隨著公有云的普及，客戶常常希望在云上能夠保護其數據安全，防止未經授權的數據修改和泄露。通用的一種方法是采用對數據進行加密和簽名校驗的手段，以滿足客戶在合規上的安全要求(包括數據敏感級別、完整性校驗等)。

常見的應用場景

(1)云上數據的加解密：私有云、公有云和邊緣云等云服務的靜態數據和傳輸中的數據進行加密;

(2)設備數據的加解密：在IoT或邊緣設備上對本地存儲的數據加密，并定期備份到云上;在云上進行解密和數據處理;

(3)數據的加密簽名：應用程序對數據塊加密簽名后，傳遞到另外一個集成的應用程序，在數據使用前對簽名進行加密驗證;

(4)敏感數據災難備份和恢復：通常我們在本地提供主站點服務，災難備份恢復站點存儲到公有云上，一般在上云前——可進行加密處理，下載后——再進行解密處理。

OCI KMS簡要介紹

Oracle云基礎設施(OCI)密鑰管理KMS是一項托管的公有云服務，可用于加密，解密，簽名和驗證等目的的密鑰管理服務，可解決上述常見的應用場景。

KMS中的密鑰存儲在經過 FIPS 140-2, Level 3 認證的硬件安全模塊 (HSM) 中，該模塊具有高度持久性和高可用性。密鑰管理服務與許多 Oracle 云基礎設施服務相集成，包括塊存儲卷、文件存儲、數據庫、容器引擎和對象存儲等。KMS除了滿足OCI云服務自身安全的密鑰使用外，還提供了與Oracle數據庫以及其他非數據庫應用的API集成。

OCI KMS主要能力

高可用的密鑰管理服務，使得客戶可以專注于加密需求

管理任務(如配置，修補和維護)由KMS處理。

KMS的后端HSM模塊由Oracle管理。

Oracle作為廠商是無法以純文本格式導出或查看客戶的密鑰。

客戶可集中管理控制密鑰來保護云上云下的數據

客戶定義和管理密鑰的訪問策略。

客戶定義密鑰的生命周期，包括密鑰創建、多版本、自動/輪換、跨region備份/恢復/復制、管理和刪除、審計等。

支持對稱和非對稱加密(如：簽名/校驗的場景)

AES-GCM、RSA、ECDSA

提供靈活的硬件HSM和軟件保護處理方式

HSM(默認)：密鑰的存儲和處理均在HSM上進行。

軟件：在HSM Key保護下的服務器上進行存儲和處理。

支持靈活性價比的HSM分區選擇

共享HSM分區(默認)：更經濟，無硬性限制。

獨享HSM分區：隔離性更高，性能更高，安全性更好。

支持BYOK，允許用戶導入自行構建的密鑰

OCI KMS體驗學習

(1)KMS歸類到Vault(保險庫)服務中。

可通過如下菜單進入Vault/KMS中。

(2)Vault類別

Vault提供Private Vault(專用：選擇“使其成為虛擬專用Vault”時)、Default Vault(默認不選擇“使其成為虛擬專用Vault”時)。

Default Vault屬于共享HSM分區，而Private Vault獨享HSM分區。

(3)保護模式

選擇保護模式HSM或Software。

(4)Key算法

此外，還有密鑰多版本管理、導入外部密鑰、密鑰的備份/恢復/禁用等操作。

密鑰創建完成后，便可將密鑰Key應用到塊存儲卷、文件存儲、數據庫、容器引擎和對象存儲等服務，也可借助API來將OCI KMS集成到我們的IoT設備或其他應用上，例如：加密與解密/簽名與校驗/獲取數據加密密鑰等服務。

更多信息請參考如下文檔鏈接。