数据加密服务 DEW

数据加密服务(Data Encryption Workshop)是一个综合的云上数据加密服务。它可以提供专属加密、密钥管理、密钥对管理、凭据管理功能。其密钥由硬件安全模块(HSM) 保护,并与许多华为云服务集成。用户也可以借此服务开发自己的加密应用。

数据加密服务 DEW

云上专属加密、密钥管理、密钥对管理

产品优势

  • 服务集成广泛

    与OBS、EVS、IMS等服务集成,您可以通过KMS管理这些服务的密钥,您还可以通过KMS API完成本地数据的加密。

    与OBS、EVS、IMS等服务集成,您可以通过KMS管理这些服务的密钥,您还可以通过KMS API完成本地数据的加密。

  • 合规可靠

    密钥和随机数由经过安全认证的第三方硬件安全模块(HSM)产生,对密钥的所有操作都会进行访问控制及日志跟踪,符合国内和国际法律合规的要求。

    密钥和随机数由经过安全认证的第三方硬件安全模块(HSM)产生,对密钥的所有操作都会进行访问控制及日志跟踪,符合国内和国际法律合规的要求。

  • 登录安全增强

    用户可以通过密钥对方式登录,有效防止密码被拦截、破解造成的帐户密码泄露,从而提高安全性。

    用户可以通过密钥对方式登录,有效防止密码被拦截、破解造成的帐户密码泄露,从而提高安全性。

  • 专属加密

    硬件密码机符合国家密码局认证或FIPS 140-2第3等级认证,能对高安全性要求的用户提供高性能专属加密服务,保障数据安全,规避风险。

    硬件密码机符合国家密码局认证或FIPS 140-2第3等级认证,能对高安全性要求的用户提供高性能专属加密服务,保障数据安全,规避风险。

应用场景

专属加密(云加密机)

高合规性要求的加密场景,可以选择基于国家密码局认证或FIPS 140-2 第 3 级验证的硬件加密机,对租户业务进行专属加密,默认提供双机以提高可靠性

优势

  • 合规遵从

    硬件加密机经过第三方机构认证

  • 国密加密

    支持SM1、SM2、SM3、SM4国产加密算法

  • 性能保证

    专属加密卡保证不同加密协议下并发高速运算

  • 高兼容性

    提供与实体密码设备相同的功能与接口,可完全兼容传统应用并方便其向云端迁移

密钥管理(KMS)

通过经过认证的第三方硬件安全模块(HSM),轻松创建和控制用于加密数据的密钥,与使用OBS、EVS、IMS等服务集成,以帮助您保护这些产品存储的数据

优势

  • 应用广泛

    与OBS、EVS、IMS等服务集成,方便易用

  • 功能丰富

    可支持启用、禁用、删除等功能,具备丰富的全生命周期密钥管理功能

  • 集成方便

    租户可以通过API调用密钥加密应用

  • 安全可靠

    用户主密钥的在线冗余存储、根密钥多份物理离线备份以及定期备份保障密钥的持久性

密钥对管理(Key Pair)

登录时有高安全性要求的场景,用户通过管理控制台创建或者导入自己的密钥对后,在购买弹性云服务器时,可选择通过密钥对方式登录,并且该密钥对可重置和替换

优势

  • 安全性更高

    密钥对默认使用SSH-2格式和RSA-2048加解密算法

  • 私钥可托管

    支持将本地私钥托管到云端加密存储,本地不用再保存方便使用,解决私钥本地管理的安全性问题

  • 密钥可控制

    租户可以把自己的密钥导入到华为云使用

凭据管理(CSMS)

用户或应用程序可以通过CSMS创建、检索、更新、删除凭据,轻松实现对敏感凭据的全生命周期和统一管理

优势

  • 凭据加密保护

    凭据通过集成KMS进行加密存储

  • 凭据安全检索

    将应用程序代码中的硬编码凭据替换为对凭据的API调用,以便以编程方式动态检索和管理凭据

  • 凭据双重轮换

    凭据通过多版本管理,实现应用层凭据的安全轮换,同时配置加密密钥的自动轮换,来提高数据的安全性

  • 凭据集中管控

    与IAM集成,通过身份、权限管理确保只有授权用户可以检索或修改凭据,与CTS集成,持续监控对凭据的操作访问。有效防范对敏感信息的非法访问和泄漏

推荐配置

密钥管理

提供与存储类服务的一键加密和密钥全生命周期管理

适用场景:核心数据加密 | 企业合规 | 海量密钥管理 | 副本数据加密 | 数据库加密

  • 特征:密钥创建

  • 密钥授权

  • 密钥自动轮换

  • 密钥硬件保护

¥0.015458 小时/密钥

了解详情
专属加密基础版

高性能、专属加密资源数据加密,默认提供双机部署提高可靠性

适用场景:敏感数据加密 | 电子验伪 | 视频数据加密 | 金融支付

  • 特征:独享芯片加密

  • API调用加密资源

  • 国密算法支持

  • RSA2048算法支持

¥2000/月/实例

了解详情
专属加密专业版

高性能、租户独享的数据加密,开通需额外支付硬件预置费用

适用场景:敏感数据加密 | 电子验伪 | 视频数据加密 | 金融支付

  • 特征:支持双AZ部署

  • 独享加密资源

  • 国密算法支持

  • RSA2048算法支持

¥10000/月/台

了解详情

功能描述

  • 专属加密

    提供基础版和专业版专属加密服务,满足不同业务场景需求

    提供基础版和专业版专属加密服务,满足不同业务场景需求

  • 密钥管理

    全生命周期密钥管理,满足不同云服务下的加密需求

    全生命周期密钥管理,满足不同云服务下的加密需求

  • 基础版专属加密
    基础版专属加密

    独享加密芯片;提供与实体密码设备相同的功能与接口,方便向云端迁移;支持SM1、SM2、SM3、SM4等国产加密算法

    独享加密芯片;提供与实体密码设备相同的功能与接口,方便向云端迁移;支持SM1、SM2、SM3、SM4等国产加密算法

  • 专业版专属加密
    专业版专属加密

    除基础版专属加密功能外,用户独享硬件加密机机框、电源、带宽、接口资源,可以符合更高安全性要求

    除基础版专属加密功能外,用户独享硬件加密机机框、电源、带宽、接口资源,可以符合更高安全性要求

  • 全生命周期管理
    全生命周期管理

    支持用户创建、启用、禁用、删除、导入密钥;支持密钥轮询、密钥授权

    支持用户创建、启用、禁用、删除、导入密钥;支持密钥轮询、密钥授权

  • 一键集成云服务加密
    一键集成云服务加密

    KMS集成的服务:计算类服务—ECS, IMS, FACS, GACS, CSBS;存储类服务—EVS, VBS, OBS, SFS, SFS Turbo;数据库类服务—MySQL, PostgreSQL, SQL Server, DDS等

    KMS集成的服务:计算类服务—ECS, IMS, FACS, GACS, CSBS;存储类服务—EVS, VBS, OBS, SFS, SFS Turbo;数据库类服务—MySQL, PostgreSQL, SQL Server, DDS等

  • 密钥对管理

    分为私钥本地保存和私钥托管两种方式,满足不同业务场景需求

    分为私钥本地保存和私钥托管两种方式,满足不同业务场景需求

  • 凭据管理

    对敏感凭据的全生命周期和统一管理

    对敏感凭据的全生命周期和统一管理

  • 私钥本地保存
    私钥本地保存

    ECS虚拟机密码登录可能存在弱口令/暴力破解等安全问题。通过私钥本地导入登录的方式,可一定程度避免类似问题发生

    ECS虚拟机密码登录可能存在弱口令/暴力破解等安全问题。通过私钥本地导入登录的方式,可一定程度避免类似问题发生

  • 私钥托管
    私钥托管

    私钥本地没有比较安全的保存机制的场景下,可以将私钥托管保存在华为云上,在登录时采用托管的密钥对进行验证

    私钥本地没有比较安全的保存机制的场景下,可以将私钥托管保存在华为云上,在登录时采用托管的密钥对进行验证

  • 凭据统一管理
    凭据统一管理

    对敏感凭据进行统一的存储、检索、使用等全生命周期管控

    对敏感凭据进行统一的存储、检索、使用等全生命周期管控

  • 凭据安全检索
    凭据安全检索

    凭据通常直接使用明文方式嵌入在应用程序的配置文件中,存在易泄露、安全性低等问题。通过凭据管理,用户可以将代码中的硬编码替换为对API的调用,保证敏感凭据不被泄露

    凭据通常直接使用明文方式嵌入在应用程序的配置文件中,存在易泄露、安全性低等问题。通过凭据管理,用户可以将代码中的硬编码替换为对API的调用,保证敏感凭据不被泄露

  • 轮换凭据和密钥
    轮换凭据和密钥

    提供凭据多版本管理,应用节点通过API/SDK调用实现应用层凭据安全轮换,对依赖目标凭据的应用或配置同步更新

    提供凭据多版本管理,应用节点通过API/SDK调用实现应用层凭据安全轮换,对依赖目标凭据的应用或配置同步更新

视频教程

购买专属加密实例

购买专属加密实例

创建用户主密钥

创建用户主密钥

开启密钥轮换

开启密钥轮换

使用私钥登录弹性云服务器

使用私钥登录弹性云服务器