O que é o DEW?
DEW
Os dados são o principal ativo de uma empresa. Cada empresa tem seus principais dados confidenciais, que precisam ser criptografados e protegidos contra violações.
O Data Encryption Workshop (DEW) é um serviço de criptografia de dados na nuvem. Consiste no Key Management Service (KMS), Cloud Secret Management Service (CSMS), Key Pair Service (KPS), e Dedicated Hardware Security Module (Dedicated HSM), ajudando você a proteger seus dados e chaves e simplificando o gerenciamento de chaves. A DEW usa HSMs para proteger a segurança de suas chaves e pode ser integrada a outros serviços da HUAWEI CLOUD para resolver problemas de segurança de dados, segurança de chaves e gerenciamento de chaves. Além disso, o DEW permite que você desenvolva aplicações de criptografia personalizados.
Serviço |
Descrição |
Referência |
|---|---|---|
Key Management Service (KMS) |
O KMS é um serviço seguro, confiável e fácil de usar para gerenciar suas chaves na nuvem. Ele ajuda você a criar, gerenciar e proteger chaves com facilidade. O KMS usa Módulos de segurança de hardware (HSMs) para proteger chaves, ajudando você a criar e controlar chaves mestras de clientes (CMKs) com facilidade. Todas as CMKs são protegidas por chaves raiz nos HSMs para evitar vazamento de chaves. |
|
Cloud Secret Management Service (CSMS) |
O CSMS é um serviço de hospedagem secreta seguro, confiável e fácil de usar. Os usuários ou aplicações podem usar o CSMS para criar, recuperar, atualizar e excluir credenciais de maneira unificada durante todo o ciclo de vida das credenciais. O CSMS pode ajudá-lo a eliminar os riscos incorridos pela codificação rígida, configuração de texto simples e abuso de permissão. |
|
Key Pair Service (KPS) |
O KPS é um serviço de nuvem seguro, confiável e fácil de usar, projetado para gerenciar e proteger seus pares de chaves SSH (abreviação de pares de chaves). O KPS usa HSMs para gerar números aleatórios verdadeiros que são então usados para produzir pares de chaves. Além disso, adota uma solução de gerenciamento de pares de chaves completa e confiável para ajudar os usuários a criar, importar e gerenciar pares de chaves com facilidade. A chave pública de um par de chaves gerado é armazenada no KPS, enquanto a chave privada pode ser baixada e salva separadamente, o que garante a privacidade e a segurança do par de chaves. |
|
Dedicated Hardware Security Module (Dedicated HSM) |
O Dedicated HSM permite a criptografia de dados na nuvem, especificamente, criptografando e descriptografando dados, verificando assinaturas, gerando chaves e armazenando chaves. O Dedicated HSM fornece hardware de criptografia, garantindo a segurança e a integridade dos dados em Elastic Cloud Servers (ECSs) e atendendo aos requisitos de conformidade. O Dedicated HSM oferece um gerenciamento seguro e confiável para as chaves geradas por suas instâncias e usa vários algoritmos para criptografia e descriptografia de dados. |
Conceitos
Esta seção descreve os conceitos básicos do DEW.
Item |
Definição |
Referência |
|---|---|---|
Módulo de segurança de hardware (HSM) |
Um HSM é um tipo de hardware de computador que protege e gerência as chaves usadas por sistemas de autenticação forte e fornece operações criptográficas relacionadas. |
- |
Chave mestra do cliente (CMK) |
Uma CMK é uma chave de criptografia de chave (KEK) criada por um usuário ou serviço de nuvem usando o KMS. Ele é usado para criptografar e proteger as chaves de criptografia de dados (DEKs). Uma CMK pode ser usada para criptografar uma ou mais DEKs. As CMKs são categorizadas em chaves personalizadas e chaves padrão. |
|
Chave mestra padrão (DMK) |
Uma chave mestra padrão é criada automaticamente por outro serviço de nuvem usando o KMS, como o Object Storage Service (OBS). O alias de uma chave mestra padrão termina com /default. |
|
Material de chave |
Os materiais de chave são uma entrada importante para operações criptográficas. Uma CMK consiste em um ID de chave, metadados e um material de chave. |
- |
Criptografia do envelope |
A criptografia de envelope é a prática de criptografar dados com uma DEK e, em seguida, criptografar a DEK com uma chave raiz que você pode gerenciar totalmente. Nesse caso, as CMKs não são necessárias para criptografia ou descriptografia. |
|
Chave de criptografia de dados (DEK) |
Uma DEK é usada para criptografar dados. |
|
Criptografia de chave simétrica |
A criptografia de chave simétrica também é chamada de criptografia de chave dedicada. O remetente e o receptor usam a mesma chave para criptografar e descriptografar dados. Vantagens: criptografia e descriptografia são rápidas. Desvantagens: cada par de chaves deve ser único. O gerenciamento de chaves é difícil se houver um grande número de usuários. Cenários: criptografar uma grande quantidade de dados. |
|
Criptografia de chave assimétrica |
A criptografia de chave assimétrica também é chamada de criptografia de chave pública. Um par de chaves é usado para criptografia e descriptografia. Uma é uma chave pública e a outra é uma chave privada. Vantagens: chaves diferentes são usadas para criptografia e descriptografia, aumentando a segurança. Desvantagens: criptografia e descriptografia são lentos. Cenários: criptografar informações confidenciais. |
|
Par de chaves |
Um par de chaves é um par de chave pública assimétrica e chave privada. Por padrão, RSA-2048 é usado para criptografia. |
|
Par de chaves privadas |
Um par de chaves privadas pode ser visto ou usado apenas pela conta atual. |
|
Par de chaves de conta |
Um par de chaves de conta pode ser visto ou usado por todos os usuários sob a conta. |
