应用场景
敏感数据加密
技术应用:敏感信息加密是密钥管理系统核心的能力,实际应用中主要用来保护服务器硬盘上敏感数据的安全(小于4KB),如密钥、证书、配置文件等。
场景举例:密钥、证书、后台配置文件。
面临挑战:机密信息泄露、加密通道安全问题、签名被伪造。
解决方案:您可以通过密钥管理系统的API或在线工具对密钥加解密,加密后本地保存密钥的密文文件,使用时解密且不保存本地,使得攻击者难以获取,从而保证网页和应用的安全性。
信封加密
技术应用:信封加密(Envelope Encryption)是一种应对海量数据的高性能加解密方案。在密钥管理系统的信封加密场景中,只需要传输数据加密密钥 DEK 到密钥管理服务端(通过CMK进行加解密),所有的业务数据都是采用高效的本地对称加密处理,对业务的访问体验影响很小。
场景举例:核心数据保护。
解决方案:您可将所有核心数据通过数据密钥加密,保存在对应的存储容器内,数据密钥再经过密钥管理服务加密,为核心数据提供双重保护。同时,缺乏有效权限的人员,即使拿到密文的数据密钥和数据,也无法得到其中内容,保障核心数据不会泄漏。
密钥导入
技术应用:在腾讯云上实施BYOK(Bring Your Own Key)方案,允许您在腾讯云架构上使用您自有的密钥材料进行敏感数据加解密服务。
场景举例:自有密钥材料进行敏感数据加解密服务。
解决方案:实施BYOK(Bring Your Own Key)方案,可通过KMS服务生成一个密钥材料为空的 CMK,并将自己的密钥材料导入到该用户主密钥中,形成一个外部密钥CMK(EXTERNAL CMK),再由KMS服务进行该外部密钥的分发管理。
白盒密钥管理
使用场景:白盒密钥用于保护端上的敏感根密钥信息,例如API SecretKey,用户内部系统使用的鉴权密钥或token,其它本地敏感根密钥信息等。了解API SecretKey详情
解决方案:使用白盒密钥管理工具加密API SecretKey,实现SecretKey的保密性,即使密钥丢失,也不容易造成信息的泄露。
