托管密碼機是密鑰管理服務KMS(Key Management Service)提供的一項重要功能,助您在阿里云上輕松使用具有合規資質的硬件密碼機。
硬件密碼機是一種執行密碼運算、安全生成和存儲密鑰的硬件設備。通過將密鑰托管在這些高安全等級的硬件設備中,可以保護您在阿里云上最敏感的計算任務和資產。
硬件密碼機也叫硬件安全模塊(Hardware Security Module,簡稱HSM)。您無需單獨購買硬件密碼機,只需關注硬件密碼機是否能滿足您的合規要求。
支持的地域
您可以在下列地域使用托管密碼機。
地域 | 密碼機檢測類型 | 地域標識符 |
華北2(北京) | 國密局商用密碼檢測認證 | cn-beijing |
華北3(張家口) | 國密局商用密碼檢測認證 | cn-zhangjiakou |
華東1(杭州) | 國密局商用密碼檢測認證 | cn-hangzhou |
華東2(上海) | 國密局商用密碼檢測認證 | cn-shanghai |
華南1(深圳) | 國密局商用密碼檢測認證 | cn-shenzhen |
中國香港 | FIPS 140-2 第三級 | cn-hongkong |
新加坡 | FIPS 140-2 第三級 | ap-southeast-1 |
馬來西亞(吉隆坡) | FIPS 140-2 第三級 | ap-southeast-3 |
印度尼西亞(雅加達) | FIPS 140-2 第三級 | ap-southeast-5 |
美國(弗吉尼亞) | FIPS 140-2 第三級 | us-east-1 |
除以上公共云地域,KMS還在以下行業云地域支持您使用托管密碼機。
地域名稱 | 所在城市 | 密碼機檢測類型 | 地域標識符 |
華北2阿里政務云 | 北京 | 國密局商用密碼檢測認證 | cn-north-2-gov-1 |
華東1(杭州金融云) | 杭州 | 國密局商用密碼檢測認證 | cn-hangzhou-finance |
華東2(上海金融云) | 上海 | 國密局商用密碼檢測認證 | cn-shanghai-finance-1 |
華南1(深圳金融云) | 深圳 | 國密局商用密碼檢測認證 | cn-shenzhen-finance-1 |
合規
托管密碼機幫助您滿足嚴格的合規要求。根據各地區監管機構要求,阿里云提供的多種密碼機分別由不同的第三方機構認證,從而適應不同市場的地區性差異,滿足您的本地化和國際化需求。
對中國內地的地域:
國密檢測認證:阿里云運營的密碼機,已通過國家密碼管理局指定檢測機構的檢測認證。
國密合規:阿里云的托管密碼機符合國家密碼管理局相關技術要求和規范,為阿里云用戶提供符合國家和行業標準的商用密碼算法。
對中國內地之外的地域:
硬件的FIPS認證:阿里云運營的密碼機,包含它們的硬件和固件,已獲得FIPS 140-2第三級認證。
FIPS 140-2第三級合規:阿里云的托管密碼機運行在FIPS許可的第三級模式下。
PCI-DSS合規:阿里云的托管密碼機符合PCI-DSS合規的要求。
高安全保證
硬件保護
托管密碼機通過安全的硬件機制來保護KMS中的密鑰。用戶主密鑰的明文密鑰材料只會在密碼機的內部被處理,用于密碼運算,而不會離開密碼機硬件的安全邊界。
安全的密鑰生成
隨機性是密鑰強度的關鍵。通過使用托管密碼機,密鑰材料的產生基于安全、許可、且以高系統熵值為種子的隨機數生成算法,從而保護密鑰不被攻擊者恢復或者預判。
易運維
阿里云提供密碼機硬件的完全托管,免去您自己管理硬件所帶來的如下運維開銷:
硬件生命周期的管理
密碼機集群管理
高可用和可伸縮性管理
系統修補(Patching)
大部分災備工作
易集成
通過原生的密鑰管理能力,您可以從以下功能中受益:
密鑰版本管理
自動密鑰輪轉
資源標簽管理
可控制的授權機制
這些功能支持您的應用與托管密碼機快速集成,也支持云服務器ECS、關系型數據庫RDS等其他云服務與托管密碼機集成,實現云上數據靜態加密,而您無需為此投入研發成本。
保持對密鑰的控制
借助托管密碼機,您可以更好地控制云上的加密密鑰,將最具敏感性的計算任務和資產移動到云端。
同時使用托管密碼機和BYOK (Bring Your Own Key),您可以實現以下功能:
完全控制密鑰材料的生成方式
導入到托管HSM的密鑰材料只能被銷毀而無法被導出
完全控制密鑰的生命周期
完全控制密鑰的持久性
低成本
相比于通過本地密碼機自建密鑰基礎設施,托管密碼機采用云計算“用多少花多少”的計費模式,幫助您免去硬件采購的初始成本,以及后續研發和運維帶來的持續性投入。