Introduzione alle chiavi di crittografia gestite dal cliente (CMEK) su Zilliz Cloud
Man mano che le aziende portano in produzione un numero crescente di carichi di lavoro AI, i database vettoriali si trovano sempre più spesso dietro applicazioni mission-critical come RAG, ricerca semantica e agenti AI. Questi carichi di lavoro si basano spesso su contesti aziendali sensibili, quindi i team di sicurezza hanno bisogno di controlli chiari su come i dati vengono crittografati, su come vengono gestite le chiavi e su come l’accesso può essere verificato o revocato.
Zilliz Cloud crittografa già per impostazione predefinita i dati a riposo utilizzando AES-256. Oggi aggiungiamo un ulteriore livello di controllo per i clienti con la disponibilità generale delle Customer-Managed Encryption Keys (CMEK) su Zilliz Cloud.
Con CMEK, i clienti possono portare e gestire le proprie chiavi in AWS Key Management Service (KMS). Questo offre ai team di sicurezza e conformità la proprietà diretta della gestione del ciclo di vita delle chiavi, delle policy di accesso, delle tracce di audit e dei controlli di revoca, continuando al contempo a utilizzare Zilliz Cloud come database vettoriale completamente gestito.
Perché i team enterprise vogliono il controllo diretto delle chiavi
La crittografia predefinita gestita dalla piattaforma è una base importante per qualsiasi servizio cloud gestito. Per molti carichi di lavoro, offre una protezione solida senza aggiungere complessità operativa per il cliente.
Alcuni ambienti enterprise e regolamentati, tuttavia, richiedono un livello più elevato di controllo da parte del cliente. I team di sicurezza possono avere bisogno di gestire le chiavi nel proprio account cloud, separare la proprietà delle chiavi dall’elaborazione dei dati, monitorare l’utilizzo delle chiavi nei propri sistemi di audit esistenti o revocare l’accesso senza aprire un ticket di supporto o dipendere da un workflow lato vendor.
CMEK è progettato per questi team. Mantiene l’esperienza di database gestito di Zilliz Cloud offrendo al tempo stesso ai clienti il controllo diretto sulle chiavi radice utilizzate per proteggere i loro dati.
Introduzione a CMEK su Zilliz Cloud
Zilliz Cloud crittografa già tutti i dati a riposo utilizzando AES-256 per impostazione predefinita. Per le organizzazioni con requisiti rigorosi di sicurezza, conformità o governance dei dati, CMEK aggiunge un ulteriore livello di controllo da parte del cliente. Invece di affidarti solo a chiavi gestite dalla piattaforma, gestisci la chiave radice nel KMS del tuo cloud provider.
Con CMEK, controlli la chiave radice utilizzata per proteggere i tuoi dati. Ecco l’architettura:
Generi e archivi la Customer Master Key (CMK) nel tuo KMS. Non lascia mai il perimetro del tuo KMS. Zilliz Cloud non possiede mai la chiave master — gli viene concesso solo un accesso temporaneo e limitato per utilizzarla quando necessario.
La CMK crittografa una Encryption Zone Key (EZK) intermedia che è unica per ogni database. Quando Zilliz Cloud deve elaborare i dati, richiede al tuo KMS di decrittografare la EZK. La EZK decrittografata risiede solo in memoria, solo per la durata necessaria. Questo design elimina le chiamate KMS per ogni operazione senza indebolire il perimetro di sicurezza.
Le EZK crittografano le Data Encryption Keys (DEK) per file, che proteggono i blocchi vettoriali, gli indici e i log effettivi. Questa architettura a tre livelli limita il raggio d’impatto: se una singola DEK venisse mai esposta, il danno sarebbe contenuto a un singolo file.
Il risultato è una crittografia controllata dal cliente senza la penalità in millisecondi derivante dalla chiamata al tuo KMS a ogni ricerca vettoriale. La tua chiave master rimane la radice della fiducia, mentre Zilliz Cloud può continuare a fornire ricerca vettoriale a bassa latenza.
Cosa viene crittografato
CMEK su Zilliz Cloud è progettato per proteggere i dati lungo l’intero ciclo di vita, non solo a livello di storage:
- Object storage — binlog, file di indice e snapshot in S3
- Cache SSD locali — dati memorizzati nella cache sui nodi di calcolo per la ricerca a bassa latenza
- Code di messaggi — operazioni di inserimento ed eliminazione in transito tra componenti interni
Che i tuoi dati siano a riposo nello storage a lungo termine, memorizzati nella cache per le prestazioni o in transito attraverso pipeline di elaborazione interne, rimangono crittografati con la tua chiave, utilizzando AES-256.
I tre risultati che interessano di più ai team di sicurezza
1. Separazione dei compiti — Pulita e verificabile
Zilliz Cloud elabora e archivia i tuoi dati. Tu detieni le chiavi nel tuo KMS. Si tratta di entità distinte con ruoli distinti. Il tuo team di compliance può definire chiaramente questo confine durante gli audit, contribuendo a supportare i controlli di segregazione dei compiti e di gestione delle chiavi che molti team mappano su framework come GDPR, HIPAA, PCI-DSS e SOC 2.
2. Revocabilità immediata — Controllo diretto del cliente
Se rilevi una violazione, devi interrompere il rapporto con un fornitore o devi rispondere a un legal hold, puoi disabilitare la tua CMK direttamente in KMS. L’effetto è immediato: i dati nel cluster Zilliz interessato non possono essere letti o elaborati dal servizio finché l’accesso alla chiave non viene ripristinato. Questo non elimina né sposta i dati e non dipende da un workflow lato fornitore.
Questo offre ai team un solido punto di controllo per la sovranità dei dati, la risposta agli incidenti e la gestione dell’accesso dei fornitori.
3. Audit trail unificato — All’interno della tua infrastruttura esistente
Ogni richiesta di accesso alle chiavi da parte di Zilliz Cloud viene registrata in AWS CloudTrail. Il tuo team di sicurezza può vedere quando e come vengono accedute le chiavi all’interno della stessa infrastruttura di audit AWS che già utilizza, invece di affidarsi a un workflow separato specifico del fornitore. Le tue chiavi di crittografia Zilliz risiedono insieme alle altre chiavi AWS KMS, governate dalle stesse policy e monitorate dagli stessi team.
Iniziare con CMEK
Abbiamo lavorato per rendere l’adozione di CMEK il più possibile priva di attriti:
- Passaggio 1 — Genera la policy IAM. Nella Zilliz Console, generiamo automaticamente lo snippet esatto della policy IAM di cui il tuo account AWS ha bisogno, preconfigurato con gli ID principali corretti per il tuo cluster. Non è richiesta alcuna modifica manuale del JSON.
- Passaggio 2 — Crea la chiave e autorizza l’accesso. Crea una chiave nel tuo AWS KMS, applica la policy e concedi a Zilliz autorizzazioni rigorosamente delimitate — solo Decrypt e GenerateDataKey. Nulla di più ampio di quanto necessario.
- Passaggio 3 — Abilita CMEK sul tuo cluster. Incolla il Key ARN nella Zilliz Console e imposta Customer-Managed Key su ON durante la creazione di un nuovo cluster Dedicated.
L’intera configurazione richiede minuti, non giorni. La rotazione delle chiavi è supportata senza downtime — AWS KMS gestisce la rotazione e Zilliz Cloud segue senza interruzioni il Key ARN.
Disponibilità
CMEK è disponibile oggi per i cluster Dedicated nel piano business-critical su AWS. Alcune cose da sapere prima di iniziare:
- Le chiavi di crittografia sono gestite a livello di progetto
- Fino a 20 chiavi univoche per progetto (l’aggiunta di chiavi duplicate causerà errori)
- Una volta che un cluster è crittografato, la migrazione delle collection tra database non è supportata
- Il cloud provider e la regione della tua chiave KMS devono corrispondere a quelli del tuo cluster Zilliz Cloud
- Per abilitare CMEK su cluster esistenti che eseguono Milvus v2.5.x, esegui il backup dei dati e ripristinali su un nuovo cluster su Milvus v2.6.x — L’aggiornamento di un cluster esistente non crittografa retroattivamente i dati precedenti
- Per le regioni al di fuori di AWS, contattaci per discutere la disponibilità.
Domande su CMEK o sulla sicurezza enterprise su Zilliz Cloud? Consulta questo documento CMEK o contatta il nostro team di soluzioni per maggiori informazioni.
Continua a leggere
Context Engineering Strategies for AI Agents: A Developer’s Guide
Learn practical context engineering strategies for AI agents. Explore frameworks, tools, and techniques to improve reliability, efficiency, and cost.
Zilliz Cloud Audit Logs Goes GA: Security, Compliance, and Transparency at Scale
Zilliz Cloud Audit Logs are now GA, giving enterprises real-time visibility, compliance-ready trails, and stronger security across AWS, GCP, and Azure.
Introducing Zilliz MCP Server: Natural Language Access to Your Vector Database
Developers can easily manage and query vector databases with natural language via Zilliz MCP Server in AI-native environments.