス要件を満たし、クラウド上のビジネスデータのプライバシーを保護します。CloudHSM を使用すると、キーを安全に管理し、さまざまな暗号化アルゴリズムを使用して信頼性の高いデータの暗号化と復号を行うことができます。
CloudHSM は、次の暗号化計算を実行できます:
対称鍵や非対称鍵ペアなどの暗号鍵の生成、保存、インポート、エクスポート、管理。
対称アルゴリズムと非対称アルゴリズムを使用してデータを暗号化および復号化します。
ハッシュ関数を使用して、メッセージダイジェストとハッシュベースのメッセージ認証コード(HMAC)を計算します。
データのデジタル署名と署名の検証。
安全なランダムデータを生成します。
HSM
CloudHSM は、HSM のハードウェア暗号モジュールから仮想化されたリソースを提供します。CloudHSM インスタンスは、ハードウェア暗号モジュールと同じレベルのコンプライアンスを提供し、データの暗号化と復号を実行できます。CloudHSM は、仮想 HSM と専用 HSM を提供します。HSM のパラメーターの詳細については、「HSM インスタンスのパフォーマンスデータ」をご参照ください。
仮想 HSM
仮想 HSM は、ハードウェアリソースを複数のユーザーで共有するマルチテナント環境にデプロイされます。中国の暗号法要件を満たし、国際的なセキュリティ標準である FIPS 140-2 Level 3 の認定を受けています。仮想 HSM は、中小企業や高いパフォーマンスを必要としないアプリケーションに適しています。サポートされている HSM タイプは次のとおりです:
中国本土の HSM: 汎用 SM シリーズ HSM。
中国本土以外の HSM: 汎用 FIPS HSM。
専用 HSM
専用 HSM は、単一のユーザーが排他的に使用するハードウェアリソースを提供します。これらの専用ハードウェアリソースは、高いスループットと低レイテンシーを保証します。耐タンパー性を備えた設計で最高レベルの物理的セキュリティを提供し、FIPS 140-2/3 国際セキュリティ標準に準拠しています。専用 HSM は、大企業、金融機関、または非常に高いセキュリティとパフォーマンスを必要とするシナリオに適しています。これらは、国家暗号管理局、米国国立標準技術研究所 (NIST) (FIPS 140-2 Level 3 認定)、PCI HSM v3 などの専門機関によって認定された、物理的に専用かつ排他的な HSM です。
シナリオ
オンプレミスのデータセンターからクラウドサーバーへの HSM アプリケーションの移行
オンプレミスの HSM アプリケーションをクラウドサーバーに移行する際に、CloudHSM を使用してオンプレミスの HSM を置き換えることができます。これにより、データの暗号化、復号、署名、署名検証を実行して、クラウドでのデータセキュリティを保護できます。
暗号化アプリケーション向けのコンプライアンスに準拠した暗号化と復号の提供
たとえば、CloudHSM を使用して、Alibaba Cloud 専用 KMS、データベース暗号化アプリケーション、ファイルストレージ暗号化アプリケーションなど、さまざまなアプリケーションの機密データを暗号化および復号できます。
HTTPS Web サイトの SSL オフロードのサポート
中国本土の GVSM は、SSL オフロード機能を提供します。これにより、サーバーのパフォーマンス負荷が軽減され、クライアントアクセスの応答速度が向上します。CloudHSM は HSM を使用して証明書の秘密鍵を生成することもできます。これにより、秘密鍵の保護が強化され、サーバーからの漏洩を防ぎ、セキュリティが向上します。
証明書の秘密鍵の保護
認証局 (CA) によって発行されたデジタル証明書の場合、証明書の秘密鍵を HSM に保存し、HSM を使用して署名操作を実行できます。これにより、証明書の秘密鍵のセキュリティが保護されます。
Oracle TDE 統合
CloudHSM は Oracle データベースと統合して、TDE (透過的データ暗号化) 機能を提供します。TDE は、データベースの外部にある HSM に暗号鍵を保存し、そのキーを使用してデータファイル内の機密データを暗号化します。これにより、機密データのセキュリティが保証されます。
機密データの暗号化
公共サービス、E コマース、金融などの業界では、CloudHSM をアプリケーションと統合して、機密性の高いユーザーデータを暗号化、処理、または保存し、セキュリティとコンプライアンスの要件を満たすことができます。
メリット
規制コンプライアンス要件への準拠
中国本土の HSM は、国家暗号管理局の検査と認証に合格しており、GM/T 0028-2014 暗号モジュールのセキュリティ技術要件、GM/T 0030-2014 サーバー HSM の技術仕様など、暗号業界の技術仕様に準拠しています。
中国本土以外の HSM は、FIPS 140-2 Level 3 の認定を受けています。
業界標準のインターフェイスと暗号化アルゴリズム
CloudHSM は、幅広い業界標準のインターフェイスと暗号化アルゴリズムをサポートしています。CloudHSM がサポートするインターフェイス仕様と暗号化アルゴリズムの詳細については、「HSM インスタンスのパフォーマンスデータ」をご参照ください。
安全な鍵管理
CloudHSM は、デバイス管理とキー管理の権限を分離します。Alibaba Cloud は HSM ハードウェアのみを管理でき、主にデバイスの可用性のモニターとサービスのアクティベーションを行います。キーはお客様のみが管理します。Alibaba Cloud はお客様のキーにアクセスできません。
スケーラビリティ
CloudHSM を使用すると、ビジネスニーズに応じてデプロイする HSM の数を柔軟に調整できます。ロードバランシングを使用して、さまざまな暗号化および復号の要件を満たすことができます。
クラスターの高可用性
CloudHSM はクラスター管理をサポートしています。複数の HSM をクラスターに追加することで、高可用性を向上させ、ビジネスの中断やコアデータの損失のリスクを軽減できます。
便利なクラウド利用
CloudHSM を使用すると、購入した HSM を指定した Virtual Private Cloud (VPC) にデプロイできます。指定したプライベート IP アドレスを使用して安全な管理と呼び出しを行い、HSM をクラウドサーバー上のビジネスアプリケーションと簡単に統合できます。
サポート対象のリージョンとゾーン
中国本土
リージョン
リージョン ID
ゾーン
中国(杭州)
cn-hangzhou
ゾーン A、ゾーン G
中国(上海)
cn-shanghai
ゾーン A、ゾーン B、ゾーン F
中国(北京)
cn-beijing
ゾーン A、ゾーン F、ゾーン K
中国(深圳)
cn-shenzhen
ゾーン A、ゾーン E
中国(成都)
cn-chengdu
ゾーン A、ゾーン B
中国本土以外
リージョン
リージョン ID
ゾーン
中国(香港)
cn-hongkong
ゾーン B、ゾーン C
シンガポール
ap-southeast-1
ゾーン A、ゾーン B
マレーシア(クアラルンプール)
ap-southeast-3
ゾーン A、ゾーン B
SAU(リヤド - パートナーリージョン)
me-central-1
ゾーン A、ゾーン B
インドネシア(ジャカルタ)
ap-southeast-5
ゾーン A、ゾーン B
用語集
HSM インスタンス
HSM インスタンスは、HSM のハードウェア暗号モジュールから仮想化されたリソースです。HSM インスタンスは、ハードウェア暗号モジュールと同じレベルのコンプライアンスを提供し、CloudHSM のすべての機能を実装し、データの暗号化と復号を実行します。
認証カード (USB キー)
CloudHSM の一意の ID 認証情報です。HSM クライアント管理ツールと併用してキーを管理します。中国本土の HSM にのみ提供されます。
クラスターサービス
CloudHSM はクラスターサービスを提供します。このサービスは、同じリージョン内の異なるゾーンにあり、同じビジネス目的で使用される HSM インスタンスのグループを関連付けます。これにより、統合管理が可能になり、ビジネスアプリケーションにおける暗号化計算の高可用性、ロードバランシング、水平スケーリングが提供されます。クラスターは、1 つのマスター HSM インスタンスと複数の非マスター HSM インスタンスで構成されます。クラスター内のゾーンにある HSM インスタンスは、同じサブネットを使用します。