Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Actualización más reciente 2022-11-03 GMT+08:00

¿Qué es DEW?

DEW

Los datos son el activo principal de una empresa. Cada empresa tiene sus datos confidenciales principales, que deben ser cifrados y protegidos contra violaciones de seguridad.

Data Encryption Workshop (DEW) es un servicio de encriptación de datos en la nube. Se compone de Key Management Service (KMS), Cloud Secret Management Service (CSMS), Key Pair Service (KPS), y Dedicated Hardware Security Module (Dedicated HSM), lo que le ayuda a proteger sus datos y claves, y simplifica la gestión de claves. DEW utiliza HSMs para proteger la seguridad de sus claves, y se puede integrar con otros Servicios de Huawei Cloud para abordar problemas de seguridad de datos, seguridad de claves y gestión de claves. Además, DEW le permite desarrollar aplicaciones de encriptación personalizadas.

Tabla 1 Descripción general del servicio

Servicio

Descripción

Referencia

Key Management Service

(KMS)

KMS es un servicio seguro, confiable y fácil de usar para administrar sus claves en la nube. Le ayuda a crear, gestionar y proteger claves fácilmente.

KMS utiliza módulos de seguridad de hardware (HSM) para proteger las claves, lo que le ayuda a crear y controlar las claves maestras del cliente (CMK) con facilidad. Todas las CMK están protegidas por claves root en HSM para evitar fugas de claves.

Tipos de clave

Cloud Secret Management Service

(CSMS)

CSMS es un servicio de alojamiento secreto seguro, confiable y fácil de usar.

Los usuarios o las aplicaciones pueden usar CSMS para crear, recuperar, actualizar y eliminar credenciales de manera unificada durante todo el ciclo de vida de las credenciales. CSMS puede ayudarlo a eliminar los riesgos incurridos por la codificación de hardware, la configuración de texto sin formato y el abuso de permisos.

Creación de un secreto

Key Pair Service

(KPS)

KPS es un servicio en la nube seguro, confiable y fácil de usar diseñado para gestionar y proteger sus pares de claves SSH (pares de claves para abreviar).

KPS usa HSMs para generar números aleatorios verdaderos que luego se usan para producir pares de claves. Además, adopta una solución de gestión de pares de claves completa y confiable para ayudar a los usuarios a crear, importar y gestionar pares de claves con facilidad. La clave pública de un par de claves generado se almacena en KPS mientras que la clave privada se puede descargar y guardar por separado, lo que garantiza la privacidad y seguridad del par de claves.

Creación de par de claves

Dedicated Hardware Security Module

(Dedicated HSM)

HSM dedicado permite la encriptación de datos en la nube, específicamente, cifrar y descifrar datos, verificar firmas, generar claves y almacenar claves.

HSM dedicado proporciona encriptación de hardware, garantizando la seguridad y la integridad de los datos en Elastic Cloud Servers (ECSs) y cumpliendo con los requisitos de cumplimiento. HSM dedicado le ofrece una gestión segura y confiable de las claves generadas por sus instancias, y utiliza múltiples algoritmos para el encriptación y desencriptación de datos.

HSM dedicado

Conceptos

Esta sección describe los conceptos básicos en DEW.

Tabla 2 Conceptos Básicos

Artículo

Definición

Referencia

Hardware Security Module

(HSM)

Un HSM es un tipo de hardware informático que protege y administra las claves utilizadas por los sistemas de autenticación fuertes y proporciona operaciones criptográficas relacionadas.

-

Customer Master Key

(CMK)

Una CMK es una Key Encryption Key (KEK) creada por un usuario o servicio en la nube que utiliza KMS. Se utiliza para cifrar y proteger Data Encryption Keys (DEKs). Se puede usar un CMK para cifrar uno o más DEK.

Los CMK se clasifican en claves personalizadas y claves predeterminadas.

¿Qué es una clave maestra del cliente?

Default Master Key

(DMK)

Otro servicio en la nube que utiliza KMS crea automáticamente una clave maestra predeterminada, como el Object Storage Service (OBS). El alias de una clave maestra predeterminada termina en /default.

¿Qué es una clave maestra predeterminada?

Key material

Los materiales clave son entradas importantes para las operaciones criptográficas. Un CMK consiste en un ID de clave, metadatos y un material de clave.

-

Envelope encryption

El encriptación de sobres es la práctica de cifrar datos con un DEK y luego cifrar el DEK con una clave root que puede gestionar completamente. En este caso, los CMK no son necesarios para el encriptación o desencriptación.

¿Cuáles son los beneficios del Envelope Encryption?

Data Encryption Key

(DEK)

Se utiliza un DEK para cifrar datos.

¿Qué es una clave de cifrado de datos?

Symmetric key encryption

La encriptación de clave simétrica también se denomina encriptación de clave dedicada. El remitente y el receptor usan la misma clave para cifrar y descifrar datos.

Ventaja: El cifrado y el descifrado son rápidos.

Desventaja: Cada par de llaves debe ser único. La gestión de claves es difícil si hay un gran número de usuarios.

Escenario: Cifrar una gran cantidad de datos.

Tipos de clave

Asymmetric key encryption

La encriptación de clave asimétrica también se denomina encriptación de clave pública. Se utilizan un par de claves para la encriptación y la desencriptación. Una es una clave pública, y la otra es una clave privada.

Ventaja: Se utilizan diferentes claves para la encriptación y la desencriptación, mejorando la seguridad.

Desventaja: El cifrado y el descifrado son lentos.

Escenario: Cifrar información confidencial.

Tipos de clave

Key pair

Un par de claves es un par de clave pública asimétrica y clave privada. Por defecto, RSA-2048 se utiliza para criptografía.

Gestión de pares de claves

Private key pair

Un par de claves privadas puede ser visto o utilizado solo por la cuenta actual.

Creación de un par de claves

Account key pair

Todos los usuarios de la cuenta pueden ver o usar un par de claves de cuenta.

Actualización de un par de claves