Открыть сервис

Облачный сервис управления ключами

Облачный сервис управления ключами (Cloud Key Management Service, Cloud KMS) — это управляемый облачный сервис, предоставляющий централизованное создание, хранение, ротацию, контроль доступа и аудит криптографических ключей, используемых для шифрования данных, цифровых подписей и аутентификации. Сервис относится к категории «Платформа как услуга» (PaaS) и позволяет организациям делегировать задачи управления ключами облачному провайдеру, снижая операционную нагрузку и риски, связанные с самостоятельным развёртыванием аппаратных модулей безопасности (HSM) или криптографического программного обеспечения.

История и развитие

Концепция облачного управления ключами возникла как ответ на рост популярности облачных вычислений и необходимость защиты данных в мультитенантной среде. До середины 2010-х годов управление ключами было преимущественно локальной задачей: организации использовали собственные HSM или программные криптобиблиотеки. С переходом корпоративных данных в облако возникла потребность в сервисах, которые бы интегрировались с облачными хранилищами, базами данных и приложениями.

Первыми крупными облачными провайдерами, запустившими KMS, стали Amazon Web Services (AWS) в 2014 году (AWS KMS) и Google Cloud Platform (GCP) в 2015 году (Cloud KMS). Microsoft Azure представила свой сервис Azure Key Vault в 2016 году. В России аналогичные решения начали появляться с 2018–2019 годов в рамках продуктов «Яндекс.Облако» (Yandex Key Management Service) и VK Cloud (ранее Mail.ru Cloud Solutions). Развитие сервисов стимулировалось ужесточением регуляторных требований, таких как Федеральный закон № 152-ФЗ «О персональных данных» в РФ и Общий регламент по защите данных (GDPR) в Европе, а также стандартами PCI DSS для платёжных систем.

Архитектура и принципы работы

Облачный KMS обычно строится на базе аппаратных модулей безопасности (HSM), сертифицированных по стандартам FIPS 140-2 или FIPS 140-3 (в зарубежных системах) или ГОСТ Р 34.10-2012 / ГОСТ Р 34.11-2012 (в российских). Сервис предоставляет программный интерфейс (API) для взаимодействия с ключами, при этом сами ключи никогда не покидают защищённую среду HSM в открытом виде.

Основные компоненты

  • Хранилище ключей (key vault) — логическая сущность, в которой размещаются ключи. В разных провайдерах может называться по-разному: «шлюз» (key ring) в Google Cloud, «контейнер» (key container) в Azure Key Vault.
  • Мастер-ключ (Customer Master Key, CMK) — корневой ключ, который шифрует все остальные ключи (ключи шифрования данных, DEK). Пользователь управляет CMK через сервис, а DEK генерируются автоматически.
  • Политики доступа (IAM-роли) — механизмы, определяющие, какие пользователи, сервисные аккаунты или приложения могут использовать, создавать или удалять ключи.
  • Аудитжурналирование всех операций с ключами (создание, ротация, удаление, использование) в системах мониторинга (например, AWS CloudTrail, Azure Monitor, Yandex Audit Trails).

Процесс работы

  1. Пользователь через API или веб-консоль создаёт мастер-ключ в облачном HSM.
  2. При необходимости шифрования данных (например, перед загрузкой в облачное хранилище) приложение запрашивает у KMS создание ключа шифрования данных (DEK).
  3. KMS генерирует DEK, шифрует его мастер-ключом и возвращает зашифрованную версию DEK (wrapped DEK) приложению. Открытый DEK используется для шифрования данных, после чего отбрасывается.
  4. Для расшифровки приложение отправляет wrapped DEK в KMS, где тот расшифровывается мастер-ключом и возвращается в открытом виде.
  5. Все операции логируются для последующего аудита.

Виды и классификация

Облачные сервисы управления ключами можно классифицировать по нескольким признакам.

По типу управления ключами

  • Управляемые провайдером (Cloud-managed) — ключи создаются и хранятся в инфраструктуре провайдера, пользователь управляет только политиками доступа. Примеры: AWS KMS, Google Cloud KMS, Yandex KMS.
  • С собственным ключом (Bring Your Own Key, BYOK) — пользователь импортирует ключи, созданные в своей локальной среде (например, на собственном HSM), в облачный KMS. Позволяет сохранить контроль над ключами, делегируя их хранение облаку.
  • С внешним управлением (External Key Store) — ключи хранятся вне облака (например, на локальном HSM или в стороннем сервисе), а облачный KMS использует их удалённо. Реализовано в AWS CloudHSM и Azure Key Vault Managed HSM.

По типу криптографии

  • Симметричные — один ключ используется и для шифрования, и для расшифровки. Наиболее распространённый тип (AES-256, ГОСТ 28147-89).
  • Асимметричные — пара ключей (открытый и закрытый). Используются для цифровых подписей, аутентификации и шифрования сессий (RSA-2048/4096, ECDSA, ГОСТ Р 34.10-2012).

По соответствию стандартам

  • Международные — соответствуют FIPS 140-2/3, PCI DSS, SOC 2.
  • Российские — сертифицированы по требованиям ФСБ России и ФСТЭК России, используют ГОСТ-алгоритмы. Примеры: Yandex KMS (с поддержкой ГОСТ), VK Cloud KMS.

Применение

Облачные KMS широко используются в корпоративных и государственных IT-системах.

Шифрование данных

  • Хранилища данных: шифрование объектов в облачных хранилищах (S3 в AWS, Blob Storage в Azure, Object Storage в Yandex Cloud) с автоматической ротацией ключей.
  • Базы данных: прозрачное шифрование данных в реляционных базах (например, Amazon RDS, Azure SQL Database) с использованием ключей из KMS.
  • Резервные копии: защита резервных копий от несанкционированного доступа.

Цифровые подписи и аутентификация

  • Подписание документов и кода (code signing) в CI/CD-пайплайнах.
  • Аутентификация API-запросов между микросервисами с помощью асимметричных ключей.
  • Управление сертификатами TLS/SSL (интеграция с сервисами Certificate Manager).

Соответствие регуляторным требованиям

  • Обеспечение шифрования персональных данных по 152-ФЗ в РФ.
  • Выполнение требований GDPR к защите данных в облаке.
  • Соответствие стандартам PCI DSS для обработки платёжных данных.

Преимущества и ограничения

Преимущества

  • Централизация управления: единая точка контроля над всеми криптографическими ключами организации.
  • Автоматизация ротации: ключи могут обновляться по расписанию без участия администратора.
  • Аудит и мониторинг: полная запись всех операций с ключами для расследования инцидентов.
  • Интеграция с облачными сервисами: встроенная поддержка в большинстве сервисов провайдера.
  • Снижение затрат: отсутствие необходимости покупать и обслуживать собственные HSM.

Ограничения

  • Зависимость от провайдера: при блокировке аккаунта или прекращении работы провайдера доступ к ключам может быть утерян.
  • Латентность: операции с ключами выполняются через сеть, что увеличивает задержки по сравнению с локальными решениями.
  • Сложность миграции: перенос ключей между облаками или обратно в локальную инфраструктуру требует дополнительных инструментов.
  • Регуляторные риски: в некоторых юрисдикциях (например, в России) хранение ключей за рубежом может нарушать законодательство о персональных данных.

Примеры облачных KMS

Международные

  • AWS Key Management Service (AWS KMS) — один из первых сервисов, поддерживает интеграцию с более чем 50 сервисами AWS. Использует FIPS 140-2 HSM.
  • Google Cloud Key Management Service (Cloud KMS) — поддерживает как симметричные (AES-256), так и асимметричные ключи (RSA, ECDSA). Интегрирован с Cloud HSM для аппаратного хранения.
  • Azure Key Vault — предоставляет два уровня: Standard (программная защита) и Premium (аппаратная защита через HSM). Поддерживает импорт ключей (BYOK).

Российские

  • Yandex Key Management Service (Yandex KMS) — сервис в составе Yandex Cloud. Поддерживает алгоритмы ГОСТ Р 34.10-2012 и AES-256. Сертифицирован ФСБ России для шифрования данных ограниченного доступа.
  • VK Cloud Key Management Service — сервис от VK (ранее Mail.ru Cloud Solutions). Использует аппаратные HSM, сертифицированные по ГОСТ. Интегрирован с VK Cloud Storage и VK Cloud Databases.
  • Selectel Key Management Service — облачный KMS от российского провайдера Selectel, поддерживает ГОСТ-алгоритмы и интеграцию с собственными сервисами.

Критика и риски

Основные критические замечания в адрес облачных KMS связаны с доверием к провайдеру. Поскольку ключи хранятся на стороне облачного оператора, существует гипотетический риск доступа к ним со стороны сотрудников провайдера или по требованию государственных органов. Для снижения этого риска применяются технологии BYOK и внешнего хранения ключей, а также шифрование с нулевым разглашением (zero-knowledge encryption).

Другой аспект — юридическая неопределённость при трансграничной передаче ключей. В России с 2020 года действуют требования к шифрованию персональных данных с использованием сертифицированных средств, что ограничивает использование зарубежных KMS без дополнительных согласований.

Также отмечается высокая стоимость при больших объёмах операций, так как большинство провайдеров взимают плату за каждый запрос к API KMS (например, AWS — $0.03 за 10 000 запросов).

Интересные факты

  • В 2020 году исследователи из Университета Карнеги-Меллон выявили уязвимость в реализации AWS KMS, позволявшую извлечь мастер-ключ через анализ времени ответа. Уязвимость была устранена.
  • В 2022 году Yandex KMS стал первым российским облачным сервисом управления ключами, получившим сертификат ФСБ России для использования в государственных информационных системах.
  • В Azure Key Vault существует функция «мягкого удаления» (soft delete), позволяющая восстановить случайно удалённые ключи в течение заданного периода (до 90 дней).

Источники

  1. Amazon Web Services. «AWS Key Management Service Developer Guide». 2023.
  2. Google Cloud. «Cloud Key Management Service Documentation». 2023.
  3. Microsoft Azure. «Azure Key Vault Documentation». 2023.
  4. Yandex Cloud. «Yandex Key Management Service. Руководство пользователя». 2024.
  5. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  6. Стандарт PCI DSS v4.0. Требования к шифрованию и управлению ключами.
  7. NIST Special Publication 800-57. «Recommendation for Key Management». 2020.
  8. VK Cloud. «Key Management Service. Документация». 2024.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →