クラウド上の安全で信頼性の高いキーライフサイクル管理
Alibaba Cloud Key Management Service (KMS) は、安全かつコンプライアンス要件を満たした鍵管理および暗号化サービスで機密データ資産の暗号化と保護を支援します。KMS は Alibaba Cloud のさまざまなサービスと統合されており、クラウド上のデータの暗号化と分散環境の制御が可能です。KMS では ActionTrail による鍵の使用ログやカスタムキーローテーションといった機能や Level 3 の FIPS 140-2 等の関連する検証に合格した HSM を利用でき、規制およびコンプライアンス要件への対応を支援します。
フルマネージド型
KMS は、キーの管理と暗号化のサービスを提供します。 ユーザーがキーのライフサイクルと権限を管理し、そのキーを暗号化と署名に使用する一方で、Alibaba Cloud は暗号化のインフラストラクチャを完全に管理し、サービスの可用性、セキュリティ、信頼性を保証します。
可用性、信頼性、および弾力性
KMS は、各リージョンのアベイラビリティーゾーン全体の冗長暗号化モジュールを使用し、低遅延でリクエストを処理し、また、作成が必要なキーの数に応じて拡張が可能です 。 ユーザー自身のキーを KMS に取り込み、そのコピーをオフラインにしておくと耐久性が向上します。
セキュリティとコンプライアンス
KMS は、安全な設計とレビューを通じて Alibaba Cloud 上でユーザーの鍵を厳重に保護します。KMS は Level 3 の FIPS 140-2 Level 3 等の関連する検証に合格したマネージド HSM を提供しており、カスタムキーローテーションポリシーの設定や RAM での権限管理、ActionTrail による鍵の使用状況の追跡といった機能により、規制およびコンプライアンス要件を迅速に満たせるようにユーザーを支援します。ActionTrail のイベントは、OSS や Log Service と連携させ、SIEMソリューションと統合し、より詳細な分析と脅威の検知を行うことも可能です。
統合クラウドサービスのためのデータ暗号化
KMS は、ECS、RDS、OSS、NAS、MaxCompute など、Alibaba Cloud のサービスと幅広く統合されています。KMS を使用すると、最小限のキー管理コストでこれらのサービスのデータを暗号化し、分散型のコンピューティングおよびストレージの環境を管理できます。OSS SSE やデータベース TDE などのサーバーサイドの暗号化の場合は、KMS と RAM により暗号化の動作を管理できます。一方、Alibaba Cloud は、暗号化ワークロードの複雑な処理と課金処理を実行します。
カスタムの暗号化とデジタル署名
KMS は、簡素化された暗号化と HSM API をカプセル化し、統合化されたセキュリティとコンプライアンスのためにアプリケーション内のデータを容易に暗号化して、攻撃者が狙う機密データの攻撃対象領域をさらに削減します。 重要データの整合性を確保するために、デジタル署名に非対称キーを使用することも可能です。
コスト効率
KMS では、使用したリソースの分だけ課金されるため、HSM を購入する必要がなく、ハードウェアの継続的な運用、パッチ適用、交換に関連するコストが不要になります。 KMS を使用すると、キー管理インフラストラクチャの構築と保守を自社で行う場合に比べてそのコストが削減されます。
特徴
包括的な管理機能
KMS は、あらゆるニーズを満たす豊富なキー管理機能を提供します。
KMS で生成されたキー、または外部ソースからインポートされたキー
KMS でキーを生成できます。また、ユーザー自身のキー (BYOK) を管理対象の HSM にインポートすることも可能です。 BYOK の場合は、キーのコピーをオフラインでも保有できます。 マネージド HSM では、インポートされたキーがエクスポートされないことを保証します。
キーライフサイクルの管理と自動キーローテーション
キーの有効化や無効化、およびキー削除の定期的なサイクルをスケジュールできます。 BYOK の場合、キーはいつでも削除可能で、自動的に有効期限切れとするポリシーを設定することも可能です。 KMS を使って暗号化キーを定期的に自動でローテーションするカスタムのローテーションポリシーを設定し、それによってキーのセキュリティを強化できます。
認証、承認、および監査 (AAA)
RAM を使用して KMS のユーザー認証および承認のポリシーを管理できます。 ActionTrail を使用してキーの使用状況の追跡と監査が可能で、長期保存、データ分析、SIEM 統合といった広範なシナリオで、OSS やログサービスにキーの使用状況のログを保存することも可能です。
フルマネージド型 HSM
マネージド HSM は、セキュリティレベルの高いキー保護メカニズムを提供します。
HSM の認証とコンプライアンス
KMS は、FIPS 140-2 レベル 3 の認証を受けた HSM を提供し、FIPS 認証のレベル 3 モードで動作します。また、各地域の規制要件に準拠するために、関連する認証を受けた HSM を提供します。
安全なキー生成
マネージド HSM は、ライセンスされた安全な乱数生成アルゴリズムを使用します。 このアルゴリズムでは、高エントロピーのシードを使用してキーの要素を生成します。 これによって、悪意のある第三者によるキーの回復や予測から保護します。
キーのハードウェア保護
マネージド HSM では、ハードウェアメカニズムで KMS のキーを保護します。 キーのプレーンテキストは、キーの運用のために HSM 内でのみ処理され、HSM のハードウェアセキュリティ境界内で保持されます。
他の Alibaba Cloud サービスとの統合
KMS を複数の Alibaba Cloud サービスと統合すると、ネイティブの暗号化エクスペリエンスと高度なセキュリティ機能が提供できます。
エントリーレベルのデフォルト暗号化
KMS を使用すると、各クラウドサービスに専用の暗号化キーを自動で管理できます。 デフォルトでは、使用する専用キーのライフサイクルと承認ポリシーをクラウドサービス側で気にする必要はありません。
暗号化キーのソースのオプション
KMS でキーを作成するか、外部からキーマテリアルをインポートし、ユーザーが管理するキーをデータ暗号化の保護のためにクラウドサービスが使用することを承認できます。 したがって、キーの権限およびライフサイクルを管理することで、キーを完全に管理できます。
クラウドサービスによるキー使用の監査
サービスで管理されたキーかユーザーが管理するキーかに関わらず、クラウドサービス側が KMS API 処理を呼び出すことで、ユーザーの代わりにキーの使用状況を監査できます。
シンプルで効果的な暗号化処理
KMS は抽象的な暗号化の概念を活用し、単純な暗号化処理用 API を提供します。
エンベロープ暗号化
KMS に組み込まれているエンベロープ暗号化を使ってセカンダリキーを生成し、1 回の API 呼び出しで CMK を暗号化できます。
AEAD
KMS は、 関連データ付きの認証済み暗号 (AEAD) をカプセル化します。 暗号化コンテキストを使って、暗号化されたデータの整合性と信頼性を強化できます。
デジタル署名の検証
KMS は非対称キーをホストし、非対称キーに基づくデジタル署名の検証アルゴリズムを提供します。 KMS は、ID 認証、コード署名、ブロックチェーンなどの幅広いシナリオで使用できます。
用途の提案
|
Alibaba Cloud サービスに保存されているデータの暗号化 / 透過的なデータ暗号化
|
データフィールドの暗号化
|
AK / SK シークレットの管理
|
キーのバックアップと復元
|
ハードウェア KMS
|
|
|---|---|---|---|---|---|
| 使用シナリオ | Elastic Compute Service (ECS)、ApsaraDB RDS、Object Storage Service (OSS) など、80 以上の Alibaba Cloud サービスに適用 | ファイル、データフィールド、証明書チェーンの暗号化に適用 | AK および SK シークレット、トークン、データベースアカウントのパスワード、およびその他のシークレットの管理に適用 | 世界中のリージョンでのキーとシークレットのバックアップに適用 | Federal Information Processing Standards (FIPS) 140-2 レベル 3 で検証済みのハードウェアキー管理サービスに適用 |
| 暗号化方法 | Alibaba Cloud サービスに保存されているデータの暗号化または透過的なデータ暗号化 | アプリケーションの暗号化 | アプリケーションの暗号化 | N/A | アプリケーションの暗号化、Alibaba Cloud サービスに保存されたデータの暗号化、または透過的なデータ暗号化 |
| データアクセス特性 | クラウドサービスが呼び出すリアルタイムアクセス | リアルタイムアクセス、キャッシュアクセス | リアルタイムアクセス | アーカイブ後のリアルタイムアクセス | リアルタイムアクセス |
| 処理パフォーマンス | 制限なし | 100,000 QPS 以上 | 100,000 QPS 以上 | N/A | 100,000 QPS 以上 |
| SDK を統合する必要性の有無 | いいえ | はい | はい | いいえ | はい |
| サポートされる SDK 開発言語 | N/A | Java、Go、PHP、Python... | Java、Go、PHP、Python... | N/A | Java、Go、PHP、Python... |
| Terraform のサポート | はい | はい | はい | いいえ | いいえ |
| SLA | 特定のクラウドサービスのサービスレベル契約 (SLA) の対象 | 99.95% | 99.95% | 99.9999% | 99.95% |
| 課金項目 | 無料 | QPS、キー数、VPC 数... | カスタマーマスターキー (CMK) に基づく暗号化後のシークレット数および QPS に基づいて課金 | バックアップ期間 | QPS、VPC 数、ハードウェアセキュリティモジュール (HSM) 数... |
| 料金 | 1 か月あたり 0.0 USD | 1 か月あたり 500.0 USD 以上 | 1 か月あたり 550.0 USD 以上 |
0~6 日の場合は無料 7 日以上の場合は 1 か月あたり 12.5 USD |
1 か月あたり 1,799.0 USD 以上 |
| 購入リンク | 無料でご利用いただけます | ソフトウェアキー | 証憑管理者 | 鍵バックアップ | ハードウェアキー管理 |
シナリオ
CMK の暗号化設定
クラウドアプリケーションのデプロイにおける DevSecOps のベストプラクティス
ECS、Container Service、Function Compute などのサービスにデプロイされているアプリケーションには、パスワード、OAuth の秘密情報、サーバー証明書のキーなどの機密データが含まれます。 KMS は、デプロイ前にデータを暗号化し、デプロイ後や使用中にデータを復号することで、運用、保守、転送、および保存における機密データのセキュリティを確保します。
メリット
DevOps の機密データへのアクセスを防止
O&M システムは、クラウドの実稼働環境で必要な機密データの暗号文のみを R&D 担当者に提供します。 R&D 担当者は、暗号文をプロファイルにパッケージ化するか、暗号文を Function Compute の環境変数として使用して、データ漏洩のリスクを管理します。
高性能でスケーラブルなエンベロープ暗号化
2 レベルのキー構造で、大量データと高い並行性をサポート
メリット
KMS は、エンベロープ暗号化で 2 レベルのキー構造を生成します。CMK がデータキー (DK) を暗号化し、 JCE や OpenSSL などのアプリケーションの暗号化ライブラリが DK を使用してローカルビジネスデータを暗号化します。 DK の暗号文は、暗号化されたビジネスデータと共に保存されます。 復号段階では、DK の暗号文が最初に復号されます。 得られた DK のプレーンテキストを使用して、ビジネスデータがローカルで復号されます。
OSS による大量データの暗号化と保存
OSS クライアントの暗号化 SDK を使用すると、大量のデータをアップロード前に暗号化できます。 KMS を呼び出してエンベロープ暗号化も実行できます。
NoSQL を使用した、並行性の高い暗号化データの読み取り/書き込み
同じ DK を使って、指定された空間範囲や時間範囲(テーブル内や 5 秒ごとなど)でデータを暗号化できます。 DK のプレーンテキストはメモリにキャッシュされ、DK の暗号文は NoSQL ストレージに保存されます。
安全で信頼できるコンピューティング環境の構築
KMS と ECS Bare Metal Instances を連携し、安全なコンピューティング環境を構成
ECS Bare Metal Instance は、安全で物理的な分離を提供し、チップレベルでの信頼できる実行環境 (Intel® SGX) をサポートしています。 エンベロープ暗号化により KMS と他のサービスの間で DK を転送するための安全なコンピューティング環境を構築できます。 この DK は、安全なコンピューティング環境において、環境外へ出る機密性の高いビジネスデータを暗号化し、環境内に入る暗号文データを復号するために使われます。
メリット
機密データを安全な環境で保持する
機密性の高いビジネスデータのプレーンテキストは、安全な環境で保持されます。 データは、KMS で暗号化されてから永続ストレージに保存されます。 暗号化の段階では、機密性の高いビジネスデータは KMS に送信されません。
DK を安全な環境で保持
KMS から取得した DK は、安全なコンピューティング環境で保持され、環境の境界を出入りする永続データの暗号化と復号に使用されます。 データキーの暗号文は、安全な環境から送出され、暗号化されたビジネスデータと一緒に永続的に保存できます。
サーバー側暗号化
KMS の暗号化はサーバーサイドに統合され、ユーザーはキーと権限を設定するだけです。
KMS が他のクラウドサービスと統合されている場合、KMS の CMK を使用すると、他のクラウドサービスのデータを暗号化して保護できます。 そのために必要となるのは、他のクラウドサービスの暗号化構成で CMK を指定することだけです。 CMK の権限は RAM で定義され、他のクラウドサービスによる KMS 呼び出しは ActionTrail で監査されます。
メリット
分散コンピューティングと分散ストレージの環境での暗号化のリスクの管理
クラウド上では、分散型でマルチテナントのコンピューティング環境とストレージ環境が使用されます。 クラウドサービスの暗号化機能は、コンピューティングとストレージの動作を KMS と組み合わせます。 たとえば、ECS インスタンスを開始する前に、暗号化されたクラウドディスクを復号する必要があります。 KMS は、分散型ストレージシステム内にある暗号化されたクラウドディスクの複数の冗長化コピーと、暗号化されたクラウドディスクから自動的に生成されたスナップショットを保護します。
大量データの暗号化を容易に
大量データの暗号化や復号では、大量のコンピューティングリソースが消費され、システムの性能とスループットに悪影響を及ぼします。 Alibaba Cloud は、クラウドサービスにサーバーサイドの暗号化を提供します。これにより、データの暗号化動作の制御と可視性を維持しながら、暗号化を管理できます。
