IBM Cloud Docs
管理加密

管理加密

缺省情况下,将使用随机生成的密钥对 Event Notifications 中的客户数据进行静态加密。 虽然此缺省加密模型提供了静态安全性,但您可能需要更高级别的控制。 对于这些用例,Event Notifications 支持使用以下 IBM Cloud® 密钥管理服务进行客户管理的加密:

  • IBM® Key Protect for IBM Cloud® (自带密钥 - BYOK)可帮助您在 服务中为应用程序提供加密密钥。IBM Cloud 在管理密钥的生命周期时,了解密钥由 FIPS 140-2 3 级认证的 HSM(基于云的硬件安全模块)进行保护,从而防止信息被盗,这对您十分有益。 您可以在 入门教程中了解有关使用 Key Protect 的更多信息。
  • Hyper Protect Crypto Services(保管自己的密钥 - KYOK)是由您控制的单租户专用 HSM。 该服务在通过 FIPS 140-2 级别 4 认证的硬件上构建,该级别是行业内任何云提供者提供的最高级别。 您可以在 入门教程中了解有关使用 Hyper Protect Crypto Services 的更多信息。

这些服务允许使用客户提供的密钥来控制加密。 通过禁用或删除此密钥,您可以阻止对服务所存储数据的进一步访问,因为解密已不再可能。

如果需要以下功能,请考虑使用客户管理的密钥:

  • 使用自己的密钥对静态数据进行加密。
  • 明确控制静态存储数据的生命周期。

客户管理的密钥仅在标准套餐上可用。

删除客户管理的密钥是不可恢复的操作,并且会导致存储在 Event Notifications 实例中的所有数据丢失。

客户管理的加密未涵盖的内容

如果选择了客户管理的加密功能,那么用户应该知道此加密涵盖了 客户数据。Event Notifications 会对与使用服务相关的静态其他数据进行加密。

建议不要在客户机元数据中使用机密信息。

客户管理的加密的运作方式

Event Notifications 使用称为包络加密的概念来实现客户管理的密钥。

包络加密是指使用一个加密密钥对另一个加密密钥进行加密的做法。 用于加密实际数据的密钥称为数据加密密钥 (DEK)。 DEK 本身从不会存储,而是由称为密钥加密密钥 (KEK) 的另一个密钥包装,以创建包装的 DEK。

要解密数据,必须首先对包装的 DEK 解包才能获取 DEK。 只有通过访问 KEK 才能实现这一过程,在这种情况下,KEK 就是您存储在 Key ProtectHyper Protect Crypto Services.

您拥有 KEK,此密钥由您在 Hyper Protect Crypto Services 或 Key Protect 服务中创建为根密钥。 Event Notifications 服务绝不会看到根 (KEK) 密钥。 此密钥的存储和管理以及使用此密钥来打包和解包 DEK 完全在密钥管理服务中执行。 如果禁用或删除密钥,那么无法再解密数据。

为 Event Notifications 启用客户管理的密钥

要供应 Event Notifications 实例以使用客户管理的密钥,请完成以下步骤:

  1. 供应 Key ProtectHyper Protect Crypto Services的实例。

  2. 创建授权策略以允许 Event Notifications 服务以“读取者”身份访问密钥管理服务实例。 有关更多信息,请参阅 使用授权在服务之间授予访问权限

  3. 创建根密钥或将其导入密钥管理服务实例中。

  4. 使用密钥管理服务实例 GUI 中的查看 CRN 选项来检索密钥的云资源名称 (CRN)。

  5. 供应 Event Notifications 的实例。 此功能仅支持标准计划。

使用客户管理的密钥

启用客户管理的密钥后,集群会正常运行,但具有以下额外的功能:

阻止对数据的访问

要临时阻止访问,您可以禁用根密钥。 这样,Event Notifications 就无法再访问数据,因为它无法再访问密钥。

要永久除去访问权,可以删除密钥。 但是,您必须极为谨慎,因为此操作不可恢复。 您将失去对存储在 Event Notifications 实例中的所有数据的访问权。 没有任何办法可恢复这些数据。

在这两种情况下,Event Notifications 实例都会关闭,不再接受或处理连接。 生成云日志事件来报告该操作。 有关更多信息,请参阅 Event Notifications 事件

授权应始终保留在 Event Notifications 与密钥管理服务实例之间。 除去此授权将阻止 Event Notifications 将来访问您的数据,但已在使用的数据将在一段时间内继续可用。

在您使用 IBM Cloud 控制台或 CLI 取消配置之前,您都要为 Event Notifications 实例付费。 即使您选择阻止访问数据,仍会应用这些费用。

复原对数据的访问

仅当未删除密钥时,才能复原访问权。 要恢复访问权,请重新启用根密钥。 在经过很短的一段初始化时间后,Event Notifications 实例会重新启动并再次开始接受连接。 这将保留所有数据,但会受实例中配置的正常保留时间限制的制约。

生成云日志事件来报告该操作。 有关更多信息,请参阅 Activity Tracker 事件

轮换密钥

Key Protect 和 Hyper Protect Crypto Services 支持根据需求或按安排轮换根密钥。 出现这种情况时,Event Notifications 会按照 客户管理加密的工作原理 所述,通过重新封装 DEK 来采用新密钥。

生成云日志事件来报告该操作。 有关更多信息,请参阅 Activity Tracker 事件

禁用客户管理的加密

启用客户管理的加密后,无法将其禁用。 您必须改为删除服务实例,然后创建新实例。