Data Encryption Service是雲上的硬體加密解決方案,通過使用Data Encryption Service,您能運用多種密碼編譯演算法對雲上業務資料進行可靠的加解密運算,實現資料保護,同時滿足資料安全方面的監管合規要求。
概述
Data Encryption Service的底層使用經國家密碼管理局檢測認證或通過FIPS 140-2 Level 3認證的硬體密碼機,通過虛擬化技術,協助使用者滿足資料安全方面的監管合規要求,保護雲上業務資料的隱私性要求。藉助Data Encryption Service,使用者能夠對密鑰進行安全可靠的管理,也能使用多種密碼編譯演算法來對資料進行可靠的加解密運算。
Data Encryption Service可以協助您執行如下密碼計算:
產生、儲存、匯入、匯出和管理加密金鑰,包括對稱金鑰和非對稱金鑰對。
使用對稱和非對稱演算法加密和解密資料。
使用雜湊Function Compute訊息摘要和基於雜湊的訊息身分識別驗證代碼(HMAC)。
對資料進行數位簽章和驗證簽名。
產生安全隨機資料。
密碼機
Data Encryption Service是密碼機的硬體加密模組虛擬化形成的資源,Data Encryption Service與硬體加密模組具有同樣的合規性,具備對資料的加解密運算能力。Data Encryption Service為您提供虛擬密碼機和專屬密碼機。密碼機的詳細參數,請參見虛擬密碼機效能資料。
虛擬密碼機
部署在多租戶環境,通常由多個使用者共用硬體資源,滿足國家密碼法要求及國際安全標準FIPS 140-2 Level 3認證,適合中小企業或對效能要求不高的應用情境。支援的密碼機類型有:
中國內地密碼機:通用國密密碼機。
非中國內地密碼機:通用FIPS密碼機。
專屬密碼機
硬體資源完全由單一使用者獨享,專有硬體資源確保了高輸送量和低延遲。提供最進階別的物理安全,防篡改設計,符合國際安全標準FIPS 140-2/3。適合大型企業、金融機構或對安全性、效能要求極高的情境。提供專業權威機構(國家密碼局/NIST (FIPS 140-2 層級3認證)/PCI HSM v3)認證的物理專屬獨享加密機。
應用情境
本地機房中的密碼機應用遷移到雲上伺服器
當您的本地機房密碼機應用遷移到雲端服務器時,您可以直接使用Data Encryption Service替代本地機房密碼機,實現資料的加解密、簽名驗簽等功能,保護您的雲上資料安全。
為加密應用提供合規的加解密功能
例如,您可以藉助Data Encryption Service為阿里雲專屬KMS實現應用系統敏感性資料的加解密,為資料庫加密應用實現資料庫資料的加解密,為檔案加密應用實現檔案儲存體的加解密等。
支援HTTPS網站的SSL卸載
中國內地的GVSM提供SSL卸載功能,減少伺服器的效能壓力,提升用戶端的訪問響應速度。同時Data Encryption Service使用密碼機產生認證私密金鑰,加強了私密金鑰保護防止私密金鑰從伺服器泄漏,從而提升其安全性。
保護認證私密金鑰
對於由憑證授權單位頒發的數位憑證,您可以將認證私密金鑰儲存在密碼機中,並使用密碼機執行簽名操作,保護您的認證私密金鑰安全。
Oracle TDE整合
Data Encryption Service與Oracle資料庫整合,向使用者提供透明資料加密(Transparent Data Encryption,TDE)功能。TDE將加密金鑰儲存在資料庫外部的加密機中,並使用密鑰在資料檔案中加密敏感性資料,保證敏感性資料的安全性。
敏感性資料加密
在公用服務、電子商務、金融等行業中,可以將Data Encryption Service與應用程式整合,來加密處理或者儲存使用者敏感性資料,以滿足安全性和合規性要求。
產品優勢
滿足監管合規要求
中國內地密碼機已通過國家密碼管理局的檢測認證,並且符合密碼行業的技術規範,包括《GM/T 0028-2014 密碼模組安全技術要求》、《GM/T 0030-2014 伺服器密碼機技術規範》。
非中國內地密碼機已通過FIPS 140-2 Level 3認證。
豐富的行業標準介面和密碼編譯演算法
Data Encryption Service支援豐富的行業標準介面和密碼編譯演算法。關於Data Encryption Service支援的介面規範和密碼編譯演算法的更多資訊,請參見虛擬密碼機效能資料。
安全的密鑰管理
裝置管理和密鑰系統管理權限分離。阿里雲只能管理密碼機硬體裝置,主要包括監控裝置可用性指標、開通服務等。密鑰完全由客戶管理,阿里雲沒有任何方法可以擷取客戶密鑰。
彈性擴充
在使用Data Encryption Service時,您可以根據實際情況,靈活地調整部署購買的密碼機的數量,通過負載平衡來滿足不同的加解密運算要求。
叢集高可用性
Data Encryption Service支援叢集管理的功能。您可以將購買的多個密碼機添加到一個叢集中,快速增加密碼機的高可用性,降低業務中斷及核心資料丟失風險。
便捷的雲上使用
藉助Data Encryption Service,您可以將購買的密碼機部署在您指定的VPC專用網路中,通過指定的私網IP地址進行安全管理和調用,便捷地與雲端服務器上的業務配合使用。
支援的地區和可用性區域
中國內地
地區
地區ID
可用性區域
華東1(杭州)
cn-hangzhou
可用性區域A、可用性區域G
華東2(上海)
cn-shanghai
可用性區域A、可用性區域B、可用性區域F
華北2(北京)
cn-beijing
可用性區域A、可用性區域F、可用性區域K
華南1(深圳)
cn-shenzhen
可用性區域A、可用性區域E
西南1(成都)
cn-chengdu
可用性區域A、可用性區域B
非中國內地
地區
地區ID
可用性區域
中國香港
cn-hongkong
可用性區域B、可用性區域C
新加坡
ap-southeast-1
可用性區域A、可用性區域B
馬來西亞(吉隆坡)
ap-southeast-3
可用性區域A、可用性區域B
沙特(利雅得)
me-central-1
可用性區域A、可用性區域B
印尼(雅加達)
ap-southeast-5
可用性區域A、可用性區域B
常見術語
密碼機執行個體
密碼機執行個體是密碼機的硬體加密模組虛擬化形成的資源。密碼機執行個體與硬體加密模組具有同樣的合規性,可以實現Data Encryption Service的所有功能,具備對資料的加解密運算能力。
身份認證卡(USB Key)
Data Encryption Service的唯一身份識別資訊,可以配合密碼機的用戶端管理工具管理密鑰,僅中國內地密碼機提供。
叢集服務
Data Encryption Service提供叢集服務,通過將處於同一地區不同可用性區域、用於相同業務的一組密碼機執行個體關聯起來,進行統一管理,為業務應用提供密碼計算的高可用性、負載平衡以及橫向擴充的能力。一個叢集中包括一個主密碼機執行個體與若干個非主密碼機執行個體。叢集內一個可用性區域的密碼機執行個體使用同一子網。