IBM Cloud Docs
Criptografia do lado do servidor com Hyper Protect Crypto Services

Criptografia do lado do servidor com Hyper Protect Crypto Services

É possível usar o Hyper Protect Crypto Services para criar, incluir e gerenciar chaves, que podem ser associadas à sua instância do IBM® Cloud Object Storage para criptografar depósitos.

Esse recurso não é suportado atualmente no Object Storage para Satellite. Saiba mais.

Antes de Iniciar

Antes de planejar o uso do Hyper Protect Crypto Services com depósitos do Cloud Object Storage, é necessário:

Será necessário assegurar que uma instância de serviço seja criada usando o catálogo doIBM Cloud e as permissões apropriadas sejam concedidas Esta seção descreve as instruções passo a passo para ajudá-lo a iniciar.

Fornecendo uma instância do Hyper Protect Crypto Services

Consulte as páginas do produto específicas do serviço para obter instruções sobre como provisionar e configurar instâncias de serviço apropriadas.

Depois de ter uma instância do Hyper Protect Crypto Services, é necessário criar uma chave raiz e observar o CRN (Nome do recurso em nuvem) dessa chave. O CRN é enviado em um cabeçalho durante a criação do depósito.

Antes de criar o depósito para uso com o Hyper Protect Crypto Services, revise a orientação relevante sobre disponibilidade e recuperação de desastre.

Criar ou incluir uma chave no Hyper Protect Crypto Services

Navegue para sua instância do Hyper Protect Crypto Services e inicialize a instância de serviço. Depois que uma chave mestra tiver sido criada, gere ou insira uma chave raiz.

Conceder autorização de serviço

Autorize o Hyper Protect Crypto Services para uso com o IBM COS:

  1. Abra seu painel do IBM Cloud.
  2. Na barra de menus, clique em Gerenciar > Acesso (IAM).
  3. Na navegação lateral, clique em Autorizações.
  4. Clique em Criar para criar uma autorização.
  5. No menu Serviço de origem, selecione Cloud Object Storage.
  6. No menu Instância de serviço de origem, selecione a instância de serviço a ser autorizada.
  7. No menu Serviço de destino, selecione Hyper Protect Crypto Services.
  8. No menu Instância do serviço de destino, selecione a instância de serviço a ser autorizada.
  9. Ative a função Leitor.
  10. Clique em Autorizar.

Criar um depósito

Quando sua chave existe no Hyper Protect Crypto Services e você autorizou o serviço para uso com o IBM COS, agora é possível associar a chave a um novo depósito:

  1. Navegue para sua instância do Object Storage.
  2. Clique em Criar depósito.
  3. Selecione Depósito customizado.
  4. Insira um nome de depósito, selecione a resiliência (somente Regional e Região cruzada dos EUA são suportados atualmente) e escolha uma classe de local e de armazenamento.
  5. Em Integrações de serviço. alterne Gerenciamento de chave desativado para ativar o gerenciamento de chave de criptografia e clique em Usar instância existente.
  6. Selecione a instância de serviço e a chave associadas e clique em Associar chave..
  7. Verifique se as informações estão corretas
  8. Clique em Criar.

É possível escolher usar o Hyper Protect Crypto Services para gerenciar a criptografia para um depósito somente no momento da criação. Não é possível mudar um depósito existente para usar o Hyper Protect Crypto Services.

Se a criação do depósito falhar com um erro 400 Bad Request com a mensagem The Key CRN could not be found, assegure-se de que o CRN esteja correto e de que a política de autorização de serviço para serviço exista.

Na listagem Buckets, o depósito agora tem um link Visualizar sob Attributes, indicando que o depósito tem uma chave Hyper Protect Crypto Services ativada. Para visualizar os detalhes da chave (juntamente com outros metadados do objeto) clique em View.

Observe que o valor Etag retornado para objetos criptografados usando Hyper Protect Crypto Services will é o hash MD5 real do objeto decriptografado original.

Também é possível usar a API REST ou SDKs (Go, Java, Node.js ou Python).

Criando depósitos de Região Cruzada

A criação do depósito entre regiões do COS com uma chave raiz de uma instância do Hyper Protect Crypto Services requer que essa instância seja configurada com configuração de failover.

É possível confirmar que o failover está configurado corretamente para a instância do Hyper Protect Crypto Services selecionada corretamente usando o IBM Cloud console ou CLI.

No console do IBM Cloud, navegue para uma instância do Hyper Protect Crypto Services e clique em Visão geral. Uma seção "Failover" indicará o status de unidades de criptografia nas regiões de failover correspondentes.

Assegure-se de que a seção de failover esteja presente, todas as verificações de validação estejam verdes e não haja avisos para essa instância do Hyper Protect Crypto Services. Se você vir erros ou avisos ou se a seção de failover não estiver presente, consulte a documentação do Hyper Protect Crypto Services para obter orientação adicional.

Também é possível usar a CLI para listar todas as unidades de criptografia para todas as instâncias pertencentes ao grupo de recursos de destino:

ibmcloud tke cryptounits

Para obter o status de unidades de criptografia para a instância selecionada, crie uma lista de unidades de criptografia associadas a essa instância e compare-as:

ibmcloud tke cryptounit-add

Após as unidades terem sido selecionadas, é possível verificar seus padrões de verificação:

ibmcloud tke cryptounit-compare

Assegure-se de que todos sejam válidos e tenham o mesmo padrão de verificação.

Depois que a presença da configuração de failover é verificada, é possível continuar criando o depósito de Região cruzada usando a chave dessa instância do Hyper Protect Crypto Services.

Se a criação do depósito de Região cruzada na Região cruzada dos EUA com uma chave raiz do Hyper Protect Crypto Services falhar com um erro 500, o usuário será aconselhado a verificar se o status da configuração de failover para essa instância do Hyper Protect Crypto Services (usando os métodos detalhados acima) antes de tentar novamente a criação do depósito.

Gerenciamento de ciclo de vida de chave

Hyper Protect Crypto Services oferece várias maneiras de gerenciar o ciclo de vida de chaves de criptografia. Para obter mais detalhes, consulte a documentação do Hyper Protect Crypto Services.

Girando chaves

A rotação de chave é uma parte importante da mitigação do risco de uma violação de dados. Periodicamente, a mudança de chaves reduzirá a perda de dados em potencial se a chave for perdida ou estiver comprometida. A frequência de rotações de chave varia de acordo com a organização e depende de uma série de variáveis, como o ambiente, a quantia de dados criptografados, a classificação dos dados e as leis de conformidade. O National Institute of Standards and Technology(NIST) fornece definições de comprimentos de chave apropriados e fornece diretrizes para quanto tempo as chaves devem ser usadas.

Para obter mais informações, consulte a documentação para chaves rotativas no Hyper Protect Crypto Services

Desativando e reativando chaves

Como um administrador, poderá ser necessário desativar uma chave raiz temporariamente se você suspeitar de um possível risco à segurança, comprometimento ou violação de seus dados. Ao desativar uma chave raiz, você suspende suas operações de criptografia e decriptografia. Após confirmar que um risco de segurança não está mais ativo, é possível restabelecer o acesso aos seus dados ativando a chave raiz desativada.

Excluindo chaves e apagamento criptográfico

O apagamento criptográfico (ou retalhação criptográfica) é um método de renderização de dados criptografados ilegíveis excluindo as chaves de criptografia em vez dos dados em si. Quando uma chave raiz for excluída no Hyper Protect Crypto Services, ela afetará todos os objetos em quaisquer depósitos criados usando essa chave raiz, efetivamente "fragmentando" os dados e evitando qualquer leitura ou gravação adicional nos depósitos. Este processo não é instantâneo, mas ocorre em cerca de 90 segundos após a chave ser excluída.

Embora os objetos em um depósito criptofragmentado não possam ser lidos e novos objetos não possam ser gravados, os objetos existentes continuarão a consumir armazenamento até que sejam excluídos por um usuário.

Restaurando uma chave excluída

Como um administrador, pode ser necessário restaurar uma chave raiz que você importou para Hyper Protect Crypto Services para que seja possível acessar dados que a chave protegeu anteriormente. Ao restaurar uma chave, você move a chave do estado Destruído para a chave Ativa e restaura o acesso a quaisquer dados que foram criptografados anteriormente com a chave. Isso deve ocorrer em 30 dias após a exclusão de uma chave.

Se uma chave que foi originalmente transferida por upload por um usuário for excluída e, em seguida, restaurada usando material de chave diferente, ela resultará em perda de dados. Recomenda-se manter as chaves n-5 arquivadas em algum lugar para assegurar que o material da chave correto esteja disponível para restauração

Activity Tracking

Quando as chaves raiz do Hyper Protect Crypto Services são excluídas, giradas, suspensas, ativadas ou restauradas, um Evento de gerenciamento Activity Tracker (cloud-object-storage.bucket-key-state.update) é gerado, além de quaisquer eventos registrados pelo Hyper Protect Crypto Services.

No caso de uma falha no lado do servidor em uma ação de ciclo de vida em uma tecla, essa falha não é registrada pelo COS. Se Hyper Protect Crypto Services não receber um sucesso do COS para a manipulação de eventos dentro de quatro horas após o evento ser enviado, Hyper Protect Crypto Services registrará uma falha.

As ações cloud-object-storage.bucket-key-state.update são acionadas por eventos que ocorrem no Hyper Protect Crypto Servicese requerem que o depósito seja registrado com o serviço Hyper Protect Crypto Services. Esse registro ocorre automaticamente quando um depósito é criado com uma chave raiz Hyper Protect Crypto Services.

Os depósitos criados antes de 26 de fevereiro de 2020 não são registrados com o serviço Hyper Protect Crypto Services e não receberão notificações de eventos de ciclo de vida de chave de criptografia neste momento. Esses depósitos podem ser identificados executando uma operação de listagem de depósitos e observando as datas para a criação do depósito. Para assegurar que esses depósitos tenham o estado de chave mais recente de Hyper Protect Crypto Services, é recomendado que alguma operação de dados seja executada, como PUT, GET ou HEAD em um objeto em cada depósito afetado. É recomendado que uma operação de objeto seja feita duas vezes, com pelo menos uma hora de intervalo, para assegurar que o estado da chave esteja corretamente em sincronização com o estado Hyper Protect Crypto Services.

Para obter mais informações sobre eventos do Activity Tracker para armazenamento de objeto, consulte o tópico de referência.