Introduction à Cloud HSM-Plan Standard
IBM Cloud® Hyper Protect Crypto Services est constitué d'un module HSM certifié FIPS 140-2 Level 4 basé sur le cloud qui fournit des API standard afin de gérer des clés de chiffrement et d'effectuer des opérations de chiffrement.
Qu'est-ce qu'un module HSM en cloud ?
Un module HSM (Hardware Security Module) est une unité physique qui protège et gère les clés numériques pour une authentification forte et fournit un traitement de chiffrement. Les modules HSM protègent l'infrastructure de chiffrement en gérant, en stockant et en protégeant de manière sécurisée des clés de chiffrement au sein d'une unité infalsifiable.
Hyper Protect Crypto Services est constitué d'un module HSM dédié basé sur le cloud qui permet de gérer des clés de chiffrement et d'effectuer des opérations de chiffrement. Le module HSM certifié FIPS 140-2 Level 4 fournit le niveau de sécurité le plus élevé de l'industrie du cloud en matière de chiffrement. Avec la fonction Keep Your Own Key (KYOK), vous pouvez vous approprier le HSM cloud, ce qui garantit que personne, y compris les administrateurs du cloud, n'a accès à vos clés de chiffrement. De cette façon, vous pouvez bénéficier du niveau le plus élevé de chiffrement basé sur les informations de clé sans avoir à déployer un module HSM réel sur votre poste de travail ou votre serveur.
Pour utiliser le module HSM en cloud Hyper Protect Crypto Services afin de protéger vos clés et vos données, prenez d'abord le contrôle du module HSM en chargeant la clé principaleAn encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key.. La clé principale, en tant que clé d'encapsulage de clé, détient la racine de confiance qui chiffre la hiérarchie complète de clés de chiffrement. Pour plus d'informations, voir Initialisation de votre instance de service.
Exécution d'opérations de chiffrement en accédant au module HSM en cloud
Hyper Protect Crypto Services fournit un ensemble de fonctions de chiffrement qui sont exécutées dans le module HSM en cloud. Vous pouvez effectuer des opérations de chiffrement telles que la génération de clés, le chiffrement de données et la vérification de signatures. Pour ce faire, accédez au HSM cloud avec l'API PKCS #11 ou l'API Enterprise PKCS #11 sur gRPC (GREP11).
Pour garantir le contrôle exclusif de l'exécution des opérations de chiffrement, vous pouvez activer la deuxième couche d'authentification pour les connexions de l'API GREP11 ou PKCS #11 avec le plug-in de l'interface de ligne de commande du gestionnaire de certificats. En activant cette fonction, vous ajoutez une couche supplémentaire de contrôle d'accès sur le jeton IAM (Identity and Access Management) aux applications EP11. Une connexion TLS mutuelle est établie pour s'assurer que seules les applications EP11 avec un certificat client valide peuvent effectuer des opérations EP11. Pour plus d'informations sur l'activation de l'authentification TLS, voir Activation de la deuxième couche d'authentification pour les connexions EP11.
Accès au module HSM en cloud à l'aide de l'API PKCS #11
Public-Key Cryptography Standards(PKCS)#11 est une norme de l'industrie qui définit une API indépendante de la plateforme, appelée Cryptoki, pour les unités telles que les modules HSM qui contiennent des informations cryptographiques et effectuent des opérations cryptographiques. Avec Hyper Protect Crypto Services, vous pouvez utiliser l'API PKCS #11 standard pour accéder au HSM cloud avec la bibliothèque PKCS #11. La bibliothèque connecte vos applications au module HSM en cloud pour vous permettre d'effectuer des opérations de chiffrement.
Grâce à la prise en charge de l'API PKCS #11, vous n'avez pas besoin de modifier vos applications existantes qui utilisent la norme PKCS #11. La bibliothèque PKCS #11 accepte les demandes d'API PKCS #11 émises par vos applications et accède à distance au module HSM en cloud pour exécuter les fonctions de chiffrement correspondantes. Pour plus d'informations sur l'API PKCS #11, voir Présentation de PKCS #11.
Accès au module HSM en cloud à l'aide de l'API GREP11
Outre l'API PKCS #11, vous pouvez également utiliser l'API Enterprise PKCS #11 sur gRPC (GREP11) pour accéder au module HSM en cloud d'Hyper Protect Crypto Services. Enterprise PKCS #11(EP11) est une API cryptographique prise en charge par IBMqui est activée dans le module HSM en cloud Hyper Protect Crypto Services. EP11 est conçu pour les utilisateurs qui recherchent une prise en charge des normes ouvertes et une sécurité renforcée. La bibliothèqueEP11 offre une grande variété de fonctions cryptographiques à usage général et fournit une interface similaire à l'API PKCS #11 . Les applications existantes qui utilisent PKCS #11 peuvent bénéficier d'une sécurité renforcée car les applications peuvent être migrées facilement pour répondre aux exigences de EP11.
Hyper Protect Crypto Services optimise gRPC pour activer l'accès des applications distantes au module HSM en cloud. gRPC est une infrastructure d'appel de procédure à distance (RPC) haute performance open source moderne qui peut connecter des services dans et entre les centres de données pour l'équilibrage de charge, le traçage, le diagnostic d'intégrité et l'authentification. Avec gRPC, les applications peuvent accéder à distance au module HSM en cloud d'Hyper Protect Crypto Services pour appeler des fonctions de chiffrement EP11. Pour plus d'informations sur l'API GREP11, voir Présentation de EP11 sur gRPC.
Avec les API PKCS #11 et GREP11, vous pouvez exécuter des appels de procédure de chiffrement à distance et, par défaut, imposer des limites de taille de message. La taille maximale des messages de réception est de 64 Mo et la taille des messages sortants n'est pas limitée.
Comparaison des API PKCS #11 et GREP11
L'API PKCS #11 et l'API GREP11 accèdent à la bibliothèque EP11 activée par le HSM cloud Hyper Protect Crypto Services pour exécuter des fonctions de chiffrement. Le diagramme ci-après illustre les deux options permettant d'interagir avec le module HSM en cloud.
Comparée à l'API GREP11, l'implémentation de l'API PKCS #11 standard active les applications portables et fournit une gamme plus étendue d'opérations de chiffrement. Le tableau ci-après présente les principales différences entre les deux options.
| Perspective | interface de programmation PKCS #11 | interface de programmation GREP11 |
|---|---|---|
| Implémentation d'interface | Interface avec état. Le résultat de votre demande d'API peut varier en fonction de l'état implicite, par exemple, l'état de session et l'état de connexion utilisateur. Dans le cas d'un système à état, les données sont stockées sur l'hôte. | Interface sans état. Le résultat de votre demande d'API reste toujours le même. Dans le cas d'un système sans état, aucune donnée n'est stockée sur l'hôte. |
| Installation préalable | Vous devez d'abord installer la bibliothèque PKCS #11 sur votre poste de travail en local pour accéder au module HSM en cloud d'Hyper Protect Crypto Services. | Aucune installation supplémentaire n'est nécessaire pour accéder au HSM cloud Hyper Protect Crypto Services. |
| Migration d'application | Si vos applications utilisent l'API PKCS #11 standard, vous n'avez pas besoin de modifier vos applications existantes spécifiquement pour EP11 ou gRPC. | Pour utiliser l'API GREP11, vous devez vous assurer que vos applications sont développées conformément aux exigences de EP11 et aux spécifications gRPC. |
| Authentification et gestion des accès | La bibliothèque PKCS #11 comporte un ensemble de types d'utilisateur standard pour l'authentification. Vous devez définir ces types d'utilisateur dans un fichier de configuration indépendant et affecter aux différents types d'utilisateur les rôles IBM Cloud Identity and Access Management (IAM) correspondants pour la gestion des accès. Pour plus d'informations, voir Pratiques recommandées pour la configuration des types d'utilisateur PKCS #11. | L'API GREP11 utilise les rôles IAM standard pour définir les accès correspondants. Pour plus d'informations, voir Gestion de l'accès utilisateur. |
| Fichier de configuration supplémentaire | Obligatoire. Vous devez configurer tous les paramètres qui incluent des rôles utilisateur dans ce fichier pour garantir le déploiement réussi de la bibliothèque PKCS #11. Pour plus d'informations, voir le modèle du fichier de configuration. | Facultatif. Les paramètres nécessaires pour établir une connexion au module HSM en cloud d'Hyper Protect Crypto Services peuvent être configurés en même temps que le code d'application. |
| Magasin de clés | Fourni par Hyper Protect Crypto Services. Les clés générées avec l'API PKCS #11 sont protégées par la clé principale et sont stockées dans des bases de données de cloud. | Non fourni par Hyper Protect Crypto Services. Vous devez stocker les clés générées par l'API GREP11 sur le poste de travail local ou d'autres unités. |
| Opérations de chiffrement prises en charge |
L'API PKCS #11 prend en charge la plupart des fonctions PKCS #11 standard :
|
L'API GREP11 ne prend pas en charge les fonctions standard et les fonctions de gestion de session. Il prend en charge la plupart des fonctions de chiffrement de EP11 :
|