OCI专用KMS:在云中拥有您的密钥和HSM分区

2024年 2月 2日 35.9k 0

什么是OCI专用KMS(Dedicated KMS)?

OCI提供的加密方案专用KMS(Dedicated KMS)是完全托管、高度可用的单租户HSM分区。该服务为您提供对物理防篡改HSM设备内专用分区的独占访问和控制,有助于确保加密密钥的隔离和保护。您可以通过加密方式声明您的专用HSM分区,以获得对密钥生成、存储和使用的完全控制。这些分区经过FIPS 140-2安全级别3安全认证,为密钥管理提供更高级别的安全性。您可以使用PKCS#11等行业标准接口来执行加密操作,这些操作从您的应用程序到HSM进行端到端加密,无需OCI API或模块。默认情况下,专用KMS在每个OCI区域中提供三个HSM分区,这些分区自动同步并具有99.9%服务级别协议(SLA)的高可用性。您可以轻松地以三个增量添加或删除HSM分区,以满足您不断变化的安全需求。为了清楚起见,我们定义了以下相关术语:

  • 租户:您在OCI中的云帐户
  • OCI 专用 KMS:提供专用HSM分区的托管服务
  • HSM 集群:包含三个HSM分区的OCI资源
  • HSM 分区(专用):HSM内的单租户安全加密飞地,与您的密钥完全隔离
  • 应用程序:在OCI计算实例中运行的与OCI专用KMS交互以进行密钥管理的服务或进程

    OCI 专用KMS的主要优势

    专用KMS具有以下优势:

    • 增强的控制和可见性:

      • HSM分区的精细管理:专用KMS使您能够创建、配置和管理自己的HSM分区。

      • 直接访问和可审核性:您可以不受限制地访问HSM分区,从而能够进行彻底的审核并细致地跟踪密钥使用情况。

      • 可定制的安全策略:对HSM环境中的用户访问、密钥生命周期和加密操作建立精细控制,确保遵守独特的安全策略。

    • 专业应用程序和工作流程:

      • 直接HSM交互,实现低延迟:需要高性能加密操作的应用程序可以通过标准接口直接与HSM连接,例如 PKCS#11(广泛采用的加密操作行业标准),促进无缝集成和互操作性,尽可能地减少延迟并优化表现。

      • 公钥基础设施 (PKI) 部署:专用 KMS 提供在HSM内创建和管理自定义PKI基础设施的灵活性,满足特定的组织需求和安全标准。

    • 与标准接口无缝集成:PKCS#11,用于直接应用程序访问。

    支持的OCI服务

    为了使您的应用程序能够与专用KMS产品中的密钥进行交互,应用程序必须使用标准接口,例如PKCS#11。例如,您可以在OCI计算实例上运行PKI应用程序,并在HSM中创建证书颁发机构私钥,以在数字世界中签名和验证身份。

    专用 KMS 本身并未集成到OCI服务。因此,与数据库、存储和融合应用程序相关的OCI服务必须继续使用KMS提供的OCI Vault产品。

    专用KMS与私人保管库(Private Vault)的区别

    尽管两者都提供单租户HSM分区,但Private Vault和Dedicated KMS之间的主要区别在于您对HSM分区的控制级别。私人保管库(Private Vault)提供以下功能:

    • Oracle 负责管理HSM分区。
    • 您的控制权扩展到这些分区内的密钥,使您能够安全地创建、管理和使用它们。
    • 您可以通过OCI KMS API与HSM交互以进行加密操作。

    专用KMS提供以下功能:

    • 您可以获得更大的控制权,不仅可以管理密钥,还可以直接管理HSM分区和管理员用户。
    • 这种增强的控制可让您更深入地了解您的操作,并使您能够根据您的特定需求定制 HSM环境。
    • Oracle仍然处理基本的维护任务,例如使HSM上线和应用补丁,以确保其持续运行。
    • 您可以使用标准接口(例如 PKCS#11)直接与HSM交互,绕过OCI API以实现更简化、更高效的加密操作。

    用户体验

    要解锁OCI中的专用KMS,首先要请求增加其HSM群集资源的限制,因为它初始设置为零。该服务采用分层结构,以HSM集群作为父资源,其中包含三个HSM分区。如果您需要更多分区,请创建更多集群,因为您无法在集群内扩展分区。确保您设置了适当的身份和访问管理 (IAM) 策略来创建HSM集群。

    在Oracle Cloud Console中,通过导航到“密钥管理”和“秘密管理”并选择“专用密钥管理”来启动创建HSM集群的过程。准备好在多步骤集群激活过程中提供协助,该过程涉及以下状态下的用户干预:

    • 需要初始化:通过下载HSM证书签名请求 (CSR) 并上传自签名CSR来声明HSM分区的所有权。

    • 需要激活:在OCI计算实例中安装客户端实用程序后,更改HSM分区中预加密官 (PRECO) 的凭据。PRECO是一个临时且权限较低的用户,存在于从未激活的HSM分区上。必须修改此PRECO密码,以便您作为 HSM 分区的加密官 (CO) 获得完全控制权。

    现在,您的所有HSM分区都处于活动状态,您可以完全控制管理和使用它们进行加密操作。

    定价和限制

    OCI 专用KMS的定价为每个HSM分区每小时1.75美元。至少具有三个HSM分区,起始成本为每小时5.25美元。

    您必须明确请求创建HSM分区的限制。这些限制是区域性的,您可以根据您的业务需求请求更改限制。默认情况下,您将获得三个HSM分区,并且至多可以在这些分区中创建 3,000个密钥版本。

    下一步

    OCI KMS提供多种加密产品,以满足广泛的客户需求。您可以根据组织的特定安全性和合规性要求选择正确的产品。

    专用KMS为您提供单租户HSM分区作为托管服务,让您可以控制密钥和存储密钥的HSM 分区。了解它的直接方法就是尝试一下。请访问我们的网站,了解更多有关Oracle云基础设施安全产品的信息,可以注册免费套餐帐户尝试更多的功能。

    编辑:范宏伟

    相关文章

    Oracle如何使用授予和撤销权限的语法和示例
    Awesome Project: 探索 MatrixOrigin 云原生分布式数据库
    下载丨66页PDF,云和恩墨技术通讯(2024年7月刊)
    社区版oceanbase安装
    Oracle 导出CSV工具-sqluldr2
    ETL数据集成丨快速将MySQL数据迁移至Doris数据库

    发布评论