O que é o DEW?
O Data Encryption Workshop (DEW) é a plataforma de segurança de dados da Huawei Cloud. Seu componente principal é o KMS (Key Management Service), que gerencia chaves de criptografia de forma centralizada e segura.
É equivalente ao AWS KMS (Key Management Service).
Componentes do DEW
| Componente | Função |
|---|---|
| KMS (Key Management Service) | Cria, gerencia e rotaciona chaves de criptografia. Integrado com OBS, EVS, RDS e outros serviços. |
| CSMS (Cloud Secret Manager) | Armazena e gerencia segredos (senhas, tokens, chaves de API) com rotação automática. |
| DEW HSM | Hardware Security Module dedicado para requisitos de conformidade mais rigorosos. |
Como o KMS funciona
- CMK (Customer Master Key): chave mestre criada e gerenciada por você no KMS. Nunca sai do KMS em texto claro.
- DEK (Data Encryption Key): chave gerada pelo KMS para criptografar os dados reais. Criptografada pela CMK.
- Envelope Encryption: os dados são criptografados com a DEK; a DEK é criptografada com a CMK. Padrão de segurança em camadas.
Integração com outros serviços
- OBS: criptografia de objetos em repouso com chaves KMS (SSE-KMS)
- EVS: volumes de disco criptografados com CMK
- RDS: criptografia do banco de dados em repouso
- IMS: imagens de ECS criptografadas
- FunctionGraph: variáveis de ambiente criptografadas
Tipos de chave CMK
- Default Master Keys: criadas automaticamente pela Huawei Cloud para cada serviço. Não podem ser deletadas ou rotacionadas manualmente.
- Customer Managed Keys: criadas por você. Controle total sobre rotação, políticas de acesso e ciclo de vida.
DEW vs AWS KMS
| Conceito | Huawei DEW/KMS | AWS KMS |
|---|---|---|
| Chave mestre | CMK (Customer Master Key) | KMS Key (CMK) |
| Gerenciamento de segredos | CSMS | Secrets Manager |
| HSM dedicado | DEW HSM | CloudHSM |
| Criptografia de objetos | OBS SSE-KMS | S3 SSE-KMS |
🎯 Pontos importantes para o exame HCIA
- DEW/KMS = gerenciamento de chaves de criptografia — equivalente ao AWS KMS
- CMK é a chave mestre — nunca sai do KMS em texto claro
- Padrão Envelope Encryption: dados → DEK → CMK (duas camadas)
- KMS se integra com OBS, EVS, RDS para criptografia em repouso
- CSMS armazena segredos (senhas, tokens) — equivalente ao AWS Secrets Manager
- Chaves gerenciadas pelo cliente permitem rotação automática
- Toda operação com chaves KMS é registrada no CTS para auditoria