Presentamos las claves de cifrado gestionadas por el cliente (CMEK) en Zilliz Cloud
A medida que las empresas trasladan más cargas de trabajo de IA a producción, las bases de datos vectoriales se sitúan cada vez más detrás de aplicaciones críticas como RAG, búsqueda semántica y agentes de IA. Estas cargas de trabajo suelen depender de contexto empresarial sensible, por lo que los equipos de seguridad necesitan controles claros sobre cómo se cifran los datos, cómo se gestionan las claves y cómo se puede auditar o revocar el acceso.
Zilliz Cloud ya cifra los datos en reposo de forma predeterminada mediante AES-256. Hoy, añadimos otra capa de control para el cliente con la disponibilidad general de Customer-Managed Encryption Keys (CMEK) en Zilliz Cloud.
Con CMEK, los clientes pueden traer y gestionar sus propias claves en AWS Key Management Service (KMS). Esto brinda a los equipos de seguridad y cumplimiento propiedad directa sobre la gestión del ciclo de vida de las claves, las políticas de acceso, los registros de auditoría y los controles de revocación, al tiempo que continúan usando Zilliz Cloud como una base de datos vectorial totalmente gestionada.
Por qué los equipos empresariales quieren control directo de las claves
El cifrado predeterminado gestionado por la plataforma es una base importante para cualquier servicio en la nube gestionado. Para muchas cargas de trabajo, proporciona una protección sólida sin añadir complejidad operativa para el cliente.
Sin embargo, algunos entornos empresariales y regulados requieren un mayor nivel de control por parte del cliente. Los equipos de seguridad pueden necesitar gestionar las claves en su propia cuenta en la nube, separar la propiedad de las claves del procesamiento de datos, supervisar el uso de las claves en sus sistemas de auditoría existentes o revocar el acceso sin abrir un ticket de soporte ni depender de un flujo de trabajo del lado del proveedor.
CMEK está diseñado para estos equipos. Mantiene la experiencia de base de datos gestionada de Zilliz Cloud, a la vez que brinda a los clientes control directo sobre las claves raíz utilizadas para proteger sus datos.
Presentamos CMEK en Zilliz Cloud
Zilliz Cloud ya cifra todos los datos en reposo mediante AES-256 de forma predeterminada. Para organizaciones con requisitos estrictos de seguridad, cumplimiento o gobernanza de datos, CMEK añade una capa adicional de control para el cliente. En lugar de depender únicamente de claves gestionadas por la plataforma, gestionas la clave raíz en el KMS de tu propio proveedor de nube.
Con CMEK, controlas la clave raíz utilizada para proteger tus datos. Esta es la arquitectura:
Generas y almacenas la Customer Master Key (CMK) en tu KMS. Nunca sale de los límites de tu KMS. Zilliz Cloud nunca posee la clave maestra; solo se le concede acceso temporal y delimitado para usarla cuando es necesario.
La CMK cifra una Encryption Zone Key (EZK) intermedia que es única por base de datos. Cuando Zilliz Cloud necesita procesar datos, solicita a tu KMS que descifre la EZK. La EZK descifrada vive solo en memoria, únicamente durante el tiempo requerido. Este diseño elimina las llamadas a KMS por operación sin debilitar el límite de seguridad.
Las EZK cifran Data Encryption Keys (DEK) por archivo, que protegen los bloques vectoriales, índices y registros reales. Esta arquitectura de tres niveles limita el radio de impacto: si alguna vez se expusiera una sola DEK, el daño quedaría contenido en un único archivo.
El resultado es un cifrado controlado por el cliente sin la penalización de milisegundos de llamar a tu KMS en cada búsqueda vectorial. Tu clave maestra sigue siendo la raíz de confianza, mientras Zilliz Cloud puede seguir ofreciendo búsqueda vectorial de baja latencia.
Qué se cifra
CMEK en Zilliz Cloud está diseñado para proteger los datos durante todo el ciclo de vida, no solo en la capa de almacenamiento:
- Almacenamiento de objetos — binlogs, archivos de índice e instantáneas en S3
- Cachés SSD locales — datos almacenados en caché en nodos de cómputo para búsqueda de baja latencia
- Colas de mensajes — operaciones de inserción y eliminación en tránsito entre componentes internos
Ya sea que tus datos estén en reposo en almacenamiento a largo plazo, almacenados en caché para mejorar el rendimiento o fluyendo por canalizaciones internas de procesamiento, permanecen cifrados bajo tu clave, usando AES-256.
Tres resultados que más importan a los equipos de seguridad
1. Separación de funciones — limpia y auditable
Zilliz Cloud procesa y almacena tus datos. Tú conservas las claves en tu propio KMS. Estas son entidades distintas con roles distintos. Tu equipo de cumplimiento puede definir claramente este límite en las auditorías, lo que ayuda a respaldar los controles de segregación de funciones y gestión de claves que muchos equipos asignan a marcos como GDPR, HIPAA, PCI-DSS y SOC 2.
2. Revocabilidad instantánea — Control directo del cliente
Si detectas una brecha, necesitas finalizar una relación con un proveedor o debes responder a una retención legal, puedes deshabilitar tu CMK directamente en KMS. El efecto es inmediato: los datos del clúster de Zilliz afectado no pueden ser leídos ni procesados por el servicio hasta que se restaure el acceso a la clave. Esto no elimina ni mueve los datos, y no depende de un flujo de trabajo del lado del proveedor.
Esto proporciona a los equipos un sólido punto de control para la soberanía de los datos, la respuesta a incidentes y la gestión del acceso de proveedores.
3. Registro de auditoría unificado — Dentro de tu infraestructura existente
Cada solicitud de acceso a claves de Zilliz Cloud se registra en AWS CloudTrail. Tu equipo de seguridad puede ver cuándo y cómo se accede a las claves dentro de la misma infraestructura de auditoría de AWS que ya utiliza, en lugar de depender de un flujo de trabajo separado específico del proveedor. Tus claves de cifrado de Zilliz viven junto con tus otras claves de AWS KMS, gobernadas por las mismas políticas y supervisadas por los mismos equipos.
Primeros pasos con CMEK
Hemos trabajado para que la adopción de CMEK sea lo más sencilla posible:
- Paso 1 — Genera la política de IAM. En la Zilliz Console, generamos automáticamente el fragmento exacto de política de IAM que tu cuenta de AWS necesita, preconfigurado con los IDs de principal correctos para tu clúster. No se requiere edición manual de JSON.
- Paso 2 — Crea la clave y autoriza el acceso. Crea una clave en tu AWS KMS, aplica la política y otorga a Zilliz permisos estrictamente delimitados — solo Decrypt y GenerateDataKey. Nada más amplio de lo necesario.
- Paso 3 — Habilita CMEK en tu clúster. Pega el Key ARN en la Zilliz Console y cambia Customer-Managed Key a ON al crear un nuevo clúster Dedicated.
Toda la configuración toma minutos, no días. La rotación de claves es compatible sin tiempo de inactividad — AWS KMS gestiona la rotación, y Zilliz Cloud sigue sin problemas el Key ARN.
Disponibilidad
CMEK está disponible hoy para clústeres Dedicated en el plan business-critical en AWS. Algunas cosas que debes saber antes de empezar:
- Las claves de cifrado se gestionan a nivel de proyecto
- Hasta 20 claves únicas por proyecto (agregar claves duplicadas causará fallos)
- Una vez que un clúster está cifrado, no se admite la migración de colecciones entre bases de datos
- El proveedor de nube y la región de tu clave de KMS deben coincidir con los de tu clúster de Zilliz Cloud
- Para habilitar CMEK en clústeres existentes que ejecutan Milvus v2.5.x, haz una copia de seguridad de tus datos y restáuralos en un nuevo clúster en Milvus v2.6.x — Actualizar un clúster existente no cifra retroactivamente los datos anteriores
- Para regiones fuera de AWS, contáctanos para hablar sobre la disponibilidad.
¿Preguntas sobre CMEK o la seguridad empresarial en Zilliz Cloud? Consulta este documento de CMEK o ponte en contacto con nuestro equipo de soluciones para obtener más información.
Sigue leyendo
Zilliz Cloud Just Landed in Claude Code
The Zilliz Cloud Plugin brings the full power of Zilliz Cloud directly into your Claude Code terminal as natural-language conversations.
Expanding Our Global Reach: Zilliz Cloud Launches in Azure Central India
Zilliz Cloud expands to Azure Central India. This new region helps customers meet compliance, reduce latency, and optimize cloud costs when building AI applications.
Milvus/Zilliz + Surveillance: How Vector Databases Transform Multi-Camera Tracking
See how Milvus vector database enhances multi-camera tracking with similarity-based matching for better surveillance in retail, warehouses and transport hubs.