Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Yandex Key Management Service
  • Начало работы
    • Обзор
      • Симметричный ключ
      • Версия ключа
      • Симметричное шифрование
      • Аппаратный модуль безопасности (HSM)
    • Шифрование по схеме envelope encryption
    • Консистентность ключей
    • Квоты и лимиты
  • Управление доступом
  • Правила тарификации
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • Вопросы и ответы
  • Обучающие курсы

В этой статье:

  • HSM в Key Management Service
  • Порядок работы с HSM
  • Включение HSM для ключа
  • Примеры использования
  1. Концепции
  2. Симметричное шифрование
  3. Аппаратный модуль безопасности (HSM)

Аппаратный модуль безопасности (HSM)

Статья создана
Yandex Cloud
Обновлена 27 февраля 2025 г.
  • HSM в Key Management Service
    • Порядок работы с HSM
    • Включение HSM для ключа
  • Примеры использования

Аппаратный модуль безопасности (HSM) – это специализированное вычислительное устройство, которое предназначено для выполнения криптооперацией с высоким уровнем защищённости.

Традиционно HSM используются в сценариях, когда криптосредство должно обеспечивать такой уровень защиты, при котором стоимость и сложность реализации успешной атаки ограничивают круг потенциальных злоумышленников до небольшого числа высококвалифицированных специалистов.

HSM в Key Management ServiceHSM в Key Management Service

HSM, которые используются в Yandex Cloud – специализированные защищенные физические серверы, которые поставляются производителем средств криптографической защиты информации – ООО "КриптоПро".

В устройствах реализован комплекс решений по защите криптосредства на всех этапах его жизненного цикла, включая следующие решения:

  • доверенная операционная система;
  • защита от физического вскрытия корпуса;
  • защита от перепадов напряжения питания и температуры среды;
  • надежные генераторы случайных чисел;
  • защита от «человеческого фактора» (вероятность неверной конфигурации устройства сведена к минимуму);
  • доверенная загрузка операционной системы.

Порядок работы с HSMПорядок работы с HSM

В Key Management Service вы можете создать симметричный ключ шифрования, все криптооперации с которым будут выполняться только внутри HSM. Сам ключ также будет создан в HSM. В этом случае ключ пользователя хранится в базе данных сервиса Key Management Service, но исключительно в зашифрованном виде. Ключ пользователя шифруется на мастер-ключе HSM, который никогда не покидает HSM.

Для выполнения всех криптоопераций симметричный ключ будет передаваться в HSM. Все криптооперации с ключом пользователя выполняются только внутри HSM, в Key Management Service возвращаются только результаты криптоопераций.

Криптооперация с использованием HSM состоит из следующих шагов:

  1. Из базы данных Key Management Service извлекается ключ пользователя в зашифрованном виде.
  2. Зашифрованный ключ вместе с данными пользователя отправляется в HSM.
  3. Внутри HSM происходит расшифрование ключа пользователя мастер-ключом HSM.
  4. Внутри HSM на расшифрованном ключе производится криптооперация с данными пользователя.
  5. Внутри HSM расшифрованный ключ пользователя уничтожается.
  6. Данные возвращаются пользователю.

Включение HSM для ключаВключение HSM для ключа

Чтобы использовать HSM, при создании симметричного ключа выберите тип алгоритма AES-256 HSM. Все операции с этим ключом будут выполняться внутри HSM, дополнительные действия не требуются.

Примеры использованияПримеры использования

  • Управление ключами KMS с HashiCorp Terraform
  • Auto Unseal в HashiCorp Vault
  • Безопасная передача пароля в скрипт инициализации

Была ли статья полезна?

Предыдущая
Симметричное шифрование
Следующая
Ключевая пара шифрования
Проект Яндекса
© 2025 ООО «Яндекс.Облако»