密鑰管理服務(wù)（KMS）的重要性

隨著《網(wǎng)絡(luò)安全等級保護》、《網(wǎng)絡(luò)安全法》等各種安全法律法規(guī)的發(fā)布執(zhí)行以及個人、企業(yè)的安全意識逐漸增強。人們采用加密的方式進行數(shù)據(jù)存儲及傳輸，避免個人隱私數(shù)據(jù)、企業(yè)重要數(shù)據(jù)信息被監(jiān)聽、泄露、篡改、丟失等風(fēng)險。密鑰是打開網(wǎng)絡(luò)世界的鑰匙，因此加解密使用的密鑰必須妥善管理，如果密鑰泄露則數(shù)據(jù)被解密，如果密鑰丟失則無法被使用者解密。密鑰管理服務(wù)的意義在于把管理各種數(shù)據(jù)信息的復(fù)雜問題簡化成加解密數(shù)據(jù)的密鑰管理。密鑰管理服務(wù)可以幫助您輕松創(chuàng)建和管理密鑰，保護密鑰的保密性、完整性和可用性，滿足多應(yīng)用多業(yè)務(wù)的密鑰管理需求，并符合監(jiān)管和合規(guī)要求。極大的降低在密碼基礎(chǔ)設(shè)施和數(shù)據(jù)加解密產(chǎn)品上的采購、運維、研發(fā)開銷，幫助您更好的關(guān)注業(yè)務(wù)的發(fā)展。

青云KMS方案介紹

QingCloud密鑰管理服務(wù)（KMS）是一項托管服務(wù)，可助您輕松創(chuàng)建和管理密鑰，滿足審計、法規(guī)、合規(guī)性需求。實現(xiàn)用戶可控的數(shù)據(jù)安全加密，避免數(shù)據(jù)安全事故的發(fā)生。您可以通過控制臺以及API兩種方式創(chuàng)建和管理用戶主密鑰（CMK）。默認開啟密鑰輪轉(zhuǎn)功能，加強密鑰使用的安全性，實現(xiàn)數(shù)據(jù)保護的安全策略和最佳實踐。

日前，青云QingCloud密鑰管理服務(wù)（KMS）已上線，點擊以下鏈接即可訪問（https://console.qingcloud.com/pek3/kms/）。

創(chuàng)建密鑰

1、在 QingCloud 控制臺，點擊安全–>密鑰管理服務(wù)，進入密鑰管理服務(wù)頁面。

2、點擊創(chuàng)建，彈出創(chuàng)建用戶CMK窗口。

3、填寫相應(yīng)的參數(shù)信息，然后點擊提交。

（1）名稱：用戶密鑰的名稱。

（2）密鑰別名：用戶密鑰的別名。對密鑰的使用， 您既可以使用密鑰ID，也可以使用密鑰別名。

（3）密鑰類型：對稱加密。

（4）加密算法：SYMMETRIC_DEFAULT

（5）密鑰輪轉(zhuǎn)：是否打開密鑰自動輪換功能。默認每年輪轉(zhuǎn)一次。選項：開啟，關(guān)閉。

（6）描述：用戶密鑰的描述信息。

云服務(wù)器加載密鑰

您可以在創(chuàng)建云服務(wù)器時選擇密鑰。目前僅云服務(wù)器類型為企業(yè)級e2時支持加密功能。

備份制作鏡像加載密鑰

您可以在備份制作鏡像時加載密鑰。

1、在 QingCloud 控制臺，點擊存儲–>備份，進入備份頁面。

2、右鍵點擊要創(chuàng)建鏡像的備份，然后點擊制作成新鏡像，進入根據(jù)云服務(wù)器備份制作鏡像頁面。

3、輸入鏡像名稱并選擇是否加密，然后點擊制作成新鏡像。

SSD企業(yè)級硬盤加載密鑰

您可以在創(chuàng)建SSD企業(yè)級硬盤時加載密鑰。

青云KMS適用對象

1、等保測評：通過采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸、存儲過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息。滿足等保數(shù)據(jù)保密性要求。

2、云計算數(shù)據(jù)安全：云服務(wù)用戶通過使用密鑰管理服務(wù)（KMS），實現(xiàn)自行對敏感、核心數(shù)據(jù)的加解密過程。實現(xiàn)用戶可控的數(shù)據(jù)安全加密，避免數(shù)據(jù)安全事故的發(fā)生。

3、開發(fā)者：滿足Kubernetes集群 Secret落盤加密、信封加解密本地數(shù)據(jù)、在線加解密 SSL私鑰、敏感配置文件等需求。

青云KMS應(yīng)用場景

1、云產(chǎn)品（云硬盤）加密

隨著云計算、云存儲的廣泛應(yīng)用，越來越多的企業(yè)將重要核心數(shù)據(jù)存儲在云端，云產(chǎn)品的加密管理刻不容緩。青云KMS與大多數(shù)用于加密數(shù)據(jù)的其他青云的云服務(wù)集成。您通過使用在KMS中管理的密鑰，云產(chǎn)品可以加密任何歸屬于您的數(shù)據(jù)。這些數(shù)據(jù)既可以是您可以直接訪問的數(shù)據(jù)，也可以是您無法直接訪問的云產(chǎn)品內(nèi)部數(shù)據(jù)（例如數(shù)據(jù)庫引擎產(chǎn)生的文件）。從而達到增加云上數(shù)據(jù)的安全和隱私目的。

2、信封加密

信封加密是類似數(shù)字信封技術(shù)的一種加密手段。這種技術(shù)將加密數(shù)據(jù)的數(shù)據(jù)密鑰封入信封中存儲、傳遞和使用，不再使用主密鑰直接加解密數(shù)據(jù)。當您的業(yè)務(wù)需要使用信封加密時，您可以調(diào)用KMS的API生成一個對稱密鑰，同時使用指定的用戶主密鑰加密該對稱密鑰（被密封的信封保護）。在傳輸或存儲等非安全的通信過程中，直接傳遞被信封保護的對稱密鑰。當您需要使用該對稱密鑰時，打開信封取出密鑰即可。

3、密鑰輪轉(zhuǎn)

多次重復(fù)的使用加密密鑰，會增加加密密鑰的安全風(fēng)險。密鑰輪轉(zhuǎn)是用來加強密鑰使用的安全性，實現(xiàn)數(shù)據(jù)保護的安全策略和最佳實踐。開啟密鑰輪換后，密鑰管理服務(wù)會根據(jù)設(shè)置的輪換周期（默認一年）自動輪換密鑰，每次輪換都會生成一個新版本的用戶主密鑰。加密數(shù)據(jù)時，KMS會自動使用當前最新版本的用戶主密鑰來執(zhí)行加密操作；解密數(shù)據(jù)時，KMS會自動使用加密時所使用的用戶主密鑰來執(zhí)行解密操作。KMS會保留與該用戶主密鑰關(guān)聯(lián)的所有版本的用戶主密鑰。這使得KMS可以解密使用該用戶主密鑰加密的任何密文。

青云KMS功能介紹

功能架構(gòu)圖

主要功能如下：

1、密鑰管理：您可以按需創(chuàng)建多個用戶主密鑰CMK。KMS CMK滿足審計、法規(guī)和合規(guī)性需求的情況。支持對密鑰進行修改、禁用、啟用、計劃刪除等操作。默認開啟密鑰輪轉(zhuǎn)功能，加強密鑰使用的安全性，實現(xiàn)數(shù)據(jù)保護的安全策略和最佳實踐。

2、密鑰加密存儲：密鑰常用于保護特定的數(shù)據(jù)，因此數(shù)據(jù)的安全依賴于密鑰的安全。支持對用戶主密鑰CMK多重加密存儲，保障CMK不泄露。

3、密鑰操作API：您可以通過API的方式進行用戶主密鑰CMK創(chuàng)建、數(shù)據(jù)密鑰創(chuàng)建、在線加解密、密鑰輪轉(zhuǎn)等操作。

更多信息詳見：https://docsv3.qingcloud.com/security/key_management_service/