Was ist IBM Cloud Hyper Protect Crypto Services?

IBM Cloud Hyper Protect Crypto Services ist ein dedizierter Schlüsselmanagementservice und ein Cloud Hardware Security Module(HSM)A physical appliance that provides on-demand encryption, key management, and key storage as a managed service.-Service, der die folgenden Features bereitstellt:

• Keep Your Own Key (KYOK) mit FIPS 140-2 Stufe 4-zertifiziertem HSM, das Ihnen die vollständige Kontrolle über die gesamte Schlüsselhierarchie ermöglicht, in der IBM Cloud-Administratoren keinen Zugriff auf Ihre Schlüssel haben.
• Ein Single-Tenant-Schlüsselmanagementservice, mit dem Schlüssel mit der standardisierten API erstellt, importiert, rotiert und verwaltet werden können.
• Verschlüsselung ruhender Daten mit kundeneigenen Schlüsseln und reibungsloser Integration in andere IBM Cloud-Datenservices und -Speicherservices.
• PKCS #11-Bibliothek und Enterprise PKCS #11-Bibliothek (EP11-Bibliothek) für Verschlüsselungsoperationen, die über die Hyper Protect Crypto Services-Hardwaresicherheitsmodule (HSMs) mit der höchsten Sicherheitsstufe in der Cloud aktiviert werden.

Was ist Unified Key Orchestrator?

Unified Key Orchestrator stellt den einzigen cloudnativen zentralen Steuerungspunkt für Verschlüsselungsschlüssel in verschiedenen Hybrid-Multi-Cloud-Umgebungen Ihres Unternehmens bereit.

• Unified Key Orchestrator bietet Ihnen sowohl die Möglichkeit, einen eigenen Schlüssel zu behalten als auch eigene Schlüsselfunktionen aus Hybrid-Multi-Cloud-Umgebungen, einschließlich On-Premises-Umgebungen, zu nutzen.
• Unified Key Orchestrator verwaltet und koordiniert alle Schlüssel aus den Multicloud-Umgebungen unter IBM Cloud.

Was ist ein Schlüsselmanagementservice?

Hyper Protect Crypto Services stellt einen Single-Tenant-Schlüsselmanagementservice zur Verfügung, um Schlüssel zu erstellen, zu importieren, zu rotieren und zu verwalten. Nach der Löschung der Verschlüsselungsschlüssel können Sie sicher sein, dass Ihre durch diese Schlüssel geschützten Daten nicht mehr abrufbar sind. Der Service basiert auf einem zertifizierten FIPS 140-2 Level 4-HSM, welches das höchste Schutzniveau in der Cloud-Branche bietet. Hyper Protect Crypto Services stellt dieselbe Schlüsselmanagementservice-API wie IBM Key Protect for IBM Cloud bereit, damit Sie Ihre Anwendungen erstellen oder IBM Cloud-Daten und Infrastrukturservices nutzen können.

Was ist ein Hardwaresicherheitsmodul?

Ein Hardwaresicherheitsmodul (HSM) stellt sichere Schlüsselspeicherungs- und Verschlüsselungsoperationen für sensible Daten auf einer manipulationssicheren Hardwareeinheit bereit. HSMs verwenden die Schlüsselinformationen, ohne dass diese Informationen außerhalb der Verschlüsselungsgrenze der Hardware zugänglich gemacht werden.

Was ist ein Cloud-HSM?

Ein Cloud-HSM ist ein cloudbasiertes Hardwaresicherheitsmodul zum Verwalten Ihrer eigenen Verschlüsselungsschlüssel und zum Ausführen von Verschlüsselungsoperationen in IBM Cloud. Hyper Protect Crypto Services basiert auf einem zertifizierten FIPS 140-2 Level 4-HSM, das das höchste Schutzniveau in der Cloudbranche bietet. Mit der KYOK-Unterstützung (Keep Your Own Key) können Kunden den MasterschlüsselAn encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key. konfigurieren und das Eigentumsrecht am Cloud-HSM übernehmen. Kunden haben die vollständige Kontrolle und sämtliche Berechtigungen für die gesamte Schlüsselhierarchie, in der IBM Cloud-Administratoren keinen Zugriff auf Ihre Schlüssel haben.

Wie wird ein Single-Tenant-Cloud-Service durch Hyper Protect Crypto Services bereitgestellt?

Von Hyper Protect Crypto Services wird ein Single-Tenant-Cloud-Service in der Weise bereitgestellt, dass jeder Kunde über einen dedizierten Software-Stack und eine dedizierte HSM-Domäne für jede Verschlüsselungseinheit verfügt. Als Kunde können Sie sichergehen, dass Sie mit einem dedizierten Service-Stack interagieren, der ausschließlich Ihre Daten verarbeitet. Weitere Informationen zur Servicearchitektur finden Sie im Abschnitt zur Funktionsweise von Hyper Protect Crypto Services.

Welche Zuständigkeiten haben Benutzer und IBM Cloud für Hyper Protect Crypto Services?

Hyper Protect Crypto Services ist eine Platform-as-a-Service-Lösung für IBM Cloud. IBM Cloud ist für die Verwaltung von Servern, Netzen, Speicher, Virtualisierung, Middleware und Laufzeit verantwortlich, was eine gute Leistung und hohe Verfügbarkeit sicherstellt. Kunden sind für das Management der Daten und Anwendungen zuständig. Dies gilt insbesondere für die Verschlüsselungsschlüssel, die in Hyper Protect Crypto Services gespeichert werden, sowie für die Benutzeranwendungen, die Schlüssel oder Verschlüsselungsfunktionen für Verschlüsselungsoperationen verwenden.

Wie unterscheidet sich dieser Service vom IBM Cloud-HSM?

IBM verfügt über einen IaaS IBM Cloud-HSM-Service, der sich vom Hyper Protect Crypto Services unterscheidet. IBM Cloud-HSM ist mit FIPS 140-2 Level 3 konform. Hyper Protect Crypto Services stellt einen verwalteten HSM-Service bereit, für den keine besonderen Kenntnisse erforderlich sind, um das HSM zu verwalten, außer das Laden der Schlüssel. Hyper Protect Crypto Services ist der einzige Cloud-Service, der HSMs bereitstellt, die auf zertifizierter FIPS 140-2 Level 4-Hardware basieren und Benutzern die Steuerung des Masterschlüssels ermöglichen.

Welche Unterschiede bestehen zwischen Hyper Protect Crypto Services und Key Protect?

IBM Key Protect for IBM Cloud ist ein gemeinsam genutzter Multi-Tenant-Schlüsselmanagementservice, der Unterstützung für Bring Your Own Key-Funktionalität (BYOK) bietet. Der Service basiert auf FIPS 140-2 Stufe 3-zertifizierten Hardwaresicherheitsmodulen (HSMs), die von IBM verwaltet werden.

Hyper Protect Crypto Services ist ein Single-Tenant-Schlüsselmanagementservice und Cloud-HSM, mit dem Sie Ihre Verschlüsselungsschlüssel vollständig verwalten und Verschlüsselungsoperationen ausführen können. Dieser Service basiert auf FIPS 140-2 Stufe 4-zertifizierten HSMs und unterstützt die Keep Your Own Key-Funktionalität (KYOK). Sie können das Eigentumsrecht übernehmen, um sicherzustellen, dass Sie die vollständige Kontrolle über die gesamte Schlüsselhierarchie haben, auch ohne Zugriff von IBM Cloud-Administratoren. Hyper Protect Crypto Services unterstützt auch Branchenstandards wie Public-Key Cryptography Standards #11 (PKCS #11) für Verschlüsselungsoperationen wie digitale Signatur und SSL-Auslagerung (Secure Sockets Layer).

Worin unterscheiden sich Keep Your Own Key und Bring Your Own Key?

Bring Your Own Key (BYOK) bedeutet, dass Sie Ihre eigenen Schlüssel verwenden können, um Daten zu verschlüsseln. Schlüsselmanagementservices, die BYOK bereitstellen, sind üblicherweise Multi-Tenant-Services. Mit diesen Services können Sie Ihre Verschlüsselungsschlüssel aus den lokalen Hardwaresicherheitsmodulen (HSM) importieren und dann die Schlüssel verwalten.

Mit Keep Your Own Key (KYOK) stellt IBM Ihnen branchenführende Kontrollmöglichkeiten bereit, die Sie auf Ihre eigenen Verschlüsselungsschlüssel anwenden können. Zusätzlich zu den BYOK-Funktionen bietet KYOK die technische Zusicherung, dass IBM nicht auf die Kundenschlüssel zugreifen kann. Mit KYOK haben Sie vollständige Kontrolle über die gesamte Schlüsselhierarchie einschließlich des Masterschlüssels.

In der folgenden Tabelle sind die Unterschiede zwischen KYOK und BYOK im Detail angegeben.

Welche Aktionen kann ich mit IBM Cloud Hyper Protect Crypto Services ausführen?

Sie können IBM Cloud Hyper Protect Crypto Services als Schlüsselmanagementservice und für Verschlüsselungsoperationen einsetzen.

Hyper Protect Crypto Services kann in IBM Cloud-Daten und -Speicherservices sowie VMware ® vSphere ® und VSAN integriert werden, um die Verschlüsselung ruhender Daten bereitzustellen. Das verwaltete Cloud-HSM unterstützt Branchenstandards wie Enterprise Public-Key Cryptography Standards (PKCS) #11. Ihre Anwendungen können Verschlüsselungsoperationen wie die digitale Signatur und die Validierung über Enterprise PKCS #11 (EP11-API) integrieren. Die EP11-Bibliothek stellt eine Schnittstelle bereit, die der standardisierten PKCS #11-Anwendungsprogrammierschnittstelle (API) ähnlich ist.

Hyper Protect Crypto Services nutzt Frameworks wie gRPC, um den fernen Anwendungszugriff zu aktivieren. gRPC ist ein modernes Open-Source-RPC-Framework (Remote Procedure Call) mit hoher Leistung, das Services in und zwischen Rechenzentren zwecks Lastausgleich, Traceerstellung, Statusprüfung und Authentifizierung verbinden kann. Anwendungen greifen auf Hyper Protect Crypto Services zu, indem sie die EP11-API per Fernzugriff über gRPC aufrufen.

Weitere Informationen finden Sie in den Hyper Protect Crypto Services-Anwendungsfällen.

Woher weiß ich, ob Hyper Protect Crypto Services für mein Unternehmen geeignet ist?

Wenn Sie Bedenken hinsichtlich Datensicherheit und Compliance in der Cloud haben, können Sie die vollständige Kontrolle über die Datenverschlüsselung und SignaturschlüsselAn encryption key that is used by the crypto unit administrator to sign commands that are issued to the crypto unit. in einem Cloud-nutzbaren HSM behalten. Das HSM wird durch branchenführende Sicherheitsfunktionen für Clouddaten und digitale Assets unterstützt. Durch die erforderliche Unterstützung in puncto Sicherheit und Einhaltung gesetzlicher Bestimmungen werden Ihre Daten verschlüsselt und privilegierter Zugriff gesteuert. Selbst IBM Cloud-Administratoren haben keinen Zugriff auf die Schlüssel.

Mit Hyper Protect Crypto Services können Sie die Einhaltung gesetzlicher Bestimmungen sicherstellen und die Datensicherheit erhöhen. Ihre Daten werden mit Verschlüsselungsschlüsseln in einem vollständig verwalteten, dedizierten Schlüsselmanagementsystem und einem Cloud-HSM-Service geschützt, der KYOK (Keep Your Own Key) unterstützt. Sie können Ihre eigenen Schlüssel für die Clouddatenverschlüsselung behalten, die von einem dedizierten Cloud-HSM geschützt wird. Wenn Sie Anwendungen mit vielen Bestimmungen oder mit sensiblen Daten ausführen, ist diese Lösung für Sie gut geeignet.

Die wichtigsten Merkmale sind:

• Vollständige Kontrolle über die gesamte Schlüsselhierarchie, einschließlich der Masterschlüssel.
• Manipulationssichere Hardwareeinheit für sensible Daten.
• Branchenführende Sicherheit für Clouddaten und digitale Assets.
• Geringeres Risiko einer Datenbedrohung aufgrund eines integrierten Schutzes vor Bedrohungen durch Sonderzugriff.
• Einhaltung gesetzlicher Bestimmungen durch Datenverschlüsselung und Kontrollmechanismen für Sonderzugriff.
• Keep Your Own Key (KYOK) ermöglicht Ihnen die vollständige Kontrolle über die gesamte Schlüsselhierarchie.

Funktionsweise von Hyper Protect Crypto Services

Beim Einsatz von Hyper Protect Crypto Services erstellen Sie eine Serviceinstanz mit mehreren Verschlüsselungseinheiten, die sich in unterschiedlichen Verfügbarkeitszonen in einer Region befinden. Die Serviceinstanz basiert auf Secure Service Container(SSC), die eine isolierte Containerlaufzeitumgebung gewährleistet und die Unternehmensebene für Sicherheit und Imprägnierung bereitstellt. Die verschiedenen Verschlüsselungseinheiten in einer Serviceinstanz werden automatisch synchronisiert und es wird ein verfügbarkeitszonenübergreifender Lastausgleich durchgeführt. Wenn auf eine Verfügbarkeitszone nicht zugegriffen werden kann, können die Verschlüsselungseinheiten in einer Serviceinstanz austauschbar verwendet werden.

Eine Verschlüsselungseinheit ist eine einzelne Einheit, die ein Hardwaresicherheitsmodul und den Software-Stack darstellt, der dem Hardwaresicherheitsmodul für die Verschlüsselung zugeordnet ist. Verschlüsselungsschlüssel werden in den Verschlüsselungseinheiten generiert und im dedizierten Keystore für die Verwaltung und Verwendung über REST-konforme Standard-APIs gespeichert. MitHyper Protect Crypto Services übernehmen Sie die Eigentümerschaft an den Verschlüsselungseinheiten, indem Sie den Masterschlüssel laden und über die CLI oder die Managementdienstprogramme eigene Administratoren zuweisen. Auf diese Weise verfügen Sie über die exklusive Kontrolle über Ihre Verschlüsselungsschlüssel.

Hyper Protect Crypto Services baut auf einem FIPS 140-2 Stufe 4-Hardwaresicherheitsmodul auf und unterstützt Enterprise PKCS #11 für Verschlüsselungsoperationen. Auf die Funktionen kann über gRPC-API-Aufrufe zugegriffen werden.

Welche Verschlüsselungskarte verwendet Hyper Protect Crypto Services?

Wenn Sie Ihre Instanz in -Regionen erstellen, die auf einer VPC-Infrastruktur (Virtual Private Cloud) basieren, verwendet Hyper Protect Crypto Services die IBM 4769 -Verschlüsselungskarte, die auch als Crypto Express 7S (CEX7S) bezeichnet wird. Wenn Sie Ihre Instanz in anderen Nicht-VPC-Regionen erstellen, verwendet Hyper Protect Crypto Services die IBM 4768-Verschlüsselungskarte, die auch als Crypto Express 6S (CEX6S) bezeichnet wird. Sowohl IBM CEX6S als auch IBM CEX7S sind gemäß FIPS 140-2 Level 4 zertifiziert, der höchsten Stufe der Zertifizierung, die für kommerzielle Verschlüsselungseinheiten verfügbar ist. Sie können die Zertifikate auf den folgenden Sites überprüfen:

• IBM 4769-001 Cryptographic Coprocessor Security Module
• IBM 4768 Cryptographic Coprocessor Security Module

In welchen IBM Regionen ist Hyper Protect Crypto Services verfügbar?

Derzeit ist Hyper Protect Crypto Services in Dallas und Frankfurt verfügbar. Eine aktuelle Liste der unterstützten Regionen finden Sie unter Regionen und Standorte.

Ich habe Workloads in einem Rechenzentrum, in dem Hyper Protect Crypto Services nicht verfügbar ist. Kann ich diesen Service trotzdem abonnieren?

Ja. Auf Hyper Protect Crypto Services kann weltweit über Fernzugriff zugegriffen werden, um Schlüsselmanagement und Cloud-HSM-Funktionen zu nutzen.