STACKIT Key Management Service - HSM-backed KMS

Was ist STACKIT Key Management Service?

STACKIT Key Management Service (KMS) ist ein zentraler Dienst für die sichere Erstellung, Speicherung und Nutzung kryptographischer Schlüssel. Der Service unterstützt HSM-backed Keys, die in FIPS 140-2 Level 3 zertifizierten Hardware Security Modules gespeichert werden und niemals das HSM verlassen. Als deutscher Cloud-Provider garantiert STACKIT, dass alle Schlüssel ausschließlich in deutschen Rechenzentren verbleiben.

Kernfunktionen

• HSM-Schutz: FIPS 140-2 Level 3 zertifizierte Hardware Security Modules
• Envelope Encryption: Data Encryption Keys (DEK) verschlüsseln Daten, Key Encryption Keys (KEK) schützen DEKs
• Automatische Rotation: Konfigurierbare Rotations-Schedules mit Versions-Verwaltung
• Audit-Logging: CloudTrail-ähnliche Logs für alle kryptographischen Operationen
• Native Integration: Block Storage, Object Storage und Compute Engine Encryption

Typische Anwendungsfälle

Datenbank-Verschlüsselung: PostgreSQL, MySQL und SQL Server nutzen Transparent Data Encryption (TDE) mit KMS-verwalteten Master Keys. Automatische Rotation erfüllt Compliance-Anforderungen.

Volume-Encryption: STACKIT Block Storage Volumes mit Customer Managed Keys verschlüsseln. Im Notfall Zugriff durch Key-Deaktivierung widerrufen.

Digitale Signaturen: RSA- und ECC-Keys signieren Software-Artefakte und Container-Images. Private Keys verlassen niemals das HSM.

Vorteile

• DSGVO-konform: Alle Schlüssel in deutschen HSMs, kein US-CLOUD Act Risiko
• FIPS 140-2 Level 3: Höchste Hardware-Sicherheitszertifizierung
• Compliance-ready: BSI C5, ISO 27001, PCI-DSS konforme Schlüsselverwaltung
• Audit-fähig: Vollständige Logs für alle Verschlüsselungsoperationen

Integration mit innFactory

Als offizieller STACKIT Partner unterstützt innFactory Sie bei KMS: Envelope Encryption Architektur, BYOK-Setup, Key-Rotation-Policies und Compliance-Dokumentation.