在云上,AK(AccessKey)可以说是必不可少的通行证,企业所有的云上资源(云存储、云虚拟机、云数据库...)都可以用相应的AK进行访问,正所谓“一夫当关万夫莫开”,AK自身的安全性,以及云上数据保护,成为了企业关注的焦点。阿里云在2017年已推出密钥管理服务(KMS),能够帮助客户更安全地管理AK、实现敏感数据加密,包含密钥轮转、BYOK、AK凭据管理等能力。
近期,阿里云KMS产品再发外部密钥管理(EKM)能力,将密钥可控性大幅提升,也是国内首家正式具备多云、混合云、IDC多环境密钥统管能力的厂商。客户可通过第三方合作伙伴密码机中的密钥来加密并保护阿里云中的数据,实现在线下安全边界内管理云上敏感资产,提供更高级别的安全保护和控制。
更可控的密钥存储
客户可通过阿里云外(线下IDC/其他云)密钥管理器中存储的密钥,与阿里云上密钥管理实例中的KMS密钥建立关联和映射,则当客户调用云资源时,或使用KMS密钥进行加解密时,实际上是通过安全通道调用外部管理器中存储的密钥来实现。这种支持客户“持有自己密钥”的方式在业内被称之为HYOK(Hold Your Own Key),密钥保留在客户线下的密码机中,不会缓存或存储在云上,完全由客户自己掌控,实现更高级别控制权的同时,也满足企业合规要求。
更集中的密钥管理
企业在线下IDC场景、其他云及阿里云上存储的密钥,均可以通过阿里云KMS统一集中管理,提升运维效率的同时,也满足多样化的合规和场景需求。
更精细的访问控制
对于在线下或其他云上存储的密钥,用户可以随时管理/禁止其访问权限,从而对其在阿里云上资源进行管理,实现“云下管云上”;当然,用户也可以使用阿里云提供的RAM Policy、Key Policy能力来管理外部密钥的访问权限,并实现精细化访问控制。
更丰富的链接方式
支持通过互联网或者私网连接(PrivateLink)等不同方式实现与外部密钥管理器的通信,并在通信过程中采用HTTPS协议提供端到端的加密,确保密钥元数据信息和密钥操作的安全传输。
阿里云KMS现已实现和云上90多款产品的深度集成,包括ECS、OSS、RDS、MaxCompute等,统一的云原生底座也让加解密的过程更加便捷,用户可实现一键开启透明加解密,操作简单的同时也确保了安全性。
但需要注意的是,不同于云上安全责任共担,外部密钥管理(EKM)模式虽然给予了客户最大程度的可控性,这同样意味着客户需要对存储在阿里云外的密钥存储、加密操作的安全性与完整性负责。
最后,阿里云已经形成了一套完整的KMS外部密钥接口规范,诚邀三方伙伴共同合作,提供给客户更多品牌选择。