Protección de los datos con cifrado de sobre-Plan estándar

El cifrado de sobre es la práctica de cifrar datos con una clave de cifrado de datos(DEK)A cryptographic key used to encrypt data that is stored in an application. y, a continuación, envolver la DEK con una clave raízA symmetric wrapping key that is used for encrypting and decrypting other keys that are stored in a data service. que puede gestionar completamente. Las claves raíz de la instancia de servicio de Hyper Protect Crypto Services también están encapsuladas y protegidas por la clave maestraAn encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key.del módulo de seguridad de hardware (HSM).

Con el cifrado de sobre, Hyper Protect Crypto Services protege los datos en reposo con el cifrado avanzado y ofrece las ventajas siguientes:

Tabla 1. Describe las ventajas del cifrado gestionado por el cliente
Beneficio	Descripción
Claves de cifrado gestionadas por el cliente	Con el servicio, puede suministrar claves raíz para proteger la seguridad de los datos cifrados en la nube. Las claves raíz sirven como claves de envolvimiento de claves, que ayudan a gestionar y proteger las claves de cifrado de datos (DEK) suministradas en los servicios de datos de IBM Cloud. Decida si desea importar las claves raíz existentes o que Hyper Protect Crypto Services genere las claves raíz en su nombre.
Protección de integridad y confidencialidad	Hyper Protect Crypto Services utiliza el algoritmo AES (Advanced Encryption Standard) en modalidad CBC (Cipher Blocker Chaining) para crear y proteger claves. Cuando se crean claves en el servicio, Hyper Protect Crypto Services las genera en la instancia de Hyper Protect Crypto Services y la clave maestra cifra las claves para asegurarse de que solo usted tenga acceso.
Destrucción criptográfica de datos	Si su organización detecta un problema de seguridad o su aplicación ya no necesita un conjunto de datos, puede optar por destruir los datos permanentemente de la nube. Cuando se suprime una clave raíz que protege otras claves DEK, se asegura que no será posible acceder a los datos o descifrar los datos asociados a las claves.
Control de acceso de usuario delegado	Asignando roles de Cloud Identity and Access Management (IAM), Hyper Protect Crypto Services da soporte a un sistema de control de acceso centralizado para habilitar el acceso granular para las claves. Para obtener más información, consulte Cómo otorgar acceso a claves.

Claves en cifrado de sobre

Las claves siguientes se utilizan en el cifrado de sobre para el cifrado avanzado y la gestión de datos.

Claves maestras: Las claves maestras, también conocidas como claves maestras de HSM, son claves de cifrado que se utilizan para proteger las instancias de Hyper Protect Crypto Services. La clave maestra proporciona el control total del módulo de seguridad de hardware y la propiedad de la raíz de confianza que cifra toda la jerarquía de claves, incluidas las claves raíz y las claves estándar.
Claves raíz: Las claves raíz, también conocidas como claves raíz de cliente (CRK), son recursos primarios en Hyper Protect Crypto Services. Son claves para envolver claves simétricas que se utilizan como claves raíz de confianza para envolver (cifrando) y desenvolver (descifrando) otras claves almacenadas en un servicio de datos. Con Hyper Protect Crypto Services, puede crear, almacenar y gestionar el ciclo de vida de las claves raíz para obtener un control total de otras claves almacenadas en la nube.
Clave estándar: Claves estándar, que se pueden utilizar como claves de cifrado de datos (DEK) que se utilizan para almacenar datos cifrados. Las proporcionan aplicaciones propiedad de los usuarios y se utilizan para cifrar los datos almacenados en las aplicaciones. Las claves raíz que se gestionan en Hyper Protect Crypto Services sirven como claves de envolvimiento para proteger las DEK.

Después de crear una clave en Hyper Protect Crypto Services, el sistema devuelve un ID de clave que se utiliza para identificar de forma exclusiva el recurso de clave. Puede utilizar este valor de ID para realizar llamadas de API al servicio.

Cómo funciona

El cifrado de sobre combina la robustez de varios algoritmos de cifrado para proteger sus datos confidenciales en la nube. El mecanismo consiste en envolver una o varias claves de cifrado de datos (DEK) con un cifrado avanzado utilizando una clave raíz que puede gestionar de forma integral. Este proceso de envolvimiento crea DEK envueltas que protegen sus datos almacenamos de una exposición o acceso no autorizado. Cuando se desenvuelve una DEK se invierte el proceso de cifrado de sobre al utilizar la misma clave raíz, permitiendo obtener datos autenticados y sin cifrar.

Las claves raíz que se gestionan en una instancia de servicio de Hyper Protect Crypto Services también están cifradas por la clave maestra que garantiza el control total de toda la jerarquía de claves.

En el diagrama siguiente se muestra una vista contextual del cifrado de sobre.

El diagrama muestra una vista contextual del cifrado de sobre. — Figura 1. Vista contextual del cifrado de sobre

El cifrado de sobre se trata de forma breve en la NIST Special Publication 800-57, Recommendation for Key Management. Para obtener más información, consulte NIST SP 800-57 Pt. 1 Rev. 4

Envolvimiento de claves

Las claves raíz sirven para agrupar, gestionar y proteger claves de cifrado de datos (DEK) que se almacenan en la nube. Envuelva una o varias DEK con cifrado avanzado designando una clave raíz en Hyper Protect Crypto Services para que la pueda gestionar en su totalidad.

Después de designar una clave raíz en Hyper Protect Crypto Services, puede enviar una solicitud de envolvimiento de claves al servicio utilizando la API del servicio de gestión de clavesHyper Protect Crypto Services. La operación de envolvimiento proporciona al mismo tiempo protección de integridad y confidencialidad para una DEK.

En el diagrama siguiente se muestra el proceso de envolvimiento de claves en acción.

Derivación de datos — Figura 2. Envoltura de datos

Desenvolvimiento de claves

El desenvolvimiento de una clave de cifrado de datos (DEK) descifra y autentica el contenido dentro de la clave, devolviendo el material de clave original para su servicio de datos.

Si la aplicación empresarial necesita acceder al contenido de las DEK encapsuladas, puede utilizar la API de servicio de gestión de clavesHyper Protect Crypto Services para enviar una solicitud de desenvolver al servicio. Para desenvolver una DEK, se debe especificar el valor del ID de la clave raíz y el valor de ciphertext devuelto durante la solicitud inicial de envolvimiento.

En el diagrama siguiente se muestra el desenvolvimiento de claves en acción.

Desenvolvimiento de datos — Figura 3. Cómo desenvolver datos

Después de enviar la solicitud de desenvolvimiento, el sistema invierte el proceso de envolvimiento de la clave utilizando los mismos algoritmos AES. Una operación satisfactoria de desenvolvimiento devuelve el valor de plaintext codificado en base64 para sus datos de IBM Cloud al servicio REST.

Qué hacer a continuación

Hyper Protect Crypto Services da soporte a la integración con otros servicios. Con el cifrado de sobre, Hyper Protect Crypto Services proporciona protección avanzada a los datos almacenados en los servicios integrados.

Para ver la lista completa de los servicios soportados para la integración, consulte Integración de servicios.
Para obtener información sobre cómo crear una clave raíz para el cifrado de sobre, consulte Creación de claves raíz.
Para saber cómo conseguir sus propias claves de raíz para el cifrado de sobre, consulte Importación de claves raíz.