Cómo empezar con IBM Cloud Hyper Protect Crypto Services

IBM Cloud® Hyper Protect Crypto Services (Hyper Protect Crypto Services para abreviar) es un servicio de gestión de claves dedicado y un módulo de seguridad de hardware (HSM) basado en IBM Cloud. Con este servicio, puede tomar la propiedad del HSM de nube para gestionar por completo las claves de cifrado y realizar operaciones criptográficas. Hyper Protect Crypto Services también es el único servicio en el sector de la nube que se basa en el hardware certificado por FIPS 140-2 Nivel 4. La función Unified Key Orchestrator proporciona el único punto de control único nativo en la nube de claves de cifrado en entornos de multinube híbridos de la empresa.

Esta guía de aprendizaje muestra los pasos de alto nivel sobre cómo configurar la instancia de servicio cargando las claves maestras, crear y gestionar claves de cifrado con la interfaz de usuario y realizar operaciones criptográficas con la API PKCS #11 o con la API GREP11.

Paso 1: Inicializar la instancia de servicio
Paso 2(solo plan estándar): Crear claves
Paso 2(Solo planUnified Key Orchestrator): Gestionar las claves de cifrado
Paso 3: cifrar los datos con el HSM de nube

Antes de empezar

Para utilizar Hyper Protect Crypto Services, asegúrese de que cumple los siguientes requisitos previos:

Tiene una cuenta deIBM Cloud de pago según uso o suscripciónde pago según uso.

Puede utilizar el código promocional HPCRYPTO30 para obtener dos unidades criptográficas de forma gratuita durante 30 días.
Ha suministrado una instancia de servicio con uno de los planes siguientes:
- Un plan estándar con la función Keep Your Own Key (mantener su propia clave)
- Un plan ampliado con Keep Your Own Key y Unified Key Orchestrator

Paso 1: Inicializar la instancia de servicio

En función de dónde se localice la instancia de servicio y de los requisitos de seguridad, Hyper Protect Crypto Services le proporciona las tres opciones siguientes para inicializar la instancia de servicio:

Opción 1: Inicialización de instancias de servicio utilizando tarjetas inteligentes y los programas de utilidad de gestión

Esta opción le proporciona la máxima seguridad, lo que le permite almacenar y gestionar componentes de clave maestra utilizando tarjetas inteligentes.
Opción 2: Inicialización de instancias de servicio utilizando unidades criptográficas de recuperación

Puede elegir esta opción si crea la instancia de servicio en regiones donde están habilitadas las unidades criptográficas de recuperación. Con esta opción, la clave maestra se genera aleatoriamente dentro de una unidad criptográfica de recuperación y, a continuación, se exporta automáticamente a otras unidades criptográficas. Puede gestionar la clave maestra y completar la inicialización de la instancia con un esfuerzo mínimo.
Opción 3: Inicialización de instancias de servicio utilizando archivos de partes clave

También puede inicializar la instancia de servicio utilizando partes de claves maestras que se almacenan en archivos en su estación de trabajo local.Puede utilizar este enfoque independientemente de si su instancia de servicio incluye unidades criptográficas de recuperación.

Paso 2 (solo plan estándar): Crear claves

Con el plan estándar, puede crear claves raíz o claves estándar para el cifrado de datos. Siga estos pasos para crear su primera clave criptográfica. Para completar estos pasos, asegúrese de que es el propietario de la cuenta de IBM Cloud o tiene asignado el rol de escritor. Para obtener detalles, consulte Asignación de acceso a Hyper Protect Crypto Services en la interfaz de usuario.

En la interfaz de usuario, pulse Claves KMS > Añadir clave.
Seleccione Crear una clave.
Especifique Clave raíz o Clave estándar como tipo de clave y especifique un nombre exclusivo para la clave. Asegúrese de que el nombre de clave no contiene información de identificación personal (PII), como su nombre o ubicación.
Pulse Añadir clave para confirmar.

La clave creada es una clave simétrica de 256 bits, soportada por el algoritmo AES-CBC. Puede inspeccionar las características generales de las claves en la tabla Claves de servicio de gestión de claves. También puede traer sus propias claves importando los materiales de claves base64-encoded.

Paso 2 (Solo para el planUnified Key Orchestrator ): Gestionar las claves de cifrado

Siga estos pasos para gestionar las claves de cifrado si utiliza Hyper Protect Crypto Services con Unified Key Orchestrator. Para completar estos pasos, asegúrese de que es el propietario de la cuenta IBM Cloud o tiene asignado el rol Administrador de caja fuerte. Para obtener detalles, consulte Asignación de acceso a Hyper Protect Crypto Services en la interfaz de usuario.

1. Crear cajas fuertes

Una caja fuerte es un único repositorio que controla el acceso de un usuario o un grupo de acceso a las claves y almacenes de claves gestionados a través de Cloud Identity and Access Management (IAM).

Complete los pasos siguientes para crear la primera caja fuerte:

Desde la interfaz de usuario de la instancia de servicio, pulse Cajas fuertes desde la navegación para ver todas las cajas fuertes disponibles.
Pulse Crear caja fuerte.
Especifique un nombre en Nombre de caja fuerte. El nombre de la caja fuerte puede tener de 1 a 100 caracteres. Opcionalmente, puede añadir una descripción ampliada a la caja fuerte en la sección Descripción.
Pulse Crear caja fuerte para confirmar.

2. Crear almacenes de claves

Un almacén de claves es un repositorio que almacena las claves criptográficas. Puede crear un almacén de claves interno dentro de la instancia de servicio o conectarse a un almacén de claves externo en otra instancia de servicio o incluso en otro proveedor de nube, como por ejemplo Microsoft Azure Key Vault, Amazon Web Services (AWS) Key Management Service (KMS) y Google Cloud KMS.

Realice los pasos siguientes para crear el primer almacén de claves interno:

En la interfaz de usuario de la instancia de servicio, pulse Almacenes de claves en la navegación para ver todos los almacenes de claves disponibles.
Pulse Añadir almacén de claves.
En Caja fuerte, seleccione la caja fuerte que crea y pulse Siguiente. Si desea asignar el almacén de claves a una nueva caja fuerte, pulse Crear caja fuerte.
En Tipo de almacén de claves, seleccione IBM Cloud KMS y pulse Siguiente.
En Propiedades de almacén de claves, especifique un nombre en Nombre del almacén. El nombre del almacén de claves puede tener de 1 a 100 caracteres. A continuación, pulse Siguiente.
En Resumen, puede ver el resumen del almacén de claves que crea, incluido el tipo de almacén de claves, la caja fuerte asignada y las propiedades generales.
Después de confirmar los detalles del almacén de claves, pulse Crear almacén de claves para crear el almacén de claves.

3. Crear plantillas clave

plantilla de clave especifica las propiedades de las claves gestionadas que se van a crear, como el convenio de denominación, el algoritmo de clave y la longitud de clave.

Realice los pasos siguientes para crear la primera plantilla de clave:

En la interfaz de usuario de la instancia de servicio, pulse Plantillas clave en la navegación.
Pulse Crear plantilla de clave.
En Caja fuerte, seleccione la caja fuerte que acaba de crear y, a continuación, pulse Siguiente.
En Almacenes de claves, seleccione IBM Cloud KMS como tipo de almacén de claves, seleccione el almacén de claves que acaba de crear y, a continuación, pulse Siguiente.
En Propiedades de plantilla clave, especifique los detalles siguientes de la plantilla clave. Pulse Siguiente para continuar.
En Resumen, visualice el resumen de la plantilla de clave y, a continuación, pulse Crear plantilla de clave para completar la creación de la plantilla de clave.

4. Crear claves gestionadas

Puede utilizar una clave gestionada para el cifrado o descifrado sólo después de que se haya creado y activado en al menos un almacén de claves. Realice los pasos siguientes para crear la primera clave KMS de IBM Cloud y activar la clave en el almacén de claves que cree:

Desde la interfaz de usuario de la instancia de servicio, pulse Claves gestionadas desde la navegación para ver todas las claves disponibles.
Pulse Crear clave.
En Caja fuerte, seleccione la caja fuerte que acaba de crear y, a continuación, pulse Siguiente.
En Plantilla de clave, seleccione Crear a partir de una plantilla de clave y, a continuación, seleccione la plantilla de clave que acaba de crear y pulse Siguiente.
En Propiedades clave, especifique los detalles de la clave. Pulse Siguiente para continuar cuando haya terminado. Tenga en cuenta que las claves Pre-active no se instalarán en los almacenes de claves hasta que las active manualmente. Las claves de Active se instalarán automáticamente en los almacenes de claves. Para obtener más información sobre las propiedades clave, consulte Creación de claves gestionadas con una plantilla de clave en la interfaz de usuario de IBM Cloud.
En Resumen, visualice el resumen de la clave y, a continuación, pulse Crear clave para crear la clave.

Paso 3: Cifrar los datos con el HSM de nube

Puede acceder de forma remota al HSM de nube de Hyper Protect Crypto Services para realizar operaciones criptográficas con la API de PKCS #11 o con la API de GREP11. Para completar estos pasos, asegúrese de que es el propietario de la cuenta de IBM Cloud o tiene asignado el rol de escritor. Para obtener detalles, consulte Asignación de acceso a Hyper Protect Crypto Services en la interfaz de usuario.

Realización de operaciones criptográficas con la API de PKCS #11

Para realizar operaciones criptográficas con la API de PKCS #11, siga estos pasos:

Configure los ID de servicio, roles y acciones de PKCS #11 . Para obtener más información, consulte Configuración de tipos de usuario de API PKCS #11.
Descargue, instale y configure la biblioteca de cliente PKCS #11 . Para obtener más información sobre cómo configurar la biblioteca de cliente PKCS #11 , consulte Realización de operaciones criptográficas con la API de PKCS #11.

Realización de operaciones criptográficas con la API de GREP11

Para realizar operaciones criptográficas con la API GREP11, debe asegurarse de que las aplicaciones se han desarrollado con lenguajes de programación soportados por gRPC.

El procedimiento siguiente utiliza el código Golang como ejemplo para probar las funciones de GREP11.

Instale Golang siguiendo la instrucción.
Clone el repositorio GitHub de ejemplo de para Golang en un directorio local de su elección. Los módulos Go se utilizan para este repositorio, por lo que no es necesario que coloque el repositorio clonado en GOPATH. Consulte el archivo README del repositorio para obtener más información sobre los ejemplos de código Go de GREP11.
Actualice el fragmento de código siguiente en el archivo examples/server_test.go.
```
var (
    Address        = "<instance_ID>.ep11.us-east.hs-crypto.appdomain.cloud"
    APIKey         = "<ibm_cloud_apikey>"
)
```
En el ejemplo de código,
- Sustituya <instance_ID> por el valor del punto final de API GREP11. Para encontrar el URL de punto final de servicio, en la interfaz de usuario de la instancia de servicio suministrada, pulse Visión general > Conectar > URL de punto final Enterprise PKCS #11.
- Sustituya <ibm_cloud_apikey> por la clave de API de ID de servicio que ha creado.
En el directorio <your_repository_path>/hpcs-grep11-go/examples, ejecute los ejemplos ejecutando el mandato go test -v -run Example.