Introduzione al piano cloud HSM - Standard
IBM Cloud® Hyper Protect Crypto Services è costituito da un HSM (hardware security module) certificato FIPS 140-2 Livello 4 basato su cloud che fornisce API standard per gestire le chiavi di cifratura ed eseguire operazioni di crittografia.
Cosa è il cloud HSM?
Un HSM (Hardware Security Module) è un dispositivo fisico che protegge e gestisce le chiavi digitali per un'autenticazione forte e fornisce l'elaborazione crittografica. Gli HSMs proteggono l'infrastruttura crittografica tramite la gestione sicura, la memorizzazione e la protezione delle chiavi crittografiche all'interno di un dispositivo resistente al tamil.
Hyper Protect Crypto Services è costituito da un HSM dedicato al cloud per gestire le chiavi di crittografia ed eseguire operazioni crittografiche. L'HSM certificata FIPS 140 - 2 Level 4 fornisce il più alto livello di sicurezza per la crittografia nell'industria cloud. Con la funzione Keep Your Own Key (KYOK) è possibile prendere la proprietà del cloud HSM, che garantisce che nessuno, inclusi gli admins cloud, abbia accesso alle tue chiavi crittografiche. In questo modo, è possibile beneficiare del più alto livello di crittografia basata su hardware senza la necessità di distribuire un HSM reale sulla propria workstation o server locale.
Per utilizzare il cloud HSM di Hyper Protect Crypto Services per proteggere le chiavi e i dati, prima prendere il controllo dell'HSM caricando la chiave principaleAn encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key.. La chiave principale, come tasto di confezionamento chiave, possiede la radice di fiducia che codifica l'intera gerarchia delle chiavi di cifratura. Per ulteriori informazioni, consultare Inizializzando la tua istanza di servizio.
Esecuzione di operazioni crittografiche accedendo al cloud HSM
Hyper Protect Crypto Services fornisce una serie di funzioni crittografiche che vengono eseguite nel cloud HSM. È possibile eseguire operazioni crittografiche come la generazione di chiavi, la crittografia dei dati e la verifica della firma. Per farlo, accedi all'HSM cloud con l'API PKCS #11 o l'Enterprise PKCS #11 su gRPC (GREP11) API.
Per garantire il controllo esclusivo sull'esecuzione delle operazioni crittografiche, è possibile abilitare il secondo strato di autenticazione per le connessioni API GREP11 o PKCS #11 con il plug-in manager CLI manager. Abilitando questa funzione, aggiungi un ulteriore livello di controllo dell'accesso al token IAM ( Identity and Access Management ) per le applicazioni EP11. Viene stabilita una connessione TLS reciproca per assicurare che solo applicazioni EP11 con certificato client valido possano eseguire operazioni EP11. Per ulteriori informazioni su come abilitare l'autenticazione TLS, vedi Abilitazione del secondo livello di autenticazione per le connessioni EP11.
Accesso al cloud HSM con l'API PKCS #11
Public - Key Cryptography Standards(PKCS)#11 è uno standard di settore che definisce una API indipendente dalle piattaforme, chiamata Cryptoki, per dispositivi come HSMs che detengono informazioni crittografiche ed eseguono operazioni crittografiche. Con Hyper Protect Crypto Servicesè possibile utilizzare l'API PKCS #11 standard per accedere al cloud HSM con la libreria PKCS #11 . La libreria connette le tue applicazioni al cloud HSM per eseguire operazioni crittografiche.
Con il supporto dell'API PKCS #11 non è necessario modificare le applicazioni esistenti che utilizzano lo standard PKCS #11 . La libreria PKCS #11 accetta le richieste API PKCS #11 dalle applicazioni e accede remotamente al cloud HSM per eseguire le funzioni crittografiche corrispondenti. Per ulteriori informazioni sull'API PKCS #11 , consultare Introducendo PKCS #11.
Accesso al cloud HSM con l'API GREP11
Oltre all'API PKCS #11 , puoi anche utilizzare l'API Enterprise PKCS #11 su gRPC (GREP11) per accedere all'HSM cloud Hyper Protect Crypto Services. PKCS aziendale #11(EP11) è un'API di crittografia supportata da IBMabilitata nell'HSM cloud Hyper Protect Crypto Services. EP11 è progettato per gli utenti che cercano supporto per standard aperti e sicurezza avanzata. La EP11 offre un'ampia gamma di funzioni crittografiche di uso generale e fornisce un'interfaccia simile all'API PKCS #11 . Le applicazioni esistenti che utilizzano PKCS #11 possono beneficiare di una sicurezza avanzata perché le applicazioni possono essere migrate facilmente per soddisfare i requisiti EP11.
Hyper Protect Crypto Services si avvale di gRPC per abilitare l'accesso dell'applicazione remota all'HSM cloud. gRPC è un framework RPC (remote procedure call) open source moderno che può collegare i servizi nei e tra i data center per il bilanciamento del carico, la traccia, il controllo dell'integrità e l'autenticazione. Con gRPC, le applicazioni possono accedere in remoto all'HSM cloud Hyper Protect Crypto Services per richiamare le funzioni crittografiche EP11. Per ulteriori informazioni sull'API GREP11, vedi Introduzione a EP11 su gRPC.
Con le API PKCS #11 e GREP11, puoi eseguire chiamate di procedura crittografica remota e, per impostazione predefinita, imporre limiti di dimensione del messaggio. La dimensione massima del messaggio ricevuto è 64 MB e la dimensione del messaggio in uscita non ha limiti.
Confronto dell'API PKCS #11 con l'API GREP11
Sia l'API PKCS #11 che l'API GREP11 accedono alla libreria EP11 abilitata dal cloud HSM di Hyper Protect Crypto Services per eseguire funzioni crittografiche. Il seguente diagramma illustra le due opzioni per interagire con il cloud HSM.
Confrontando con l'API GREP11, l'implementazione dell'API PKCS #11 standard consente applicazioni portatili e fornisce una gamma più ampia di operazioni crittografiche. La tabella seguente mostra le principali differenze tra le due opzioni.
| Prospettiva | API PKCS #11 | GREP11 API |
|---|---|---|
| Implementazione dell'interfaccia | Interfaccia Stateful. Il risultato della propria richiesta API può variare a seconda dello stato implicito come lo stato di sessione e lo stato di login dell'utente. Nel caso stateful, i dati vengono memorizzati sull'host. | Interfaccia stateless. Il risultato della tua richiesta API rimane sempre lo stesso. Nel caso napolito nessun dato è memorizzato sull'host. |
| Installazione precedente | È necessario installare la libreria PKCS #11 sulla propria workstation locale prima di accedere al cloud Hyper Protect Crypto Services. | Non è necessaria alcuna installazione extra per accedere al cloud HSM Hyper Protect Crypto Services. |
| migrazione applicazione | Se le tue applicazioni utilizzano l'API PKCS #11 standard, non devi modificare le tue applicazioni esistenti in modo specifico per EP11 o gRPC. | Per utilizzare l'API GREP11, devi assicurarti che le tue applicazioni siano sviluppate in base ai requisiti EP11 e alle specifiche gRPC. |
| Autenticazione e gestione degli accessi | La libreria PKCS #11 dispone di una serie di tipi di utenti standard per l'autenticazione. È necessario definire questi tipi di utente in un file di configurazione indipendente e assegnare diversi tipi di utente i corrispondenti ruoli IBM Cloud Identity and Access Management (IAM) per la gestione degli accessi. Per ulteriori informazioni, consultare Best practices for setting up PKCS #11 tipi utente. | L'API GREP11 utilizza i ruoli IAM standard per definire il corrispondente accesso. Per ulteriori informazioni, vedi Gestione dell'accesso utente. |
| File di configurazione aggiuntivo | Obbligatorio. È necessario configurare tutti i parametri che includono ruoli utente in questo file per garantire la corretta distribuzione della libreria PKCS #11 . Per ulteriori informazioni, consultare il modello di file di configurazione. | Non richiesto. I parametri necessari per collegare il cloud HSM Hyper Protect Crypto Services possono essere impostati insieme al codice di applicazione. |
| Keystore | Fornito da Hyper Protect Crypto Services. I tasti generati con le API PKCS #11 sono protetti dalla chiave principale e vengono memorizzati nei database cloud. | Non fornito da Hyper Protect Crypto Services. È necessario memorizzare le chiavi generate dall'API GREP11 sulla workstation locale o altri dispositivi. |
| Operazioni crittografiche supportate |
L'API PKCS #11 supporta la maggior parte delle funzioni PKCS #11 standard:
|
L'API GREP11 non supporta le funzioni di scopo generale e le funzioni di gestione delle sessioni. Supporta la maggior parte delle funzioni crittografiche EP11:
|