混合云密钥管理解决方案
背景简介
/
BACKGROUND INTRODUCTION
>>>
鉴于云计算技术的低成本、弹性伸缩、高度集成以及自动化等特点,企业上云已成为其在数字化转型过程中的最优选择。目前,已经有大批企业用户在云中完成了自身业务系统的构建、迁移、整合以及相应服务的上线,企业在云化过程中考虑到业务系统/数据的高可用及灾备等问题,往往会选择多云或者云+数据中心的部署架构。同时除计算、存储及网络资源以外,云资源厂商所提供的安全资源或服务也越来越被用户所看重。三未信安以安全合规国密密码产品为主为混合云架构下(传统数据中心+公有云架构)的数据加密及密钥统一托管提供安全解决方案
解决方案
/
SOLUTION
>>>
云+数据中心部署场景:为满足业务系统高并发的需求,用户通常将业务系统部署在公有云中。但内部办公、财务管理等核心业务系统会选择部署在自建数据中心(本地或异地),并且核心数据的存储也选择保存在本地。数据存储的容器既包括公有云提供的Storage,RAID、DB及RDS等,也包括IDC中的数据库,NAS/SAN存储服务器等。用户无法仅使用云中或本地的数据加密方案做到全方位的数据保护,云中与本地对数据加密密钥无法做到统一管理。
针对云+数据中心的部署场景,用户可以通过构建企业级统一密钥管理系统来解决密钥统一管理、数据统一保护的问题,即通过在IDC搭建密钥管理系统,为数据中心及云中的数据提供统一的数据加密方案。
三未信安为用户提供安全合规企业级统一密钥系统服务(SecKMS)及数据安全加密组件服务(SecHSM),用户可以将密钥管理系统部署在IDC对应用使用的密钥进行统一的、全生命周期的管理,并且为IDC及云中提供密钥安全下发及数据加密的服务。
业务系统层加密
选择需要加解密资源的业务系统,在SecKMS中为该业务系统创建对应的用户,业务系统需保证和SecKMS网络可达,并且用户可在SecKMS启用SSL实现与业务系统交互时的安全传输。
块存储/文件系统透明加密
对于本地或云中的数据存储容器(存储服务器/EBS/EFS等),可通过在数据存储容器侧安装SecKMS提供的SecStorage产品,实现块存储/文件系统容器的数据透明加解密及数据加密密钥管理,用户无需关心数据的加解密过程,方便易用。
结构化数据加密
对于IDC或云中的数据库(云中RDS除外),可通过在数据库侧安装SecKMS提供的SecDB产品,实现对结构化数据的透明加解密及数据加密密钥管理。
密钥统一托管
IDC及云中的密钥统一由SecKMS管理,可提供各种类型的API(PKCS#11,JCE,SDF,RESTFul等)供不同的业务系统调用,功能涵盖密钥生成、密钥获取、密钥轮换、加密/解密、签名/验签等。
方案优势
/
PROGR AM ADVANTAGES
>>>
使用由三未信安统一密钥管理解决方案的优势在于:
统一托管IDC及云中使用的所有密钥,支持对称密钥、非对称密钥、数字证书等多种加密对象的统一管理,并提供加密对象的生命周期管理、加密属性管理及策略配置,减轻用户的运维成本;
加密场景覆盖面广,支持业务系统敏感数据加密和密钥管理、虚拟机加密、数据库透明数据加密、大数据平台加密、文件系统与磁盘加密等丰富的数据加密和密钥管理扩展方案,减少用户的开发维护成本;
支持密钥互操作协议(KMIP),通过KMIP的互操作性,可实现业务系统与密钥管理系统之间进行通信,用户只需部署一套密钥管理系统就可以管理企业中的所有加密系统;
密钥的使用权及管理权归属于用户,对每个密钥分配唯一密钥用户,只有认证后的用户才能访问相应密钥,可对密钥设置加解密、签名验证和密钥获取等控制策略,并配置密钥的访问时间等细粒度控制,通过访问控制策略保证密钥的安全使用和安全管理;
采用合规的密码算法、密码产品、密码协议和密码技术,硬件密码模块(HSM)采用符合国家批准的三级密码模块或FIPS140-2level3硬件;
可为用户提供个性化的定制开发,使密钥管理能够与用户应用高度贴合,更加易用。
