Apresentando Chaves de Criptografia Gerenciadas pelo Cliente (CMEK) no Zilliz Cloud
À medida que as empresas levam mais cargas de trabalho de IA para produção, bancos de dados vetoriais ficam cada vez mais por trás de aplicações críticas, como RAG, busca semântica e agentes de IA. Essas cargas de trabalho frequentemente dependem de contexto empresarial sensível, portanto as equipes de segurança precisam de controles claros sobre como os dados são criptografados, como as chaves são gerenciadas e como o acesso pode ser auditado ou revogado.
O Zilliz Cloud já criptografa dados em repouso por padrão usando AES-256. Hoje, estamos adicionando outra camada de controle do cliente com a disponibilidade geral de Customer-Managed Encryption Keys (CMEK) no Zilliz Cloud.
Com CMEK, os clientes podem trazer e gerenciar suas próprias chaves no AWS Key Management Service (KMS). Isso dá às equipes de segurança e conformidade propriedade direta sobre o gerenciamento do ciclo de vida das chaves, políticas de acesso, trilhas de auditoria e controles de revogação, ao mesmo tempo em que continuam usando o Zilliz Cloud como um banco de dados vetorial totalmente gerenciado.
Por que equipes empresariais querem controle direto de chaves
A criptografia padrão gerenciada pela plataforma é uma base importante para qualquer serviço de nuvem gerenciado. Para muitas cargas de trabalho, ela oferece forte proteção sem adicionar complexidade operacional para o cliente.
Alguns ambientes empresariais e regulados, no entanto, exigem um nível mais alto de controle do cliente. As equipes de segurança podem precisar gerenciar chaves em sua própria conta de nuvem, separar a propriedade das chaves do processamento de dados, monitorar o uso das chaves em seus sistemas de auditoria existentes ou revogar acesso sem abrir um chamado de suporte ou depender de um fluxo de trabalho do lado do fornecedor.
CMEK foi projetado para essas equipes. Ele mantém a experiência de banco de dados gerenciado do Zilliz Cloud, ao mesmo tempo em que dá aos clientes controle direto sobre as chaves raiz usadas para proteger seus dados.
Apresentando o CMEK no Zilliz Cloud
O Zilliz Cloud já criptografa todos os dados em repouso usando AES-256 por padrão. Para organizações com requisitos rigorosos de segurança, conformidade ou governança de dados, CMEK adiciona uma camada extra de controle do cliente. Em vez de depender apenas de chaves gerenciadas pela plataforma, você gerencia a chave raiz no KMS do seu próprio provedor de nuvem.
Com CMEK, você controla a chave raiz usada para proteger seus dados. Esta é a arquitetura:
Você gera e armazena a Customer Master Key (CMK) no seu KMS. Ela nunca sai do limite do seu KMS. O Zilliz Cloud nunca possui a chave mestra — ele recebe apenas acesso temporário e com escopo definido para usá-la quando necessário.
A CMK criptografa uma Encryption Zone Key (EZK) intermediária que é única por banco de dados. Quando o Zilliz Cloud precisa processar dados, ele solicita que seu KMS descriptografe a EZK. A EZK descriptografada permanece apenas na memória, somente pelo tempo necessário. Esse design elimina chamadas ao KMS por operação sem enfraquecer o limite de segurança.
EZKs criptografam Data Encryption Keys (DEKs) por arquivo, que protegem os blocos vetoriais, índices e logs reais. Essa arquitetura de três camadas limita o raio de impacto: se uma única DEK fosse algum dia exposta, o dano ficaria contido a um único arquivo.
O resultado é criptografia controlada pelo cliente sem a penalidade de milissegundos de chamar seu KMS a cada busca vetorial. Sua chave mestra continua sendo a raiz de confiança, enquanto o Zilliz Cloud pode continuar entregando busca vetorial de baixa latência.
O que é criptografado
CMEK no Zilliz Cloud foi projetado para proteger dados ao longo de todo o ciclo de vida, não apenas na camada de armazenamento:
- Armazenamento de objetos — binlogs, arquivos de índice e snapshots no S3
- Caches SSD locais — dados armazenados em cache em nós de computação para busca de baixa latência
- Filas de mensagens — operações de inserção e exclusão em trânsito entre componentes internos
Seja seus dados estejam em repouso no armazenamento de longo prazo, em cache para desempenho ou fluindo por pipelines internos de processamento, eles permanecem criptografados sob sua chave, usando AES-256.
Três resultados que as equipes de segurança mais valorizam
1. Segregação de funções — limpa e auditável
Zilliz Cloud processa e armazena seus dados. Você mantém as chaves em seu próprio KMS. Essas são entidades distintas com funções distintas. Sua equipe de conformidade pode definir claramente esse limite em auditorias, ajudando a apoiar os controles de segregação de funções e gerenciamento de chaves que muitas equipes mapeiam para estruturas como GDPR, HIPAA, PCI-DSS e SOC 2.
2. Revogabilidade instantânea — Controle direto do cliente
Se você detectar uma violação, precisar encerrar um relacionamento com um fornecedor ou precisar responder a uma retenção legal, poderá desativar sua CMK diretamente no KMS. O efeito é imediato: os dados no cluster Zilliz afetado não podem ser lidos nem processados pelo serviço até que o acesso à chave seja restaurado. Isso não exclui nem move os dados, e não depende de um fluxo de trabalho do lado do fornecedor.
Isso dá às equipes um ponto de controle forte para soberania de dados, resposta a incidentes e gerenciamento de acesso de fornecedores.
3. Trilha de auditoria unificada — Dentro da sua infraestrutura existente
Toda solicitação de acesso a chave do Zilliz Cloud é registrada no AWS CloudTrail. Sua equipe de segurança pode ver quando e como as chaves são acessadas dentro da mesma infraestrutura de auditoria da AWS que ela já usa, em vez de depender de um fluxo de trabalho separado e específico do fornecedor. Suas chaves de criptografia do Zilliz ficam junto com suas outras chaves do AWS KMS, regidas pelas mesmas políticas e monitoradas pelas mesmas equipes.
Como começar com CMEK
Trabalhamos para tornar a adoção de CMEK o mais simples possível:
- Etapa 1 — Gere a política do IAM. No Zilliz Console, geramos automaticamente o trecho exato da política do IAM de que sua conta da AWS precisa, pré-configurado com os IDs de principal corretos para seu cluster. Não é necessário editar JSON manualmente.
- Etapa 2 — Crie a chave e autorize o acesso. Crie uma chave no seu AWS KMS, aplique a política e conceda ao Zilliz permissões estritamente delimitadas — Decrypt e GenerateDataKey apenas. Nada além do necessário.
- Etapa 3 — Ative CMEK no seu cluster. Cole o ARN da chave no Zilliz Console e alterne Customer-Managed Key para ON ao criar um novo cluster Dedicated.
Toda a configuração leva minutos, não dias. A rotação de chaves é compatível com tempo de inatividade zero — o AWS KMS lida com a rotação, e o Zilliz Cloud acompanha perfeitamente o ARN da chave.
Disponibilidade
CMEK está disponível hoje para clusters Dedicated no plano business-critical na AWS. Algumas coisas a saber antes de começar:
- As chaves de criptografia são gerenciadas no nível do projeto
- Até 20 chaves exclusivas por projeto (adicionar chaves duplicadas causará falhas)
- Depois que um cluster é criptografado, não há suporte para migrar coleções entre bancos de dados
- O provedor de nuvem e a região da sua chave KMS devem corresponder aos do seu cluster Zilliz Cloud
- Para habilitar CMEK em clusters existentes executando Milvus v2.5.x, faça backup dos seus dados e restaure-os em um novo cluster no Milvus v2.6.x — Atualizar um cluster existente não criptografa retroativamente dados anteriores
- Para regiões fora da AWS, entre em contato conosco para discutir a disponibilidade.
Dúvidas sobre CMEK ou segurança empresarial no Zilliz Cloud? Confira este documento sobre CMEK ou entre em contato com nossa equipe de soluções para obter mais informações.
Continue lendo
Notion's Vector Search Is Excellent. Their Next Problem Is Harder.
Notion solved vector search scaling in two years. The next bottleneck — offline context engineering, unified data, and the real-time/offline gap — is harder.
How Zilliz Ended Up at the Center of NVIDIA’s Unstructured Data Story at GTC 2026
If unstructured data is the context of AI, then the ceiling of AI applications will be set not just by models, but by how mature the infrastructure for unstructured data becomes.
Bringing AI to Legal Tech: The Role of Vector Databases in Enhancing LLM Guardrails
Discover how vector databases enhance AI reliability in legal tech, ensuring accurate, compliant, and trustworthy AI-powered legal solutions.