Облачный сервис управления ключами
Облачный сервис управления ключами (Cloud Key Management Service, Cloud KMS) — это управляемый облачный сервис, предоставляющий централизованное создание, хранение, ротацию, контроль доступа и аудит криптографических ключей, используемых для шифрования данных, цифровых подписей и аутентификации. Сервис относится к категории «Платформа как услуга» (PaaS) и позволяет организациям делегировать задачи управления ключами облачному провайдеру, снижая операционную нагрузку и риски, связанные с самостоятельным развёртыванием аппаратных модулей безопасности (HSM) или криптографического программного обеспечения.
История и развитие
Концепция облачного управления ключами возникла как ответ на рост популярности облачных вычислений и необходимость защиты данных в мультитенантной среде. До середины 2010-х годов управление ключами было преимущественно локальной задачей: организации использовали собственные HSM или программные криптобиблиотеки. С переходом корпоративных данных в облако возникла потребность в сервисах, которые бы интегрировались с облачными хранилищами, базами данных и приложениями.
Первыми крупными облачными провайдерами, запустившими KMS, стали Amazon Web Services (AWS) в 2014 году (AWS KMS) и Google Cloud Platform (GCP) в 2015 году (Cloud KMS). Microsoft Azure представила свой сервис Azure Key Vault в 2016 году. В России аналогичные решения начали появляться с 2018–2019 годов в рамках продуктов «Яндекс.Облако» (Yandex Key Management Service) и VK Cloud (ранее Mail.ru Cloud Solutions). Развитие сервисов стимулировалось ужесточением регуляторных требований, таких как Федеральный закон № 152-ФЗ «О персональных данных» в РФ и Общий регламент по защите данных (GDPR) в Европе, а также стандартами PCI DSS для платёжных систем.
Архитектура и принципы работы
Облачный KMS обычно строится на базе аппаратных модулей безопасности (HSM), сертифицированных по стандартам FIPS 140-2 или FIPS 140-3 (в зарубежных системах) или ГОСТ Р 34.10-2012 / ГОСТ Р 34.11-2012 (в российских). Сервис предоставляет программный интерфейс (API) для взаимодействия с ключами, при этом сами ключи никогда не покидают защищённую среду HSM в открытом виде.
Основные компоненты
- Хранилище ключей (key vault) — логическая сущность, в которой размещаются ключи. В разных провайдерах может называться по-разному: «шлюз» (key ring) в Google Cloud, «контейнер» (key container) в Azure Key Vault.
- Мастер-ключ (Customer Master Key, CMK) — корневой ключ, который шифрует все остальные ключи (ключи шифрования данных, DEK). Пользователь управляет CMK через сервис, а DEK генерируются автоматически.
- Политики доступа (IAM-роли) — механизмы, определяющие, какие пользователи, сервисные аккаунты или приложения могут использовать, создавать или удалять ключи.
- Аудит — журналирование всех операций с ключами (создание, ротация, удаление, использование) в системах мониторинга (например, AWS CloudTrail, Azure Monitor, Yandex Audit Trails).
Процесс работы
- Пользователь через API или веб-консоль создаёт мастер-ключ в облачном HSM.
- При необходимости шифрования данных (например, перед загрузкой в облачное хранилище) приложение запрашивает у KMS создание ключа шифрования данных (DEK).
- KMS генерирует DEK, шифрует его мастер-ключом и возвращает зашифрованную версию DEK (wrapped DEK) приложению. Открытый DEK используется для шифрования данных, после чего отбрасывается.
- Для расшифровки приложение отправляет wrapped DEK в KMS, где тот расшифровывается мастер-ключом и возвращается в открытом виде.
- Все операции логируются для последующего аудита.
Виды и классификация
Облачные сервисы управления ключами можно классифицировать по нескольким признакам.
По типу управления ключами
- Управляемые провайдером (Cloud-managed) — ключи создаются и хранятся в инфраструктуре провайдера, пользователь управляет только политиками доступа. Примеры: AWS KMS, Google Cloud KMS, Yandex KMS.
- С собственным ключом (Bring Your Own Key, BYOK) — пользователь импортирует ключи, созданные в своей локальной среде (например, на собственном HSM), в облачный KMS. Позволяет сохранить контроль над ключами, делегируя их хранение облаку.
- С внешним управлением (External Key Store) — ключи хранятся вне облака (например, на локальном HSM или в стороннем сервисе), а облачный KMS использует их удалённо. Реализовано в AWS CloudHSM и Azure Key Vault Managed HSM.
По типу криптографии
- Симметричные — один ключ используется и для шифрования, и для расшифровки. Наиболее распространённый тип (AES-256, ГОСТ 28147-89).
- Асимметричные — пара ключей (открытый и закрытый). Используются для цифровых подписей, аутентификации и шифрования сессий (RSA-2048/4096, ECDSA, ГОСТ Р 34.10-2012).
По соответствию стандартам
- Международные — соответствуют FIPS 140-2/3, PCI DSS, SOC 2.
- Российские — сертифицированы по требованиям ФСБ России и ФСТЭК России, используют ГОСТ-алгоритмы. Примеры: Yandex KMS (с поддержкой ГОСТ), VK Cloud KMS.
Применение
Облачные KMS широко используются в корпоративных и государственных IT-системах.
Шифрование данных
- Хранилища данных: шифрование объектов в облачных хранилищах (S3 в AWS, Blob Storage в Azure, Object Storage в Yandex Cloud) с автоматической ротацией ключей.
- Базы данных: прозрачное шифрование данных в реляционных базах (например, Amazon RDS, Azure SQL Database) с использованием ключей из KMS.
- Резервные копии: защита резервных копий от несанкционированного доступа.
Цифровые подписи и аутентификация
- Подписание документов и кода (code signing) в CI/CD-пайплайнах.
- Аутентификация API-запросов между микросервисами с помощью асимметричных ключей.
- Управление сертификатами TLS/SSL (интеграция с сервисами Certificate Manager).
Соответствие регуляторным требованиям
- Обеспечение шифрования персональных данных по 152-ФЗ в РФ.
- Выполнение требований GDPR к защите данных в облаке.
- Соответствие стандартам PCI DSS для обработки платёжных данных.
Преимущества и ограничения
Преимущества
- Централизация управления: единая точка контроля над всеми криптографическими ключами организации.
- Автоматизация ротации: ключи могут обновляться по расписанию без участия администратора.
- Аудит и мониторинг: полная запись всех операций с ключами для расследования инцидентов.
- Интеграция с облачными сервисами: встроенная поддержка в большинстве сервисов провайдера.
- Снижение затрат: отсутствие необходимости покупать и обслуживать собственные HSM.
Ограничения
- Зависимость от провайдера: при блокировке аккаунта или прекращении работы провайдера доступ к ключам может быть утерян.
- Латентность: операции с ключами выполняются через сеть, что увеличивает задержки по сравнению с локальными решениями.
- Сложность миграции: перенос ключей между облаками или обратно в локальную инфраструктуру требует дополнительных инструментов.
- Регуляторные риски: в некоторых юрисдикциях (например, в России) хранение ключей за рубежом может нарушать законодательство о персональных данных.
Примеры облачных KMS
Международные
- AWS Key Management Service (AWS KMS) — один из первых сервисов, поддерживает интеграцию с более чем 50 сервисами AWS. Использует FIPS 140-2 HSM.
- Google Cloud Key Management Service (Cloud KMS) — поддерживает как симметричные (AES-256), так и асимметричные ключи (RSA, ECDSA). Интегрирован с Cloud HSM для аппаратного хранения.
- Azure Key Vault — предоставляет два уровня: Standard (программная защита) и Premium (аппаратная защита через HSM). Поддерживает импорт ключей (BYOK).
Российские
- Yandex Key Management Service (Yandex KMS) — сервис в составе Yandex Cloud. Поддерживает алгоритмы ГОСТ Р 34.10-2012 и AES-256. Сертифицирован ФСБ России для шифрования данных ограниченного доступа.
- VK Cloud Key Management Service — сервис от VK (ранее Mail.ru Cloud Solutions). Использует аппаратные HSM, сертифицированные по ГОСТ. Интегрирован с VK Cloud Storage и VK Cloud Databases.
- Selectel Key Management Service — облачный KMS от российского провайдера Selectel, поддерживает ГОСТ-алгоритмы и интеграцию с собственными сервисами.
Критика и риски
Основные критические замечания в адрес облачных KMS связаны с доверием к провайдеру. Поскольку ключи хранятся на стороне облачного оператора, существует гипотетический риск доступа к ним со стороны сотрудников провайдера или по требованию государственных органов. Для снижения этого риска применяются технологии BYOK и внешнего хранения ключей, а также шифрование с нулевым разглашением (zero-knowledge encryption).
Другой аспект — юридическая неопределённость при трансграничной передаче ключей. В России с 2020 года действуют требования к шифрованию персональных данных с использованием сертифицированных средств, что ограничивает использование зарубежных KMS без дополнительных согласований.
Также отмечается высокая стоимость при больших объёмах операций, так как большинство провайдеров взимают плату за каждый запрос к API KMS (например, AWS — $0.03 за 10 000 запросов).
Интересные факты
- В 2020 году исследователи из Университета Карнеги-Меллон выявили уязвимость в реализации AWS KMS, позволявшую извлечь мастер-ключ через анализ времени ответа. Уязвимость была устранена.
- В 2022 году Yandex KMS стал первым российским облачным сервисом управления ключами, получившим сертификат ФСБ России для использования в государственных информационных системах.
- В Azure Key Vault существует функция «мягкого удаления» (soft delete), позволяющая восстановить случайно удалённые ключи в течение заданного периода (до 90 дней).
Источники
- Amazon Web Services. «AWS Key Management Service Developer Guide». 2023.
- Google Cloud. «Cloud Key Management Service Documentation». 2023.
- Microsoft Azure. «Azure Key Vault Documentation». 2023.
- Yandex Cloud. «Yandex Key Management Service. Руководство пользователя». 2024.
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Стандарт PCI DSS v4.0. Требования к шифрованию и управлению ключами.
- NIST Special Publication 800-57. «Recommendation for Key Management». 2020.
- VK Cloud. «Key Management Service. Документация». 2024.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →