IBM Cloud Docs
Einführung in Ansätze zur Serviceinstanzinitialisierung- Unified Key Orchestrator Plan

Einführung in Ansätze zur Serviceinstanzinitialisierung- Unified Key Orchestrator Plan

Abhängig von Ihren Geschäfts- und Sicherheitsanforderungen stellt Hyper Protect Crypto Services Ihnen die folgenden drei Wege zur Initialisierung Ihrer Serviceinstanz zur Verfügung.

In der folgenden Tabelle werden die drei Ansätze miteinander verglichen:

Tabelle 1. Vergleich von drei Methoden zur Initialisierung von Serviceinstanzen
Ansätze Tool Masterschlüsselspeicher Masterschlüsselsicherung Masterschlüsselrotation
Smartcards und die Hyper Protect Crypto Services-Managementdienstprogramme verwenden Managementdienstprogramme Der Masterschlüssel besteht aus zwei oder drei Masterschlüsselteilen, die auf Smartcards gespeichert sind. Sie sind dafür verantwortlich, den Masterschlüssel mithilfe von Smartcards zu sichern. Sie müssen neue Masterschlüsselteile auf Ihrer Smartcard vorbereiten, damit Sie den Masterschlüssel für Ihre Serviceinstanz rotieren können.
Recovery-Verschlüsselungseinheiten verwenden IBM Cloud-CLI-Plug-in TKE Der Masterschlüssel wird automatisch generiert und in der Recovery-Verschlüsselungseinheit Ihrer Serviceinstanz gespeichert. Der Masterschlüssel wird automatisch in Recovery-Verschlüsselungseinheiten gesichert. Sie können Ihren Masterschlüssel aus den Sicherungen wiederherstellen, wenn der Masterschlüssel verloren gegangen ist oder gelöscht wurde. Sie müssen keinen neuen Masterschlüssel für die Rotation vorbereiten. Der neue Masterschlüssel wird automatisch in einer Recovery-Verschlüsselungseinheit generiert und anschließend an die operativen Verschlüsselungseinheiten und andere Recovery-Verschlüsselungseinheiten weitergegeben.
Schlüsselteildateien verwenden IBM Cloud-CLI-Plug-in TKE Der Masterschlüssel besteht aus zwei oder drei Masterschlüsselteilen, die in Ihren lokalen Workstationdateien gespeichert sind. Die lokalen Dateien dienen als Sicherung des Masterschlüssels. Sie müssen sicherstellen, dass die Dateien ordnungsgemäß gespeichert sind und dass nur der Verwalter des Masterschlüssels das Kennwort kennt. Sie müssen neue Masterschlüsselteile auf Ihrer lokalen Workstation vorbereiten, bevor Sie den Masterschlüssel für Ihre Serviceinstanz rotieren können.

Wenn Smartcards zum Laden des Masterschlüssels verwendet werden, sind die Wiederherstellungsverschlüsselungseinheiten nicht anwendbar und können ignoriert werden. Die Sicherung des Masterschlüssels basiert in diesem Fall auf der Sicherung der Smart Cards.

Serviceinstanzen mithilfe von Smartcards und Managementdienstprogrammen initialisieren

Für die höchste Sicherheitsstufe können Sie Smartcards zusammen mit den Hyper Protect Crypto Services-Managementdienstprogrammen verwenden, um die Serviceinstanz zu initialisieren.Dieser Ansatz verwendet Smartcards, um Signaturschlüssel und Masterschlüsselteile zu speichern.Signaturschlüssel und Masterschlüsselteile werden außerhalb der Smartcard niemals in unverschlüsselter Form angezeigt.

Informationen zu Managementdienstprogrammen

Die Managementdienstprogramme setzen sich aus zwei Anwendungen zusammen, die Smartcards verwenden, um Serviceinstanzen zu konfigurieren: das Smartcard-Dienstprogramm und die TKE-Anwendung (TKE = Trusted Key Entry). Wenn Sie die Managementdienstprogramme verwenden möchten, müssen Sie von IBM unterstützte Smartcards und Smartcard-Lesegeräte bestellen und die Anweisungen im Anschnitt Serviceinstanzen mithilfe von Smartcards und Managementdienstprogrammen initialisieren befolgen.

Im folgenden Diagramm wird die Beziehung zwischen verschiedenen Komponenten bei Verwendung der Managementdienstprogramme für die Initialisierung einer Serviceinstanz dargestellt.

Architektur der Verwendung von Smartcards und Managementdienstprogrammen
Abbildung 1. Verwenden von Smartcards und Managementdienstprogrammen zum Initialisieren von Serviceinstanzen

  • Das Smartcard-Dienstprogramm

    Eine der beiden Anwendungen, die als Teil der Managementdienstprogramme installiert werden.Es dient zum Einrichten und Verwalten der Smartcards, die von der Trusted Key Entry-Anwendung genutzt werden.

  • Die Anwendung "Trusted Key Entry"

    Eine der beiden Anwendungen, die als Teil der Managementdienstprogramme installiert werden.Sie verwendet Smartcards, um Masterschlüssel in Serviceinstanzen zu laden und weitere Konfigurationstasks für Serviceinstanzen auszuführen.

Informationen zu Smartcards

Eine Smartcard ähnelt optisch einer Kreditkarte mit einem integrierten Chip.Der Chip kann eine begrenzte Anzahl von Verschlüsselungsoperationen ausführen und wird mit einer angepassten Software geladen.In den Managementdienstprogrammen lädt das Smartcard-Dienstprogramm angepasste Software auf die Smartcard, um zwei Typen von Smartcards zu erstellen:

  • Smartcards für Zertifizierungsstelle

    Die Smartcards der Zertifizierungsstelle richten eine Reihe von Smartcards ein, die zusammenarbeiten können. Dies wird als Smartcard-Zone bezeichnet.

  • EP11-Smartcards

    Enterprise PKCS #11-Smartcards (EP11-Smartcards) enthalten einen Administratorsignaturschlüssel und bis zu 85 Masterschlüsselteile.Die angepasste Software auf einer EP11-Smartcard umfasst Funktionen zum Signieren eines Befehls mithilfe eines privaten Signaturschlüssels, der auf der Smartcard gespeichert ist, und zum Verschlüsseln eines Masterschlüsselteils für die Zustellung an eine Verschlüsselungseinheit.

Die Smartcards werden durch eine PIN (persönliche Identifikationsnummer) geschützt, die auf dem PIN-Pad eines Smartcard-Lesers eingegeben werden muss, bevor die Smartcard bestimmte Operationen ausführen kann. Die EP11-Smartcard verfügt über eine einzige PIN.Die Smartcard für die Zertifizierungsstelle verfügt über zwei PINs und beide müssen eingegeben werden, um Operationen zu aktivieren.

Wenn Sie Smartcards verwenden, sollten Sie die folgenden Empfehlungen berücksichtigen:

  • Erstellen Sie jedes Masterschlüsselteil auf einer separaten EP11-Smartcard und ordnen Sie jeden Masterschlüsselteil einer anderen Person zu. Erstellen Sie Sicherungskopien aller Smartcards und bewahren Sie sie an einem sicheren Ort auf.

  • Bestellen Sie 10 oder 12 Smartcards und konfigurieren Sie sie folgendermaßen:

    • Erstellen Sie eine Smartcard für die Zertifizierungsstelle und eine Sicherungskopie der Smartcard für die Zertifizierungsstelle.

      Die Sicherungskopie einer Smartcard für die Zertifizierungsstelle kann mithilfe des Smartcard-Dienstprogramms erstellt werden.Wählen Sie im Menü Smartcard für Zertifizierungsstelle > Smartcard für Zertifizierungsstelle sichern aus und folgen Sie dann den Eingabeaufforderungen.

    • Erstellen Sie vier EP11-Smartcards zum Speichern von Administratorsignaturschlüsseln. Generieren Sie Administratorsignaturschlüssel separat auf zwei EP11-Smartcards und kopieren Sie sie auf andere zwei Backup-Smartcards.

      Der Inhalt einer EP11-Smartcard kann in eine andere EP11-Smartcard kopiert werden, die mit der Trusted Key Entry-Anwendung in derselben Smartcard-Zone erstellt wurde.Klicken Sie auf der Registerkarte Smartcard auf Smartcard kopieren und folgen Sie dann den Eingabeaufforderungen.

    • Erstellen Sie vier oder sechs EP11-Smartcards zum Speichern von Masterschlüsselteilen. Generieren Sie EP11-Masterschlüsselteile separat auf zwei oder drei Smartcards, je nach Anzahl der Schlüsselteile, wenn Sie Ihren Masterschlüssel laden. Kopieren Sie jeden Schlüsselteilwert auf eine Sicherungskopie der jeweiligen EP11-Smartcard.

    Informationen zur Berechnung der Anzahl der benötigten Smartcards finden Sie unter FAQ: Gibt es Empfehlungen zur Einrichtung von Smartcards?.

  • Für eine höhere Sicherheit können Sie Administratorsignaturschlüssel auf mehr EP11-Smartcards generieren und die Signaturschwellenwerte in Ihren Verschlüsselungseinheiten auf einen Wert größer als 1 setzen. Sie können bis zu acht Administratoren in Ihren Verschlüsselungseinheiten installieren und bis zu acht Signaturen angeben, die für einige Verwaltungsbefehle erforderlich gemacht werden.

Informationen zu Smartcard-Lesern

Ein Smartcard-Lesegerät ist eine Einheit, die an eine Workstation angeschlossen wird und es der Workstation ermöglicht, mit einer Smartcard zu kommunizieren.Um auf eine Smartcard zugreifen zu können, muss die Smartcard in das Smartcard-Lesegerät eingelegt werden.Die meisten Smartcard-Operationen erfordern die Eingabe der Smartcard-PIN auf dem PIN-Pad des Smartcard-Lesegeräts.

Der Treiber des Smartcard-Lesegeräts muss auf der Workstation installiert werden, bevor das Smartcard-Lesegerät verwendet werden kann.Weitere Informationen hierzu finden Sie im Abschnitt zum Installieren des Treibers für den Smartcard-Leser.

Die TKE-Anwendung verwendet Smartcard-Leser 1 für eine Smartcard mit einem Signaturschlüssel und Smartcard-Leser 2 für Smartcards, die Masterschlüsselteile enthalten.

Nachdem eine Smartcard mit einem gültigen Signaturschlüssel in das Smartcard-Lesegerät 1 eingelegt und die PIN eingegeben wurde, kann die Smartcard zum Signieren mehrerer Befehle verwendet werden, ohne dass dazu die PIN erneut eingegeben werden muss.Wenn die Smartcard aus dem Smartcard-Lesegerät entfernt und erneut eingelegt wird, muss die PIN auf dem PIN-Pad des Smartcard-Lesegeräts erneut eingegeben werden, bevor weitere Befehle signiert werden können.

Serviceinstanzen mithilfe von Wiederherstellungsverschlüsselungseinheiten initialisieren

Wenn mindestens eine Recovery-Verschlüsselungseinheit für Ihre Serviceinstanz zugeordnet ist, können Sie dieses Verfahren auswählen, um Ihre Serviceinstanz zu initialisieren. In diesem Fall wird in einer Recovery-Verschlüsselungseinheit automatisch ein Masterschlüsselwert nach einem Zufallsverfahren generiert und in die anderen Verschlüsselungseinheiten für die Serviceinstanz kopiert. Der Masterschlüsselwert liegt außerhalb des HSMs nicht unverschlüsselt vor. Dieser Ansatz ist im Vergleich zu den beiden anderen Optionen rationeller und einfacher in der Handhabung.

Derzeit unterstützen Serviceinstanzen in der eu-es-Region keine Wiederherstellungsverschlüsselungseinheiten. Weitere Informationen zu unterstützten Regionen finden Sie unter Regionen und Standorte.

Das folgende Diagramm zeigt die Komponenten einer Beispielserviceinstanz mit zwei Recovery-Verschlüsselungseinheiten:

Die Architektur der Verwendung von Wiederherstellungsverschlüsselungseinheiten zum Initialisieren von Serviceinstanzen
Abbildung 2. Serviceinstanzen mithilfe von Recovery-Verschlüsselungseinheiten initialisieren

In den folgenden Abschnitten werden die einzelnen Komponenten ausführlich erläutert.

Erläuterungen zum IBM Cloud-CLI-Plug-in TKE

Das CLI-Plug-in TKE ist eine Ergänzung zur IBM Cloud-Befehlszeilenschnittstelle (Command-Line Interface, CLI). Mit dem CLI-Plug-in TKE können Sie Befehle an die Verschlüsselungseinheiten in Ihrer Serviceinstanz senden, um den Masterschlüssel zu laden. Das CLI-Plug-in TKE unterstützt zwei Verfahren zum Laden des Masterschlüssels.

Wenn Ihre Serviceinstanz Recovery-Verschlüsselungseinheiten enthält, können Sie den Masterschlüssel laden, indem Sie den Befehl ibmcloud tke auto-init ausführen. Dieser Befehl führt Sie schrittweise durch das Hinzufügen von Administratoren und das Festlegen der Signaturschwellenwerte. Anschließend wird ein Schlüsselwert nach einem Zufallsverfahren in einer der Recovery-Verschlüsselungseinheiten in Ihrer Serviceinstanz generiert und der Wert in die anderen Verschlüsselungseinheiten kopiert. Weitere Informationen zu diesem Ansatz finden Sie unter Serviceinstanzen mithilfe von Wiederherstellungsverschlüsselungseinheiten initialisieren.

Sie können auch das CLI-Plug-in TKE verwenden, um den Masterschlüssel mithilfe von Schlüsselteilen zu laden, die in Schlüsselteildateien gespeichert sind. Dieses Verfahren kann unabhängig davon angewendet werden, ob Ihre Serviceinstanz alle Recovery-Verschlüsselungseinheiten enthält. Mit diesem Ansatz führen Sie eine Reihe von Befehlen aus, um Signaturschlüssel und Masterschlüsselteile zu generieren, Administratoren hinzuzufügen, die Signaturschwellenwerte festzulegen und die Masterschlüsselregister zu laden. Weitere Informationen finden Sie unter Serviceinstanzen mithilfe von Schlüsselteildateien initialisieren.

Ihnen muss die entsprechende Rolle für die Ausführung von CLI-Plug-in-Operationen TKE zugewiesen sein. Weitere Informationen zu den verfügbaren Servicezugriffsrollen finden Sie im Abschnitt zu Servicezugriffsrollen.

Eine vollständige Liste der im CLI-Plug-in TKE verfügbaren Befehle finden Sie in der Referenz zum IBM Cloud-CLI-Plug-in Trusted Key Entry .

Erläuterungen zu operativen Verschlüsselungseinheiten

Operative Verschlüsselungseinheiten werden verwendet, um Verschlüsselungsschlüssel zu verwalten und Verschlüsselungsoperationen auszuführen. Die operativen Verschlüsselungseinheiten sind die Verschlüsselungseinheiten, an die Sie API-Anforderungen senden. Wenn Sie eine Serviceinstanz erstellen, ist die Anzahl der von Ihnen angegebenen Verschlüsselungseinheiten gleich der Anzahl der operativen Verschlüsselungseinheiten. Operative Verschlüsselungseinheiten befinden sich in verschiedenen Verfügbarkeitszonen derselben Region, in der sich Ihre Instanz befindet.

Erläuterungen zu Recovery-Verschlüsselungseinheiten

Zwei Recovery-Einheiten werden Ihrer Serviceinstanz automatisch ohne zusätzliche Kosten zugeordnet. Eine Recovery-Einheit wird in derselben Region wie die operative Verschlüsselungseinheit zugeordnet und die andere wird in einer Sicherungsregion zugeordnet. Wenn Sie den Befehl ibmcloud tke auto-init oder ibmcloud tke auto-mk-rotate ausführen, wird ein Masterschlüsselwert nach einem Zufallsprinzip in einer der Recovery-Verschlüsselungseinheiten generiert und anschließend sicher in die anderen Verschlüsselungseinheiten (einschließlich der Failover-Verschlüsselungseinheiten, falls vorhanden) für die Serviceinstanz exportiert.

Der einzige Zweck der Recovery-Verschlüsselungseinheiten besteht darin, eine Sicherungskopie des Masterschlüsselwerts zu speichern. Die Recovery-Verschlüsselungseinheiten werden bei der Ausführung von operativen Workloads nicht verwendet. Wenn der aktuelle Masterschlüsselwert verloren geht oder zerstört wird, können Sie den Masterschlüsselwert von einer der Recovery-Verschlüsselungseinheiten mithilfe des Befehls ibmcloud tke auto-mk-recover wiederherstellen. Mit diesem Befehl wird der Wert im aktuellen Masterschlüsselregister einer Recovery-Verschlüsselungseinheit in das Register für aktuelle Masterschlüssel anderer Verschlüsselungseinheiten kopiert.

Derzeit unterstützen Serviceinstanzen in der eu-es-Region keine Wiederherstellungsverschlüsselungseinheiten. Dies bedeutet, dass Sie standardmäßig mit der Option zum Sichern Ihrer Masterschlüssel in den Wiederherstellungsverschlüsselungseinheiten, die sich in der Disaster-Recovery-Region befinden, aktiviert sind, wenn eine Serviceinstanz in einer anderen unterstützten Region bereitgestellt wird. Weitere Informationen zu unterstützten Regionen finden Sie unter Regionen und Standorte.

Ausführliche Anweisungen zur Wiederherstellung des Masterschlüssels finden Sie im Abschnitt zum Wiederherstellen des Masterschlüssels von einer Recovery-Verschlüsselungseinheit.

Serviceinstanzen mithilfe von Schlüsselteildateien initialisieren

Sie können Ihre Serviceinstanz auch initialisieren, indem Sie Masterschlüsselteile verwenden, die Sie in Dateien auf Ihrer lokalen Workstation erstellen und speichern.Sie können dieses Verfahren nutzen, unabhängig davon, ob Ihre Serviceinstanz die Recovery-Verschlüsselungseinheiten beinhaltet.In diesem Fall dienen die Workstation-Schlüsseldateien als Sicherungskopie Ihres Masterschlüsselwerts. Um die Initialisierung bei dieser Vorgehensweise durchzuführen, müssen Sie auch das IBM Cloud-CLI-Plug-in TKE verwenden.

Erläuterungen zu Masterschlüsselteilen

Bei diesem Ansatz setzt sich der Masterschlüssel aus mehreren Masterschlüsselteilen zusammen, für deren Erstellung Sie das CLI-Plug-in TKE verwenden müssen. Aus Sicherheitsgründen kann jeder Schlüsselteil einer anderen Person zugeordnet sein, die als Masterschlüsselverwalter bezeichnet wird.Schlüsselteile werden in Workstationdateien gespeichert und durch ein Kennwort geschützt. Der Masterschlüsselverwalter muss sicherstellen, dass die Schlüsseldateien ordnungsgemäß gespeichert werden und niemand sonst das Kennwort kennt.

Das CLI-Plug-in TKE stellt eine Reihe von Befehlen zur Verfügung, mit denen die Initialisierung ausgeführt werden kann. Dazu gehören das Erstellen von Signaturschlüsseln und Masterschlüsselteilen, das Hinzufügen von Administratoren und das Laden des Masterschlüssels. Detaillierte Schritte finden Sie im Abschnitt Serviceinstanzen mithilfe von Schlüsselteildateien initialisieren.

Nächste Schritte

Wenn Sie Ihre Sicherheitsrichtlinie zum Speichern Ihrer Signaturschlüssel und Masterschlüsselteile planen, berücksichtigen Sie die Sicherheitsaspekte für die Initialisierung einer Serviceinstanz.