การจัดการวงจรชีวิตของคีย์ที่ปลอดภัยและน่าเชื่อถือบนระบบคลาวด์
Alibaba Cloud Key Management Service (KMS) มีบริการจัดการคีย์และบริการด้านการเข้ารหัสอย่างปลอดภัยและสอดคล้องกับกฎระเบียบเพื่อช่วยให้คุณสามารถเข้ารหัสพร้อมปกป้องข้อมูลที่ละเอียดอ่อนได้ KMS ผนวกรวมเข้ากับบริการหลากหลายประเภทของ Alibaba Cloud เพื่อทำให้คุณเข้ารหัสข้อมูลได้ทั่วทั้งระบบคลาวด์และควบคุมสภาพแวดล้อมแบบกระจาย KMS มีบันทึกการใช้คีย์ผ่านทาง ActionTrail รองรับการหมุนเวียนคีย์แบบกำหนดเอง และ HSM ที่ผ่านการรับรองระบบของ FIPS 140-2 ระดับ 3 หรือการตรวจสอบอื่นๆ ที่เกี่ยวข้อง เพื่อช่วยให้คุณสามารถปฏิบัติตามความต้องการด้านการกำกับดูแลและการปฏิบัติตามกฎระเบียบได้
ได้รับการจัดการอย่างสมบูรณ์
KMS มีบริการจัดการคีย์และเข้ารหัส คุณสามารถจัดการวงจรชีวิตและสิทธิ์อนุญาตของคีย์ ใช้คีย์เพื่อเข้ารหัสและลงลายมือชื่อ ในขณะที่ Alibaba Cloud ก็จะจัดการกับโครงสร้างพื้นฐานด้านการเข้ารหัสโดยสมบูรณ์และรับประกันความพร้อมใช้งาน ความปลอดภัยและความน่าเชื่อถือของบริการได้
ความพร้อมใช้งาน ความน่าเชื่อถือและความยืดหยุ่น
KMS ดำเนินการกับคำขอของคุณด้วยค่าหน่วงที่ต่ำผ่านทางโมดูลการเข้ารหัสที่ซ้ำซ้อนในเขตที่พร้อมใช้งานในแต่ละภูมิภาค และสามารถปรับขนาดให้ตอบโจทย์ความต้องการของคุณเพื่อให้สร้างคีย์ได้มากมาย คุณสามารถนำคีย์ของตนเองมาใช้กับ KMS และเก็บสำเนาคีย์ไว้ออฟไลน์เพื่อให้ใช้ได้อย่างทนทานมากขึ้น
การรักษาความปลอดภัยและการปฏิบัติตามข้อบังคับ
KMS จะตรวจสอบให้แน่ใจว่ามีการปกป้องคุ้มครองคีย์ของคุณบน Alibaba Cloud อย่างเคร่งครัด โดยใช้ดีไซน์และการตรวจสอบที่ปลอดภัย KMS จะช่วยให้คุณบรรลุข้อกำหนดด้านการกำกับดูแลและการปฏิบัติตามกฎระเบียบอย่างรวดเร็ว ด้วยการเสนอ HSM ที่ได้รับการจัดการ ที่ผ่านการรับรองระบบของ FIPS 140-2 ระดับ 3 หรือการตรวจสอบอื่นๆ ที่เกี่ยวข้อง ด้วยการทำให้คุณสามารถปรับเปลี่ยนนโยบายการหมุนเวียนคีย์ที่กำหนดเอง จัดการสิทธิ์อนุญาตใน RAM และติดตามการใช้คีย์ใน ActionTrail คุณสามารถเชื่อมต่อกิจกรรมใน ActionTrail เข้ากับ OSS หรือ Log Service เพื่อผนวกรวมกับโซลูชัน SIEM สำหรับข้อมูลการวิเคราะห์และการตรวจจับภัยคุกคามเพิ่มเติม
การเข้ารหัสข้อมูลสำหรับบริการคลาวด์แบบผนวกรวม
KMS ถูกผนวกรวมเข้ากับบริการของ Alibaba Cloud หลากหลายประเภท เช่น ECS, RDS, OSS, NAS, และ MaxCompute ด้วยค่าใช้จ่ายในการจัดการคีย์ขั้นต่ำทำให้คุณสามารถใช้ประโยชน์สูงสุดจาก KMS ในการเข้ารหัสข้อมูลสำหรับบริการดังกล่าวและสามารถควบคุมสภาพแวดล้อมการประมวลผลและการจัดเก็บข้อมูลแบบกระจายได้ การเข้ารหัสผ่านทางเซิร์ฟเวอร์ เช่น OSS SSE หรือ TDE ฐานข้อมูล ทำให้คุณสามารถควบคุมพฤติกรรมการเข้ารหัสผ่านทาง KMS และ RAM ได้ ส่วน Alibaba Cloud ก็จะจัดการกับปัญหาต่างๆ และจ่ายค่าใช้จ่ายในการเข้ารหัสแทนคุณ
การเข้ารหัสแบบกำหนดเองและลายมือชื่อดิจิทัล
KMS มีการเข้ารหัสที่เรียบง่ายและ HSM แบบ API เพื่อให้คุณสามารถเข้ารหัสข้อมูลในแอปพลิเคชันของคุณ เพื่อการรักษาความปลอดภัยและการปฏิบัติตามข้อบังคับแบบบูรณาการได้อย่างง่ายดาย และเป็นการลดพื้นหน้าของการโจมตีข้อมูลที่ละเอียดอ่อนเพิ่มเติมด้วย นอกจากนี้ คุณยังสามารถใช้คีย์แบบอสมมาตร เพื่อการลงลายมือชื่อดิจิทัล และรับประกันข้อมูลสำคัญยังคงสภาพเดิม
ความคุ้มค่า
KMS ช่วยให้คุณจ่ายค่าทรัพยากรที่คุณใช้เท่านั้น ทำให้ไม่จำเป็นต้องซื้อ HSM และตัดค่าใช้จ่ายในการใช้งาน แพตช์และเปลี่ยนทดแทนฮาร์ดแวร์ที่เกี่ยวข้องอย่างต่อเนื่อง KMS ช่วยให้คุณลดค่าใช้จ่ายในการสร้างและบำรุงรักษาโครงสร้างพื้นฐานด้านการจัดการคีย์ของคุณเอง
ฟีเจอร์
ฟีเจอร์การจัดการที่ครอบคลุม
KMS มีฟีเจอร์จัดการคีย์มากมายที่ตอบโจทย์ทุกความต้องการของคุณ
คีย์ที่สร้างขึ้นผ่านทาง KMS หรือนำเข้ามาจากที่อื่น
คุณสามารถสร้างคีย์ใน KMS หรือนำเข้า Bring Your Own Key (BYOK) ใน HSM ที่มีการจัดการได้ BYOK จะทำให้คุณสามารถจัดเก็บสำเนาคีย์ออฟไลน์เพิ่มเติมได้ HSM ที่มีการจัดการจะรับประกันคีย์ที่นำเข้ามาจะไม่ถูกส่งออก
การจัดการวงจรชีวิตคีย์และการหมุนเวียนคีย์โดยอัตโนมัติ
คุณสามารถเปิดหรือปิดใช้งานคีย์ หรือจัดตารางวงจรประจำเพื่อลบคีย์ได้ สำหรับ BYOK คุณสามารถลบคีย์ได้ทุกเมื่อ หรือกำหนดนโยบายการหมดอายุโดยอัตโนมัติก็ได้ KMS จะทำให้คุณสามารถปรับเปลี่ยนนโยบายการหมุนเวียนคีย์แบบกำหนดเอง เพื่อหมุนเวียนคีย์ที่ใช้เข้ารหัสโดยอัตโนมัติเป็นระยะๆ ดังนั้น จึงเป็นการยกระดับความปลอดภัยของคีย์
การตรวจสอบสิทธิ์ การอนุญาตและการตรวจสอบ (AAA)
คุณสามารถจัดการนโยบายการตรวจสอบสิทธิ์และการอนุญาตของผู้ใช้ KMS ได้ผ่าน RAM คุณสามารถติดตามและตรวจสอบการใช้คีย์ผ่านทาง ActionTrail หรือจัดเก็บบันทึกการใช้คีย์ใน OSS หรือ Log Service สำหรับสถานการณ์ที่หลากหลาย เช่น การจัดเก็บข้อมูลในระยะยาว การวิเคราะห์ข้อมูล และการผนวกรวม SIEM
HSM ที่มีการจัดการเต็มรูปแบบ
HSM ที่มีการจัดการมีกลไกการรักษาความปลอดภัยคีย์ที่สูง
การรับรองและการปฏิบัติตาม HSM
KMS ส่งมอบ HSM ที่ผ่านการรับรองระบบของ FIPS 140-2 ระดับ 3 และทำงานในโหมดระดับ 3 ที่ได้รับการอนุมัติจาก FIPS หรือนำเสนอ HSM ที่ผ่านการรับรองที่เกี่ยวข้องเพื่อให้สอดคล้องกับข้อกำหนดด้านการกำกับดูแลระดับท้องถิ่น
การสร้างคีย์อย่างปลอดภัย
HSM ที่มีการจัดการได้ใช้อัลกอริทึมในการสุ่มเลขที่ปลอดภัยและได้รับสิทธิ์อนุญาต อัลกอริทึมใช้ข้อมูลเริ่มต้นเอนโทรปีสูงเพื่อสร้างเนื้อหาที่สำคัญ วิธีนี้จะเป็นการป้องกันมิให้คีย์ถูกกู้คืนหรือคาดการณ์โดยผู้ที่มีเจตนามุ่งร้าย
การคุ้มครองคีย์ของฮาร์ดแวร์
HSM ที่ได้รับการจัดการจะปกป้องคุ้มครองคีย์ใน KMS โดยการใช้กลไกฮาร์ดแวร์ การประมวลผลข้อความธรรมดาของคีย์จากภายใน HSM เพื่อให้คีย์ทำงานได้เท่านั้น และจะจัดเก็บอยู่ด้านในส่วนที่รักษาความปลอดภัยของฮาร์ดแวร์ของ HSM
ผนวกรวมกับบริการ Alibaba Cloud อื่นๆ ได้
สามารถผนวกรวม KMS เข้ากับบริการ Alibaba Cloud มากมายเพื่อส่งมอบประสบการณ์การเข้ารหัสดั้งเดิมและขีดความสามารถในการรักษาความปลอดภัยขั้นสูง
การเข้ารหัสตามค่าเริ่มต้นระดับเบื้องต้น
KMS ให้บริการคลาวด์แต่ละบริการสามารถจัดการคีย์การเข้ารหัสได้โดยอัตโนมัติ ตามค่าเริ่มต้นแล้ว บริการคลาวด์สามารถใช้คีย์นี้ได้โดยไม่ต้องสนใจวงจรชีวิตและนโยบายการอนุญาต
แหล่งที่มาของคีย์การเข้ารหัสแบบตัวเลือก
คุณสามารถสร้างคีย์ใน KMS หรือนำเข้าจากที่อื่น ตลอดจนอนุญาตให้บริการคลาวด์สามารถใช้คีย์ที่ผู้ใช้จัดการเพื่อการปกป้องคุ้มครองการเข้ารหัสข้อมูลได้ ด้วยเหตุนี้ คุณจึงมีสิทธิ์ควบคุมคีย์โดยสมบูรณ์ ด้วยการจัดการสิทธิ์อนุญาตและวงจรชีวิตของคีย์
การตรวจสอบการใช้งานคีย์โดยบริการคลาวด์
คุณสามารถตรวจสอบการใช้งานคีย์โดยบริการคลาวด์ได้โดยเรียกคำสั่งดำเนินการ KMS API ในนามของคุณ ไม่ว่าจะเป็นคีย์ที่บริการหรือผู้ใช้จัดการก็ตาม
กระบวนการเข้ารหัสที่เรียบง่ายและมีประสิทธิผล
KMS ใช้แนวคิดการเข้ารหัสที่เป็นนามธรรมและมี API การเข้ารหัสที่ไม่ซับซ้อน
การเข้ารหัสซองจดหมาย
ด้วยคุณสมบัติการเข้ารหัสซองจดหมายที่มีอยู่ใน KMS จะทำให้คุณสามารถสร้างคีย์รองและเข้ารหัส CMK โดยการเรียกใช้ API เพียงครั้งเดียวได้
AEAD
KMS มีการเข้ารหัสข้อมูลที่เกี่ยวข้องที่ได้รับการตรวจสอบความถูกต้อง (AEAD) คุณสามารถใช้สภาพแวดล้อมในการเข้ารหัสเพื่อเพิ่มความสมบูรณ์และความถูกต้องของข้อมูลที่เข้ารหัสได้เพิ่มเติม
การตรวจสอบยืนยันลายมือชื่อดิจิทัล
KMS สามารถโฮสต์คีย์แบบอสมมาตรและมีอัลกอริทึมการตรวจสอบยืนยันลายมือชื่อดิจิทัล โดยอิงจากคีย์แบบอสมมาตร สามารถใช้ KMS ในหลากหลายสถานการณ์ เช่น การตรวจสอบยืนยันตัวตน การลงลายมือชื่อดิจิทัลในซอฟต์แวร์/แอปพลิเคชันและบล็อกเชน
สถานการณ์
การกำหนดค่าการเข้ารหัส CMK
แนวปฏิบัติที่ดีที่สุดของ DevSecOps สำหรับการใช้แอปพลิเคชันบนระบบคลาวด์
แอปพลิเคชันที่ใช้ระหว่างใช้บริการอย่าง ECS Container Service และ Function Compute จะมีข้อมูลละเอียดอ่อนเข้ามาเกี่ยวข้อง เช่น รหัสผ่าน ความลับ OAuth และคีย์ใบรับรองของเซิร์ฟเวอร์ KMS จะเข้ารหัสข้อมูลก่อนใช้งานและจะถอดรหัสข้อมูลหลังจากใช้งานแล้วหรือระหว่างการใช้งาน เพื่อรักษาความปลอดภัยของข้อมูลที่ละเอียดอ่อนระหว่างดำเนินงาน บำรุงรักษา ถ่ายโอนและจัดเก็บข้อมูล
สิทธิประโยชน์
ป้องกัน DevOps จากการเข้าถึงข้อมูลละเอียดอ่อน
ระบบ O&M จะมอบข้อมูลละเอียดอ่อนเข้ารหัสลับที่จำเป็นในสภาพแวดล้อมของการผลิตบนระบบคลาวด์ให้แก่บุคลากรด้านการวิจัยและพัฒนาเท่านั้น บุคลากรด้านการวิจัยและพัฒนาจะใส่ข้อความที่เข้ารหัสลับลงไปในโปรไฟล์หรือใช้เป็นตัวแปรของสภาพแวดล้อมให้ Function Compute ใช้ควบคุมความเสี่ยงจากการที่ข้อมูลรั่วไหล
การเข้ารหัสซองจดหมายที่มีประสิทธิภาพสูงและปรับขนาดได้
โครงสร้างคีย์สองระดับรองรับข้อมูลปริมาณมากและการทำงานพร้อมกันในระดับสูง
สิทธิประโยชน์
สำหรับการเข้ารหัสซองจดหมาย KMS จะสร้างโครงสร้างคีย์สองระดับ: ซึ่งก็คือ CMK จะเข้ารหัสคีย์ข้อมูล (DK) ไลบรารีแอปพลิเคชันต่างๆ ที่เข้ารหัส เช่น JCE และ OpenSSL ก็ใช้ DK เพื่อเข้ารหัสข้อมูลธุรกิจเฉพาะที่ การจัดเก็บข้อความที่เข้ารหัสลับของ DK ร่วมกับข้อมูลธุรกิจที่เข้ารหัส ในขั้นตอนการถอดรหัส จะมีการถอดรหัสข้อความที่เข้ารหัสลับของ DK ก่อนเป็นลำดับแรก จากนั้น ก็จะมีการใช้ข้อความธรรมดาของ DK เพื่อถอดรหัสข้อมูลธุรกิจเฉพาะที่หลังจากได้รับข้อความธรรมดาแล้ว
เข้ารหัสและจัดเก็บข้อมูลจำนวนมากด้วย OSS
คุณสามารถใช้ SDK การเข้ารหัสของไคลเอนต์ OSS เพื่อเข้ารหัสข้อมูลจำนวนมากก่อนอัปโหลด นอกจากนี้ คุณยังสามารถเรียกใช้ KMS เพื่อเข้ารหัสซองจดหมายได้อีกด้วย
เขียน/อ่านข้อมูลที่เข้ารหัสด้วย NoSQL ได้พร้อมกันเป็นอย่างมาก
จะมีการใช้ DK เดียวกันเพื่อเข้ารหัสข้อมูลในช่วงเวลาหรือตามพื้นที่ที่กำหนด (เช่น ในตารางหรือทุกๆ 5 วินาที) จะมีการแคชข้อความธรรมดาของ DK ในหน่วยความจำและมีการจัดเก็บข้อความที่เข้ารหัสลับของ DK ไว้ในที่จัดเก็บข้อมูลของ NoSQL
สร้างสภาพแวดล้อมการประมวลผลที่ปลอดภัยและน่าเชื่อถือ
สามารถใช้ KMS ร่วมกับ ECS Bare Metal Instance เพื่อสร้างสภาพแวดล้อมในการประมวลผลที่ปลอดภัย
ECS Bare Metal Instance มีการแยกตำแหน่งที่ตั้งที่ปลอดภัยและรองรับสภาพแวดล้อมการดำเนินงานที่ได้รับความไว้วางใจในระดับชิป (Intel® SGX) คุณสามารถสร้างสภาพแวดล้อมในการประมวลผลที่ปลอดภัย สำหรับการถ่ายโอน DK ระหว่าง KMS และบริการอื่นๆ ได้ผ่านการเข้ารหัสซองจดหมาย DK ดังกล่าวจะมีการใช้ในสภาพแวดล้อมในการประมวลผลที่ปลอดภัย เพื่อเข้ารหัสข้อมูลธุรกิจที่ละเอียดอ่อน ซึ่งออกนอกขอบเขต และถอดรหัสข้อความที่เข้ารหัสลับที่เข้าสู่ขอบเขต
สิทธิประโยชน์
จัดเก็บข้อมูลละเอียดอ่อนไว้ในสภาพแวดล้อมที่ปลอดภัย
จะมีการจัดเก็บข้อความธรรมดาของข้อมูลธุรกิจที่ละเอียดอ่อนในสภาพแวดล้อมที่ปลอดภัย ก่อนข้อมูลจะถูกจัดเก็บแบบถาวร ก็จะถูก KMS เข้ารหัสก่อน สำหรับขั้นตอนการเข้ารหัส จะไม่มีการส่งต่อข้อมูลธุรกิจที่ละเอียดอ่อนให้แก่ KMS
จัดเก็บ DK ในสภาพแวดล้อมที่ปลอดภัย
DK ที่ได้จาก KMS จะถูกจัดเก็บไว้ในสภาพแวดล้อมสำหรับการประมวลผลที่ปลอดภัยและใช้เพื่อการเข้ารหัสและถอดรหัสข้อมูลที่ถูกจัดเก็บถาวร ซึ่งเข้าออกสภาพแวดล้อมดังกล่าว สามารถส่งต่อคีย์ข้อมูลที่เข้ารหัสลับนอกสภาพแวดล้อมที่ปลอดภัยและจัดเก็บถาวรร่วมกับข้อมูลธุรกิจที่เข้ารหัสได้
การเข้ารหัสจากฝั่งเซิร์ฟเวอร์
การผนวกรวมการเข้ารหัส KMS ทางฝั่งของเซิร์ฟเวอร์และคุณก็จำเป็นต้องปรับแต่งคีย์และสิทธิ์อนุญาตเท่านั้น
เมื่อมีการผนวกรวม KMS เข้ากับบริการคลาวด์อื่นๆ คุณสามารถใช้ CMK ใน KMS เพื่อเข้ารหัสและปกป้องคุ้มครองข้อมูลในบริการคลาวด์อื่นๆ ได้ คุณจำเป็นต้องระบุ CMK ในการกำหนดค่าการเข้ารหัสบริการคลาวด์อื่นๆ เท่านั้น สิทธิ์อนุญาตใน CMK กำหนดผ่านทาง RAM และการเรียกใช้ KMS โดยบริการคลาวด์อื่นๆ ก็จะถูกตรวจสอบใน ActionTrail
สิทธิประโยชน์
บริหารจัดการความเสี่ยงด้วยการเข้ารหัสสำหรับสภาพแวดล้อมในการประมวลผลและการจัดเก็บข้อมูลแบบกระจาย
มีการใช้สภาพแวดล้อมในการประมวลผลและการจัดเก็บข้อมูลแบบกระจายและให้บริการผู้ใช้หลายรายบนระบบคลาวด์ ฟีเจอร์การเข้ารหัสของระบบคลาวด์ผสมผสานพฤติกรรมการประมวลผลและการจัดเก็บข้อมูลเข้ากับ KMS เช่น คุณจำเป็นต้องถอดรหัสคลาวด์ดิสก์ที่เข้ารหัสก่อนที่จะเริ่มอินสแตนซ์ ECS KMS ปกป้องคุ้มครองสำเนาคลาวด์ดิสก์ที่เข้ารหัสซ้ำซ้อนมากมายในระบบจัดเก็บข้อมูลแบบกระจายและสแนปช็อตที่สร้างขึ้นโดยอัตโนมัติจากคลาวด์ดิสก์ที่เข้ารหัส
การเข้ารหัสข้อมูลปริมาณมากอย่างสะดวก
การเข้ารหัสและการถอดรหัสข้อมูลจำนวนมากจะใช้ทรัพยากรในการประมวลผลอย่างมหาศาล ซึ่งไม่เป็นผลดีต่อประสิทธิภาพและอัตราความเร็วของระบบ Alibaba Cloud มีความสามารถในการเข้ารหัสจากฝั่งเซิร์ฟเวอร์สำหรับบริการคลาวด์ ซึ่งก็จะช่วยให้คุณจัดการการเข้ารหัส ควบคุมและมองเห็นพฤติกรรมการเข้ารหัสข้อมูลได้
รายการการเรียกเก็บเงินต่างๆ
| รุ่นของ KMS | ระดับการคุ้มครอง | ค่าธรรมเนียม (ต่อเวอร์ชันคีย์) | ค่า API (ต่อ 10K คำขอ) |
| คีย์ที่บริการคลาวด์จัดการเอง | ซอฟต์แวร์ | ฟรี | โควตาคำขอรายเดือนฟรี: 20K เกินโควตา: จีนแผ่นดินใหญ่: 0.08 USD ต่างประเทศ: 0.03 USD |
|---|---|---|---|
| คีย์ที่ลูกค้าจัดการเอง -- พื้นฐาน | ซอฟต์แวร์ | 0.06 USD/ต่อเดือน | จีนแผ่นดินใหญ่: 0.08 USD ต่างประเทศ: 0.03 USD |
| คีย์ที่ลูกค้าจัดการเอง -- พื้นฐาน | HSM | 1.00 USD/ต่อเดือน | จีนแผ่นดินใหญ่: 0.08 USD ต่างประเทศ: 0.03 USD |
| คีย์ที่ลูกค้าจัดการเอง -- ขั้นสูง | ซอฟต์แวร์ | 0.06 USD/ต่อเดือน | จีนแผ่นดินใหญ่: 0.24 USD ต่างประเทศ: 0.15 USD |
| คีย์ที่ลูกค้าจัดการเอง -- ขั้นสูง | HSM | 1-2000: 2.50 USD/ต่อเดือน 2000+: 1.00 USD/ต่อเดือน |
จีนแผ่นดินใหญ่: 0.24 USD ต่างประเทศ: 0.15 USD |
การสนับสนุนที่อัปเกรดสำหรับคุณ
ให้คำปรึกษาก่อนการขายในรูปแบบ 1 ต่อ 1 พร้อมการสนับสนุนทางเทคนิค 24/7 การตอบกลับที่รวดเร็ว และตั๋วสนับสนุนความช่วยเหลือที่มากขึ้น
ให้คำปรึกษาก่อนการขายในรูปแบบ 1 ต่อ 1
สนับสนุนทางเทคนิค 24/7
ตั๋วสนับสนุนความช่วยเหลือฟรี 6 ครั้งต่อไตรมาส
