Preguntas más frecuentes generales
Lea para obtener respuestas a las preguntas generales sobre IBM Cloud® Hyper Protect Crypto Services.
¿Qué es IBM Cloud Hyper Protect Crypto Services?
IBM Cloud Hyper Protect Crypto Services es un servicio de gestión de claves dedicado y un servicio de nube Módulo de seguridad de hardware(HSM)A physical appliance that provides on-demand encryption, key management, and key storage as a managed service. que proporciona las características siguientes:
- Keep Your Own Key (KYOK) con HSM certificado por FIPS 140-2 nivel 4 que garantiza el control completo de toda la jerarquía de claves en la que ningún administrador de IBM Cloud tiene acceso a las claves.
- Sistema de gestión de claves de un único arrendatario para crear, importar, rotar y gestionar claves con la API estandarizada.
- Cifrado de datos en reposo con claves propiedad del cliente con integración sin fisuras con otros servicios de almacenamiento y datos de IBM Cloud.
- Biblioteca de PKCS #11 y la biblioteca de Enterprise PKCS #11 (EP11) para operaciones criptográficas, que está habilitada por los HSM de Hyper Protect Crypto Services con el nivel de seguridad más alto en la nube.
¿Qué es Unified Key Orchestrator?
Unified Key Orchestrator proporciona el único punto de control único nativo en la nube de claves de cifrado en entornos de multinube híbridos de la empresa.
- Unified Key Orchestrator le permite mantener su propia clave y aportar sus propias funcionalidades clave de todos los entornos multicloud híbridos que incluyen entornos locales.
- Unified Key Orchestrator gestiona y organiza todas las claves de los entornos de multinube en IBM Cloud.
¿Qué es un servicio de gestión de claves?
Hyper Protect Crypto Services proporciona un servicio de gestión de claves de un único arrendatario para crear, importar, rotar y gestionar claves. Una vez suprimidas las claves de cifrado, puede estar seguro de que los datos protegidos por estas claves ya no son recuperables. El servicio se basa en el HSM certificado por FIPS 140-2 Nivel 4, que ofrece el nivel más alto de protección del sector de la nube. Hyper Protect Crypto Services proporciona la misma API servicio de gestión de claves que IBM Key Protect for IBM Cloud para crear sus aplicaciones o aprovechar los datos y los servicios de infraestructura de IBM Cloud.
¿Qué es el módulo de seguridad de hardware?
Un HSM (Hardware Security Module) proporciona operaciones criptográficas y de almacenamiento de claves seguras en un dispositivo de hardware resistente a la manipulación indebida para datos confidenciales. Los HSM utilizan el material clave sin exponerlo fuera del límite criptográfico del hardware.
¿Qué es un HSM de nube?
Un HSM de nube es un módulo de seguridad de hardware basado en la nube para gestionar sus propias claves de cifrado y realizar operaciones criptográficas en IBM Cloud. Hyper Protect Crypto Services se basa en el HSM certificado por FIPS 140-2 Nivel 4, que ofrece el nivel más alto de protección del sector de la nube. Con el soporte de Mantener su propia clave (KYOK), los clientes pueden configurar la clave maestraAn encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key. y tomar la propiedad del HSM de nube. Los clientes tienen el control y la autoridad completos sobre toda la jerarquía de claves, donde ningún administrador de IBM Cloud tiene acceso a las claves.
¿Cómo proporciona Hyper Protect Crypto Services un servicio en la nube de un solo arrendatario?
Hyper Protect Crypto Services es un servicio de nube de un solo arrendatario porque cada cliente tiene una pila de software dedicada y un dominio de HSM dedicado para cada unidad criptográfica. Como cliente, tiene la seguridad de que está interactuando con una pila de servicios dedicada que únicamente procesa sus datos. Para obtener más información sobre la arquitectura de lservicio, consulte Cómo funcionan Hyper Protect Crypto Services.
¿Cuáles son las responsabilidades de los usuarios y de IBM Cloud para Hyper Protect Crypto Services?
Hyper Protect Crypto Services es una plataforma como servicio en IBM Cloud. IBM Cloud es responsable de la gestión de servidores, red, almacenamiento, virtualización, middleware y tiempo de ejecución, lo que garantiza un buen rendimiento y una alta disponibilidad. Los clientes son responsables de la gestión de datos y aplicaciones, específicamente de claves de cifrado que se almacenan en Hyper Protect Crypto Services y de aplicaciones de usuario que utilizan claves o funciones criptográficas para operaciones criptográficas.
¿En qué se diferencia este servicio del HSM de IBM Cloud?
IBM tiene un servicio de HSM IBM Cloud de IaaS, que es distinto del Hyper Protect Crypto Services. El HSM de IBM Cloud es compatible con FIPS 140-2 Nivel 3. Hyper Protect Crypto Services proporciona un servicio de HSM gestionado en el que no se necesitan conocimientos especiales para gestionar el HSM que no sea la carga de las claves. Hyper Protect Crypto Services es el único servicio en la nube que proporciona los HSM que se basan en el hardware certificado para FIPS 140-2 Nivel 4 y que permiten a los usuarios tener el control sobre la clave maestra.
¿En qué se diferencia Hyper Protect Crypto Services de Key Protect?
IBM Key Protect for IBM Cloud es un servicio de gestión de claves multiarrendatario compartido que da soporte a la funcionalidad Bring Your Own Key (BYOK). El servicio se basa en los HSM certificados de nivel 3 de FIPS 140-2, gestionados por IBM.
Hyper Protect Crypto Services es un servicio de gestión de claves de un único arrendatario y un HSM de nube para que gestione por completo sus claves de cifrado y realice operaciones criptográficas. Este servicio se basa en los HSM con certificación FIPS 140-2 Nivel 4 y da soporte a la función Keep Your Own Key (KYOK). Puede adoptar la propiedad para garantizar el control total de toda la jerarquía de claves sin acceso ni siquiera por parte de los administradores de IBM Cloud. Hyper Protect Crypto Services también da soporte a estándares del sector como, por ejemplo, los estándares de criptografía de clave pública #11 (PKCS #11) para operaciones criptográficas como la firma digital y la descarga de SSL (Secure Sockets Layer).
¿En qué se diferencia Keep Your Own Key de Bring Your Own Key?
Bring Your Own Key (BYOK) es una forma de utilizar sus propias claves para cifrar datos. Los servicios de gestión de claves que proporciona BYOK suelen ser servicios de multiarrendatarios. Con estos servicios, puede importar las claves de cifrado desde los módulos de seguridad de hardware locales (HSM) y, a continuación, gestionar las claves.
Con Keep Your Own Key (KYOK), IBM ofrece un nivel de control líder en el sector que puede usted ejercer en sus propias claves de cifrado. Además de las funciones de BYOK, KYOK proporciona una garantía técnica de que IBM no puede acceder a las claves de cliente. Con KYOK, tiene el control exclusivo de toda la jerarquía de claves, lo que incluye la clave maestra.
En la tabla siguiente se detallan las diferencias entre KYOK y BYOK.
Capacidades de gestión de claves en la nube | BYOK | KYOK |
---|---|---|
Gestión del ciclo de vida de claves de cifrado | Sí | Sí |
Integración con otros servicios en la nube | Sí | Sí |
Cómo aportar sus propias claves desde los HSM locales | Sí | Sí |
Seguridad operativa - Los proveedores de servicios de nube no pueden acceder a las claves. | Sí | Sí |
Garantía técnica - IBM no puede acceder a las claves. | No | Sí |
Arrendatario único, servicio de gestión de claves dedicado. | No | Sí |
Control exclusivo de su clave maestra. | No | Sí |
Seguridad de nivel superior - FIPS 140-2 Nivel 4 HSM. | No | Sí |
Gestione su clave maestra con tarjetas inteligentes. | No | Sí |
Realizando la ceremonia clave. | No | Sí |
¿Qué puedo hacer con IBM Cloud Hyper Protect Crypto Services?
IBM Cloud Hyper Protect Crypto Services se puede utilizar para el servicio de gestión de claves y las operaciones criptográficas.
Hyper Protect Crypto Services puede integrarse con los servicios de almacenamiento y datos de IBM Cloud, así como con VMware® vSphere® y VSAN, para proporcionar el cifrado de datos en reposo. El módulo de seguridad de hardware (HSM) de nube gestionado es compatible con Enterprise Public-Key Cryptography Standards (PKCS) #11. Las aplicaciones pueden integrar operaciones criptográficas, tales como la firma digital y la validación mediante Enterprise PKCS #11 (API EP11). La biblioteca de EP11 proporciona una interfaz similar a la interfaz de programación de aplicaciones (API) PKCS #11 estándar del sector.
Hyper Protect Crypto Services se aprovecha de las infraestructuras como gRPC para habilitar el acceso a aplicaciones remotas. gRPC es una infraestructura moderna de llamada a procedimiento remoto (RPC) de alto rendimiento de código abierto que puede conectar servicios en y entre centros de datos para el equilibrio de carga, rastreo, comprobación de estado y autenticación. Las aplicaciones acceden a Hyper Protect Crypto Services llamando a la API de EP11 de forma remota a través de gRPC.
Para obtener más información, consulte Casos de uso de Hyper Protect Crypto Services.
¿Cómo sé si Hyper Protect Crypto Services es adecuado para mi empresa?
Si le preocupa la seguridad de los datos y la conformidad en la nube, puede mantener un control completo sobre el cifrado de datos y las claves de firmaAn encryption key that is used by the crypto unit administrator to sign commands that are issued to the crypto unit. en un HSM consumible en la nube. El HSM está respaldado por una seguridad para datos de nube y activos digitales líder del sector. Con el soporte de seguridad y cumplimiento de las normativas, se cifran sus datos y se controla el acceso privilegiado. Incluso los administradores de IBM Cloud no tienen acceso a las claves.
Con Hyper Protect Crypto Services puede garantizar el cumplimiento de la normativa y reforzar la seguridad de datos. Los datos están protegidos con claves de cifrado en un sistema de gestión de claves dedicado y totalmente gestionado así como el servicio HSM de nube que admite la función Keep Your Own Key. Mantenga protegidas sus claves de cifrado de datos mediante un HSM de nube. Si está ejecutando aplicaciones con muchas normativas o aplicaciones con datos confidenciales, esta solución puede serle de utilidad.
Las características principales son las siguientes:
- Control completo de la jerarquía de claves completa, incluidas las claves maestras.
- Dispositivo de hardware a prueba de manipulaciones para los datos confidenciales.
- Seguridad para datos de nube y activos digitales líder del sector.
- Se reduce el riesgo de que los datos resulten comprometidos incluyendo la protección ante amenazas de acceso privilegiado.
- Cumplimiento de la normativa mediante el cifrado de datos y los controles del acceso privilegiado.
- KYOK (Keep Your Own Key) que le garantiza un control completo de la jerarquía de claves.
¿Cómo funciona Hyper Protect Crypto Services?
Cuando se utiliza Hyper Protect Crypto Services, se crea una instancia de servicio con varias unidades criptográficas que residen en distintas zonas de disponibilidad en una región. La instancia de servicio se basa en Secure Service Container(SSC), que garantiza un entorno de ejecución de contenedor aislado y proporciona el nivel empresarial de seguridad e inexpugnabilidad. Las múltiples unidades criptográficas de una instancia de servicio se sincronizan automáticamente y se equilibran en varias zonas de disponibilidad. Si no es posible acceder a una zona de disponibilidad, se pueden utilizar indistintamente las unidades criptográficas de una instancia de servicio.
Una unidad criptográfica es una unidad individual que representa un módulo de seguridad de hardware y la pila de software correspondiente dedicada al módulo de seguridad de hardware para la criptografía. Las claves de cifrado se generan en las unidades criptográficas y se almacenan en el almacén de claves dedicado para que las gestione y utilice mediante la API RESTful estándar. Con Hyper Protect Crypto Services, puede asumir la propiedad de las unidades criptográficas cargando la clave maestra y asignando sus propios administradores a través de la CLI o de las aplicaciones de programas de utilidad de gestión. De esta forma tiene un control exclusivo sobre las claves de cifrado.
Hyper Protect Crypto Services se basa en HSM de FIPS 140-2 nivel 4 y da soporte a Enterprise PKCS #11 para operaciones criptográficas. Se puede acceder a las funciones a través de llamadas de API de gRPC.
¿Qué tarjeta criptográfica utiliza Hyper Protect Crypto Services?
Si crea la instancia en regiones que se basan en la infraestructura de Virtual Private Cloud (VPC), Hyper Protect Crypto Services utiliza la tarjeta criptográficaIBM 4769, también conocida como Crypto Express 7S (CEX7S). Si crea la instancia en otras regiones que no son de VPC, Hyper Protect Crypto Services utiliza la tarjeta criptográficaIBM 4768, también denominada Crypto Express 6S (CEX6S). IBM CEX6S e IBM CEX7S tienen certificación FIPS 140-2 de Nivel 4, el nivel más alto de certificación que pueden conseguir los dispositivos criptográficos comerciales. Puede comprobar los certificados en los siguientes sitios:
¿En qué regiones de IBM está disponible Hyper Protect Crypto Services?
Actualmente, Hyper Protect Crypto Services está disponible en Dallas y Frankfurt. Para obtener una lista actualizada de las regiones soportadas, consulte Regiones y ubicaciones.
Tengo cargas de trabajo en un centro de datos donde Hyper Protect Crypto Services no está disponible. ¿Todavía me puedo suscribir a este servicio?
Sí. Se puede acceder a Hyper Protect Crypto Services de forma remota en todo el mundo para la gestión de claves y las funciones del HSM de nube.