问什么是云KMS？KMS的目的/好处是什么？它怎麽工作?我该怎么用呢？(AWS KMS，GCP KMS，Azure Key Vault)

EN

KMS允许您在没有看到主密钥的情况下加密/解密数据。这使得管理加密密钥变得更简单，因为没有什么可以让您泄漏主密钥。

它们还可以管理加密算法的选择，以及升级算法选择的机制。因此，这些决定是为您做出的，所以您不能意外地配置弱加密参数。

不过，请注意，您的愤世嫉俗部分也应该注意到，"Cloud“的发音非常类似于”供应商锁定“。这使得切换云提供商变得非常困难，因为如果不首先解密所有内容，您就无法轻松地移动数据。有些KMS解决方案允许您导入您自己的密钥，这可以减少您的表面，但使您不得不保护您的主密钥，而且由于大多数Cloud HSM没有在供应商中立的术语中指定加密参数和算法，即使您有导入的主密钥的副本，您仍然无法轻松地解密您的数据。

不过，Cloud最大的优势可能是日志记录和审计。为密钥使用构建自己的日志记录和审计基础结构通常是不容易的，但对于大多数Cloud来说，这是一件轻而易举的事情。

KMS的目的/好处是什么？

1. KMS可以防止解密密钥的泄漏，类似于HSM，但是HSM的密钥很昂贵，很难使用。KMS具有API端点，因此价格低廉，使用方便。
2. KMS将对加密数据的访问控制问题从解密密钥管理问题(粒度访问和撤销访问能力是不可能的)转移到身份和访问管理问题(ACL可用于轻松管理访问、授予粒度访问和撤消访问)。
3. 增加了对加密数据访问的可审计性和控制。

给我一个具体的例子，说明KMS解决/受益于使用KMS的问题：

KMS允许您安全地将加密的秘密存储在git中，在解密密钥不会泄漏的情况下，您可以在粒度级别控制对加密机密的访问，并在不需要对加密文件进行任何更改的情况下撤销访问。

什么是云KMS？它怎麽工作?

KMS是一种加密技术，它解决了对称、非对称和HSM加密的缺点。这是未来加密技术如密码锚的基础。

-密码学

的简捷演化

1. 对称加密密钥：
   • 长密码用于加密和解密。

2. 非对称加密-私钥对：
   • 公钥加密数据，私钥解密用公钥加密的数据。

3. 硬件安全模块：
   • 这样私钥就不会泄露了。
   • HSM是昂贵的。
   • HSM对用户或自动化不友好。

4. 云KMSs (密钥管理服务)：
   • KMS是一种代表客户端加密和解密数据的可信服务，它基本上允许用户或机器使用他们的身份来加密和解密数据，而不是加密/解密密钥。(客户端针对KMS进行身份验证，KMS根据ACL检查其身份，如果它们具有解密权限，客户端可以在请求中向KMS发送加密数据，然后KMS代表客户端解密数据，并通过安全的TLS隧道将解密后的数据发送回客户端。)
   • KMSs很便宜。
   • KMSs是通过REST公开的，这使得它们具有用户友好和自动化友好的特性。
   • KMSs是非常安全的，它使十年不泄露解密密钥是可行的。
   • KMS加密技术的发明引入了3种致命的功能：
     1. 当响应已知的漏洞时:在KMS解密密钥被泄露之前:您不能撤销解密密钥，这意味着您需要旋转几个解密密钥，用新密钥重新加密所有数据，并尽力清除旧的加密数据。在执行所有这些操作时，您需要与管理层进行斗争，以获得批准才能导致多个生产系统停机，将所述停机时间降到最低，即使您做得对，也可能无法彻底清除旧的加密数据，比如git历史记录和备份。在KMS之后，身份凭据被泄露:身份凭证可以被撤销，当它们被撤销时，它们是毫无价值的。重新加密数据和清除旧加密数据的噩梦消失了。您仍然需要旋转秘密(身份凭据与解密密钥)，但是旋转的行为变得足够便宜，因此可以将其作为一种预防措施进行自动化和调度。
     2. 加密数据的管理从涉及分布式解密密钥的不可能任务转移到管理集中式ACL的琐碎任务。现在可以轻松地撤销、编辑和分配加密数据的粒度访问；另外，由于Cloud KMS、IAM和SSO Identity Federations集成在一起，您可以利用先前存在的用户身份。
     3. 加密锚定技术成为可能：
        • 可以将网络ACL应用于KMS，以便使数据只能在您的环境中解密。
        • 可以监视KMS解密速率的基线，当出现异常速率时，可以触发警报和速率限制。

- KMS’s decryption keys can be secured by an HSM.
- Opportunities for decryption keys to get leaked are near zero because clients don’t interact directly with decryption keys.
- Cloud Providers can afford to hire the best security professionals and implement expensive operational processes that are required to keep the backend systems as secure as possible, so backend key leakage opportunities are also near zero.

如何使用KMS?

• Mozilla是一个包装/抽象KMS的工具，它非常适合在git中安全地存储加密的秘密。
• Helm Secrets插件，包装Mozilla SOPS，这样你就可以安全地将加密的Kubernetes yamls存储在git中，然后当到了应用它们的时候，秘密值在最后一刻被无缝地解密，就在它们进入一个直接进入kube-apiserver的加密的TLS隧道之前，然后Kubernetes可以使用KMS重新加密Kubernetes Secrets，从而在etcd数据库中加密它们。