OCI专用KMS:在云中拥有您的密钥和HSM分区
什么是OCI专用KMS(Dedicated KMS)?
OCI提供的加密方案专用KMS(Dedicated KMS)是完全托管、高度可用的单租户HSM分区。该服务为您提供对物理防篡改HSM设备内专用分区的独占访问和控制,有助于确保加密密钥的隔离和保护。您可以通过加密方式声明您的专用HSM分区,以获得对密钥生成、存储和使用的完全控制。这些分区经过FIPS 140-2安全级别3安全认证,为密钥管理提供更高级别的安全性。您可以使用PKCS#11等行业标准接口来执行加密操作,这些操作从您的应用程序到HSM进行端到端加密,无需OCI API或模块。默认情况下,专用KMS在每个OCI区域中提供三个HSM分区,这些分区自动同步并具有99.9%服务级别协议(SLA)的高可用性。您可以轻松地以三个增量添加或删除HSM分区,以满足您不断变化的安全需求。为了清楚起见,我们定义了以下相关术语:
- 租户:您在OCI中的云帐户
- OCI 专用 KMS:提供专用HSM分区的托管服务
- HSM 集群:包含三个HSM分区的OCI资源
- HSM 分区(专用):HSM内的单租户安全加密飞地,与您的密钥完全隔离
- 应用程序:在OCI计算实例中运行的与OCI专用KMS交互以进行密钥管理的服务或进程
增强的控制和可见性:
HSM分区的精细管理:专用KMS使您能够创建、配置和管理自己的HSM分区。
直接访问和可审核性:您可以不受限制地访问HSM分区,从而能够进行彻底的审核并细致地跟踪密钥使用情况。
可定制的安全策略:对HSM环境中的用户访问、密钥生命周期和加密操作建立精细控制,确保遵守独特的安全策略。
专业应用程序和工作流程:
直接HSM交互,实现低延迟:需要高性能加密操作的应用程序可以通过标准接口直接与HSM连接,例如 PKCS#11(广泛采用的加密操作行业标准),促进无缝集成和互操作性,尽可能地减少延迟并优化表现。
公钥基础设施 (PKI) 部署:专用 KMS 提供在HSM内创建和管理自定义PKI基础设施的灵活性,满足特定的组织需求和安全标准。
与标准接口无缝集成:PKCS#11,用于直接应用程序访问。
OCI 专用KMS的主要优势
专用KMS具有以下优势:
支持的OCI服务
为了使您的应用程序能够与专用KMS产品中的密钥进行交互,应用程序必须使用标准接口,例如PKCS#11。例如,您可以在OCI计算实例上运行PKI应用程序,并在HSM中创建证书颁发机构私钥,以在数字世界中签名和验证身份。
专用 KMS 本身并未集成到OCI服务。因此,与数据库、存储和融合应用程序相关的OCI服务必须继续使用KMS提供的OCI Vault产品。
专用KMS与私人保管库(Private Vault)的区别
