谁能为我定义一个数据加密和解密的流程,以便在通过IPSEC隧道连接到AWS的数据中心中运行本地HSM。 使用我们的本地HSM执行这些操作。加密和解密对象,数据的处理流程是什么?显然,数据不是直接发送到HSM,而是什么呢?计划在本地HSM中将CMK保留在本地。
答案 0 :(得分:0)
数据显然不是直接发送到HSM,但是究竟是什么?
直接通过本地HSM甚至KSM加密所有数据并不是非常有效。因此,KMS或您本地的HSM应该加密的是加密密钥。
在KMS或本地HSM中,您可以生成主服务/用途密钥。
您可以使用随机加密密钥对数据进行加密,然后使用KMS / HSM(带有服务密钥)对数据加密密钥进行加密。只需在加密内容旁边存储主密钥ID,加密数据密钥和IV。