国内首家!阿里云外部密钥管理(EKM)能力发布

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心 免费版,不限时长
云安全中心 防病毒版,最高20核 3个月
简介: 更安全的密钥使用方式

在云上,AK(AccessKey)可以说是必不可少的通行证,企业所有的云上资源(云存储、云虚拟机、云数据库...)都可以用相应的AK进行访问,正所谓“一夫当关万夫莫开”,AK自身的安全性,以及云上数据保护,成为了企业关注的焦点。阿里云在2017年已推出密钥管理服务(KMS),能够帮助客户更安全地管理AK、实现敏感数据加密,包含密钥轮转、BYOK、AK凭据管理等能力。

近期,阿里云KMS产品再发外部密钥管理(EKM)能力,将密钥可控性大幅提升,也是国内首家正式具备多云、混合云、IDC多环境密钥统管能力的厂商。客户可通过第三方合作伙伴密码机中的密钥来加密并保护阿里云中的数据,实现在线下安全边界内管理云上敏感资产,提供更高级别的安全保护和控制。

更可控的密钥存储

客户可通过阿里云外(线下IDC/其他云)密钥管理器中存储的密钥,与阿里云上密钥管理实例中的KMS密钥建立关联和映射,则当客户调用云资源时,或使用KMS密钥进行加解密时,实际上是通过安全通道调用外部管理器中存储的密钥来实现。这种支持客户“持有自己密钥”的方式在业内被称之为HYOK(Hold Your Own Key),密钥保留在客户线下的密码机中,不会缓存或存储在云上,完全由客户自己掌控,实现更高级别控制权的同时,也满足企业合规要求。
架构图@2x.png
更集中的密钥管理

企业在线下IDC场景、其他云及阿里云上存储的密钥,均可以通过阿里云KMS统一集中管理,提升运维效率的同时,也满足多样化的合规和场景需求。

更精细的访问控制

对于在线下或其他云上存储的密钥,用户可以随时管理/禁止其访问权限,从而对其在阿里云上资源进行管理,实现“云下管云上”;当然,用户也可以使用阿里云提供的RAM Policy、Key Policy能力来管理外部密钥的访问权限,并实现精细化访问控制。

更丰富的链接方式

支持通过互联网或者私网连接(PrivateLink)等不同方式实现与外部密钥管理器的通信,并在通信过程中采用HTTPS协议提供端到端的加密,确保密钥元数据信息和密钥操作的安全传输。

阿里云KMS现已实现和云上90多款产品的深度集成,包括ECS、OSS、RDS、MaxCompute等,统一的云原生底座也让加解密的过程更加便捷,用户可实现一键开启透明加解密,操作简单的同时也确保了安全性。

但需要注意的是,不同于云上安全责任共担,外部密钥管理(EKM)模式虽然给予了客户最大程度的可控性,这同样意味着客户需要对存储在阿里云外的密钥存储、加密操作的安全性与完整性负责。

最后,阿里云已经形成了一套完整的KMS外部密钥接口规范,诚邀三方伙伴共同合作,提供给客户更多品牌选择。

相关文章
|
3月前
|
存储 NoSQL Java
|
5月前
|
NoSQL 数据库 Redis
|
7月前
|
算法 Java 开发工具
使用阿里云KMS产品针对 Springboot 接口参数加密解密功能
针对Springboot里面使用开源工具使用加解密,替换成阿里云KMS产品进行加解密;
909 2
|
7月前
|
安全 网络协议 Java
SpringBoot+阿里云配置HTTPS加密访问
SpringBoot+阿里云配置HTTPS加密访问
202 0
|
数据安全/隐私保护 块存储
阿里云最新产品手册——阿里云核心产品——块存储——ECD块存储加密
阿里云最新产品手册——阿里云核心产品——块存储——ECD块存储加密自制脑图
128 1
|
弹性计算 人工智能 Kubernetes
基于英特尔®架构的阿里云服务网格ASM技术加速应用服务加密通信
微服务架构的发展带来了诸多优势,然而这些分布众多的微服务也会增加安全性方面的挑战,每个微服务都是一个可被攻击的目标。为了提升网络通信的安全防护能力,有效对抗网络威胁,采用微服务架构的服务网格普遍采用了基于安全传输层协议(TLS)的安全数据传输。但同时,TLS协议中的非对称加解密会消耗大量的CPU资源,影响了服务网格的性能表现,并带来了较高的总体拥有成本(TCO)。
586 12
基于英特尔®架构的阿里云服务网格ASM技术加速应用服务加密通信
|
安全 算法 Cloud Native
使用阿里云服务网格 ASM 和 Intel Multi-Buffer 技术实现更快的应用服务间加密通信|学习笔记
快速学习使用阿里云服务网格 ASM 和 Intel Multi-Buffer 技术实现更快的应用服务间加密通信
使用阿里云服务网格 ASM 和 Intel Multi-Buffer 技术实现更快的应用服务间加密通信|学习笔记
|
数据安全/隐私保护 容器 弹性计算
阿里云容器服务ACK集群如何使用BYOK创建加密云盘
当您的业务因为安全需求或法规合规要求等原因,需要对存储在云盘上的数据进行加密保护时,您可以在ACK容器集群中使用云盘加密功能,无需构建、维护和保护自己的密钥管理基础设施,即可保护数据的隐私性和自主性。
阿里云容器服务ACK集群如何使用BYOK创建加密云盘
|
安全 小程序 Java
支付宝应用和小程序开发:使用阿里云KMS保护应用私钥
支付宝开放平台的应用体系中,应用私钥是最核心的安全要素,使用阿里云KMS保护私钥不泄露,可以极大的提高应用和小程序的安全性,帮主应用开发者企业保障业务和资金安全。
2350 0
支付宝应用和小程序开发:使用阿里云KMS保护应用私钥