OCI专用KMS：在云中拥有您的密钥和HSM分区

什么是OCI专用KMS（Dedicated KMS）？

OCI提供的加密方案专用KMS(Dedicated KMS)是完全托管、高度可用的单租户HSM分区。该服务为您提供对物理防篡改HSM设备内专用分区的独占访问和控制，有助于确保加密密钥的隔离和保护。您可以通过加密方式声明您的专用HSM分区，以获得对密钥生成、存储和使用的完全控制。这些分区经过FIPS 140-2安全级别3安全认证，为密钥管理提供更高级别的安全性。您可以使用PKCS#11等行业标准接口来执行加密操作，这些操作从您的应用程序到HSM进行端到端加密，无需OCI API或模块。默认情况下，专用KMS在每个OCI区域中提供三个HSM分区，这些分区自动同步并具有99.9%服务级别协议(SLA)的高可用性。您可以轻松地以三个增量添加或删除HSM分区，以满足您不断变化的安全需求。为了清楚起见，我们定义了以下相关术语：

• 租户：您在OCI中的云帐户
• OCI 专用 KMS：提供专用HSM分区的托管服务
• HSM 集群：包含三个HSM分区的OCI资源
• HSM 分区（专用）：HSM内的单租户安全加密飞地，与您的密钥完全隔离
• 应用程序：在OCI计算实例中运行的与OCI专用KMS交互以进行密钥管理的服务或进程

OCI 专用KMS的主要优势

专用KMS具有以下优势：

• 增强的控制和可见性：

• HSM分区的精细管理：专用KMS使您能够创建、配置和管理自己的HSM分区。

• 直接访问和可审核性：您可以不受限制地访问HSM分区，从而能够进行彻底的审核并细致地跟踪密钥使用情况。

• 可定制的安全策略：对HSM环境中的用户访问、密钥生命周期和加密操作建立精细控制，确保遵守独特的安全策略。

• 专业应用程序和工作流程：

• 直接HSM交互，实现低延迟：需要高性能加密操作的应用程序可以通过标准接口直接与HSM连接，例如 PKCS#11（广泛采用的加密操作行业标准），促进无缝集成和互操作性，尽可能地减少延迟并优化表现。

• 公钥基础设施 (PKI) 部署：专用 KMS 提供在HSM内创建和管理自定义PKI基础设施的灵活性，满足特定的组织需求和安全标准。

• 与标准接口无缝集成：PKCS#11，用于直接应用程序访问。

支持的OCI服务

为了使您的应用程序能够与专用KMS产品中的密钥进行交互，应用程序必须使用标准接口，例如PKCS#11。例如，您可以在OCI计算实例上运行PKI应用程序，并在HSM中创建证书颁发机构私钥，以在数字世界中签名和验证身份。

专用 KMS 本身并未集成到OCI服务。因此，与数据库、存储和融合应用程序相关的OCI服务必须继续使用KMS提供的OCI Vault产品。

专用KMS与私人保管库（Private Vault）的区别

尽管两者都提供单租户HSM分区，但Private Vault和Dedicated KMS之间的主要区别在于您对HSM分区的控制级别。私人保管库（Private Vault）提供以下功能：

• Oracle 负责管理HSM分区。
• 您的控制权扩展到这些分区内的密钥，使您能够安全地创建、管理和使用它们。
• 您可以通过OCI KMS API与HSM交互以进行加密操作。

专用KMS提供以下功能：

• 您可以获得更大的控制权，不仅可以管理密钥，还可以直接管理HSM分区和管理员用户。
• 这种增强的控制可让您更深入地了解您的操作，并使您能够根据您的特定需求定制 HSM环境。
• Oracle仍然处理基本的维护任务，例如使HSM上线和应用补丁，以确保其持续运行。
• 您可以使用标准接口（例如 PKCS#11）直接与HSM交互，绕过OCI API以实现更简化、更高效的加密操作。

用户体验

要解锁OCI中的专用KMS，首先要请求增加其HSM群集资源的限制，因为它初始设置为零。该服务采用分层结构，以HSM集群作为父资源，其中包含三个HSM分区。如果您需要更多分区，请创建更多集群，因为您无法在集群内扩展分区。确保您设置了适当的身份和访问管理 (IAM) 策略来创建HSM集群。

在Oracle Cloud Console中，通过导航到“密钥管理”和“秘密管理”并选择“专用密钥管理”来启动创建HSM集群的过程。准备好在多步骤集群激活过程中提供协助，该过程涉及以下状态下的用户干预：

• 需要初始化：通过下载HSM证书签名请求 (CSR) 并上传自签名CSR来声明HSM分区的所有权。

• 需要激活：在OCI计算实例中安装客户端实用程序后，更改HSM分区中预加密官 (PRECO) 的凭据。PRECO是一个临时且权限较低的用户，存在于从未激活的HSM分区上。必须修改此PRECO密码，以便您作为 HSM 分区的加密官 (CO) 获得完全控制权。

现在，您的所有HSM分区都处于活动状态，您可以完全控制管理和使用它们进行加密操作。

定价和限制

OCI 专用KMS的定价为每个HSM分区每小时1.75美元。至少具有三个HSM分区，起始成本为每小时5.25美元。

您必须明确请求创建HSM分区的限制。这些限制是区域性的，您可以根据您的业务需求请求更改限制。默认情况下，您将获得三个HSM分区，并且至多可以在这些分区中创建 3,000个密钥版本。

下一步

OCI KMS提供多种加密产品，以满足广泛的客户需求。您可以根据组织的特定安全性和合规性要求选择正确的产品。

专用KMS为您提供单租户HSM分区作为托管服务，让您可以控制密钥和存储密钥的HSM 分区。了解它的直接方法就是尝试一下。请访问我们的网站，了解更多有关Oracle云基础设施安全产品的信息，可以注册免费套餐帐户尝试更多的功能。

编辑：范宏伟