IBM Cloud Docs
Introducción a Cloud HSM-Plan estándar

Introducción a Cloud HSM-Plan estándar

IBM Cloud® Hyper Protect Crypto Services consta de un módulo de seguridad de hardware (HSM) certificado por FIPS 140-2 Nivel 4 basado en la nube que proporciona API estandarizadas para gestionar claves de cifrado y realizar operaciones criptográficas.

¿Qué es un HSM de nube?

Un módulo de seguridad de hardware (HSM) es un dispositivo físico que protege y gestiona claves digitales para obtener una autenticación robusta, y proporciona un proceso criptográfico. Los HSM protegen la infraestructura criptográfica gestionando, almacenando y protegiendo de forma segura las claves criptográficas dentro de un dispositivo a prueba de manipulaciones.

Hyper Protect Crypto Services consta de un HSM dedicado basado en la nube para gestionar claves de cifrado y realizar operaciones criptográficas. El HSM certificado FIPS 140-2 Nivel 4 proporciona el nivel más alto de seguridad para la criptografía en el sector de la nube. Con la característica KYOK (Keep Your Own Key), puede asumir la propiedad del HSM de nube, lo que garantiza que nadie, incluidos los administradores de nube, tenga acceso a sus claves criptográficas. De este modo, puede beneficiarse del nivel más alto de cifrado basado en hardware sin necesidad de desplegar un HSM real en la estación de trabajo o en el servidor local.

Para utilizar el HSM de nube Hyper Protect Crypto Services para proteger las claves y los datos, primero tome el control del HSM cargando la clave maestraAn encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key.. La clave maestra, como clave de envolvimiento de claves, es propietaria de la raíz de confianza que cifra toda la jerarquía de claves de cifrado. Para obtener más información, consulte Inicialización de la instancia de servicio.

Realización de operaciones criptográficas accediendo al HSM de nube

Hyper Protect Crypto Services proporciona un conjunto de funciones criptográficas que se ejecutan en el HSM de nube. Puede realizar operaciones criptográficas como, por ejemplo, la generación de claves, el cifrado de datos y la verificación de firmas. Para ello, acceda al HSM de nube con la API de PKCS #11 o Enterprise PKCS #11 mediante la API de gRPC (GREP11).

Para garantizar el control exclusivo sobre la ejecución de operaciones criptográficas, puede habilitar la segunda capa de autenticación para las conexiones de la API de GREP11 o PKCS #11 con el plugin de la CLI del gestor de certificados. Al habilitar esta función, se añade una capa adicional de control de acceso en la parte superior de la señal IAM (Identity and Access Management) a las aplicaciones EP11. Se establece una conexión TLS mutua para garantizar que solo las aplicaciones EP11 con un certificado de cliente válido puedan realizar operaciones EP11. Para obtener más información sobre cómo habilitar la autenticación TLS, consulte Habilitación de la segunda capa de autenticación para las conexiones EP11.

Acceso al HSM de nube con la API de PKCS #11

Public-Key Cryptography Standards(PKCS)#11 es un estándar del sector que define una API independiente de la plataforma, denominada Cryptoki, para dispositivos como los HSM que contienen información criptográfica y realizan operaciones criptográficas. Con Hyper Protect Crypto Services, puede utilizar la API de PKCS #11 estándar para acceder al HSM de nube con la biblioteca PKCS #11. La biblioteca conecta las aplicaciones al HSM de nube para realizar operaciones criptográficas.

Con el soporte de la API de PKCS #11, no es necesario cambiar las aplicaciones existentes que utilizan el PKCS #11 estándar. La biblioteca de PKCS #11 acepta las solicitudes de API de PKCS #11 de las aplicaciones y accede de forma remota al HSM de nube para ejecutar las funciones criptográficas correspondientes. Para obtener más información la API de PKCS #11, consulte Introducción a PKCS #11.

Acceso al HSM de nube con la API de GREP11

Además de la API de PKCS #11, también puede utilizar la API de Enterprise PKCS #11 a través de gRPC (GREP11) para acceder al HSM de nube de Hyper Protect Crypto Services. Enterprise PKCS #11(EP11) es una API criptográfica soportada por IBMque está habilitada en el HSM de nube Hyper Protect Crypto Services. EP11 se ha diseñado para los usuarios que buscan soporte para estándares abiertos y seguridad mejorada. La biblioteca EP11 ofrece una amplia variedad de funciones criptográficas de uso general y proporciona una interfaz similar a la API de PKCS #11 . Las aplicaciones existentes que utilizan PKCS #11 se pueden beneficiar de la seguridad mejorada, ya que las aplicaciones se pueden migrar fácilmente para cumplir con los requisitos de EP11.

Hyper Protect Crypto Services aprovecha gRPC para habilitar el acceso de aplicaciones remotas al HSM de nube. gRPC es una infraestructura moderna de llamada a procedimiento remoto (RPC) de código abierto que puede conectar servicios en y entre centros de datos para el equilibrio de carga, el rastreo, la comprobación de estado y la autenticación. Con gRPC, las aplicaciones pueden acceder de forma remota al HSM de nube de Hyper Protect Crypto Services para llamar a las funciones criptográficas de EP11. Para obtener más información sobre la API de GREP11, consulte Introducción a EP11 a través de gRPC.

Con las API PKCS #11 y GREP11, puede realizar llamadas remotas de procedimiento criptográfico y, de forma predeterminada, aplicar límites de tamaño de mensaje. El tamaño máximo de mensaje de recepción es de 64 MB y el tamaño de mensaje de salida no tiene límite.

Comparación de la API de PKCS #11 con la API de GREP11

Tanto la API de PKCS #11 como la API de GREP11 acceden a la biblioteca EP11 habilitada por el HSM de nube de Hyper Protect Crypto Services para ejecutar funciones criptográficas. El diagrama siguiente ilustra las dos opciones para interactuar con el HSM de nube.

Realización de operaciones criptográficas con la API de PKCS #11 o la API de GREP11
Figura 1. Realización de operaciones criptográficas con la API PKCS #11 o la API GREP11

En comparación con la API de GREP11, la implementación de la API de PKCS #11 estándar permite aplicaciones portátiles y proporciona una gama más amplia de operaciones criptográficas. En la tabla siguiente se muestran las principales diferencias entre las dos opciones.

Tabla 1. Comparación de la API de PKCS #11 con la API de GREP11
Perspectiva API de PKCS #11 API de GREP11
Implementación de la interfaz. Interfaz con estado. El resultado de la solicitud de API puede variar en función del estado implícito, tal como el estado de la sesión y el estado de inicio de sesión del usuario. En el caso con estado, los datos se almacenan en el host. Interfaz sin estado. El resultado de la solicitud de API siempre permanece igual. En el caso sin estado, no se almacenan datos en el host.
Instalación anterior Es necesario instalar la biblioteca de PKCS #11 en la estación de trabajo local primero para acceder al HSM de nube de Hyper Protect Crypto Services. No se necesita ninguna instalación adicional para acceder al HSM de nube de Hyper Protect Crypto Services.
Migración de aplicaciones Si las aplicaciones utilizan la API de PKCS #11, no es necesario modificar las aplicaciones existentes específicamente para EP11 o gRPC. Para poder utilizar la API de GREP11, debe asegurarse de que las aplicaciones se han desarrollado basándose en los requisitos de EP11 y en las especificaciones de gRPC.
Autenticación y gestión de acceso La biblioteca de PKCS #11 tiene un conjunto de tipos de usuarios estándar para su autenticación. Debe definir estos tipos de usuario en un archivo de configuración independiente y asignar distintos tipos de usuario a los roles correspondientes de IBM Cloud Identity and Access Management (IAM) para la gestión de accesos. Para obtener más información, consulte Mejores prácticas para configurar los tipos de usuario de PKCS #11. La API de GREP11 utiliza los roles de IAM estándar para definir el acceso correspondiente. Para obtener más información, consulte Gestión de acceso de usuario.
Archivo de configuración adicional Obligatorio. Debe configurar todos los parámetros que incluyen roles de usuario en este archivo para garantizar el despliegue correcto de la biblioteca de PKCS #11. Para obtener más información, consulte la plantilla del archivo de configuración. No necesario. Los parámetros necesarios para conectar el HSM de nube de Hyper Protect Crypto Services se puede configurar junto con el código de aplicación.
Almacén de claves Proporcionado por Hyper Protect Crypto Services. Las claves que se generan con la API de PKCS #11 están protegidas por la clave maestra y se almacenan en bases de datos de nube. No lo proporciona Hyper Protect Crypto Services. Es necesario que almacene las claves generadas por la API de GREP11 en la estación de trabajo local o en otros dispositivos.
Operaciones criptográficas soportadas

La API de PKCS #11 admite la mayoría de las funciones estándar de PKCS #11:

  • Finalidad general.
  • Gestión de ranuras y señales.
  • Gestión de sesiones
  • Gestión de objetos.
  • Generar claves.
  • Envolver y desenvolver claves.
  • Derivar claves.
  • Cifrar y descifrar datos.
  • Firmar y verificar el mensaje.
  • Crear resúmenes de mensajes.
  • Recuperar información de mecanismos.
  • Recuperar y establecer atributos de clave.

La API de GREP11 no da soporte a funciones de propósito general ni a las funciones de gestión de sesiones. Admite la mayoría de las funciones criptográficas EP11:

  • Generar claves.
  • Envolver, desenvolver y volver a envolver claves.
  • Derivar claves.
  • Cifrar y descifrar datos.
  • Firmar y verificar el mensaje.
  • Crear resúmenes de mensajes.
  • Recuperar información de mecanismos.
  • Recuperar y establecer atributos de clave.