Informazioni sui cookie del presente sito Per il corretto funzionamento, i nostri siti Web richiedono alcuni cookie (richiesto). Inoltre, con il suo consenso, potrebbero essere utilizzati altri cookie per l'analisi dell'utilizzo del sito, per migliorare l'esperienza utente e per scopi pubblicitari. Per ulteriori informazioni, consultare le. Visitando il nostro sito web, accettate il trattamento delle informazioni da parte nostra come descritto nelladichiarazione sulla privacy di IBM. Per consentire una corretta navigazione, le preferenze per i cookie dell'utente verranno condivise sui domini Web IBM qui elencati.
Casi di utilizzo - Piano Standard
IBM Cloud® Hyper Protect Crypto Services può essere utilizzato come un servizio di gestione delle chiavi per proteggere in modo pervasivo i dati inattivi in IBM Cloud e come un HSM cloud per operazioni crittografiche generiche.
Proteggere in modo pervasivo i dati a riposo nel cloud
Con l'integrazione nella IBM Cloud Security Architecture, è possibile utilizzare Hyper Protect Crypto Services per crittografare i propri dati a riposo per i dati cloud e i servizi di archiviazione nel livello di sicurezza più elevato con le proprie chiavi. Il servizio utilizza la stessa API di key - provider come Key Protect per fornire un approccio coerente di crittografia e crittografia del file system all'adozione dei servizi IBM Cloud.
IBM Cloud Hyper Protect Crypto Services supporta KYOK (Keep Your Own Key) in modo da avere più controllo e autorità sui tuoi dati con le chiavi di crittografia che puoi portare, controllare e gestire. Allo stesso tempo, si mantiene comunque il controllo sull'HSM che la chiave di codifica si trova in. Con Hyper Protect Crypto Services, sfrutti completamente la tecnologia comprovata che è co - sviluppata e gestita da grandi imprese per la gestione dei loro dati più sensibili.
I tasti di crittografia che vengono generati e protetti da Hyper Protect Crypto Services possono essere utilizzati per fornire la crittografia a livello di record di applicazioni o a livello di campo per proteggere i dati da altre minacce insider come dagli amministratori di database.
Crittografia dei dati inattivi con KYOK
Le chiavi sono protette da HSM dedicati gestiti dal cliente, il che significa che solo tu hai accesso ai tuoi dati. Le funzionalità crittografiche di Hyper Protect Crypto Services sono create su un Hardware Security Module certificato FIPS 140-2 Level 4. È possibile beneficiare delle funzionalità crittografiche di Hyper Protect Crypto Services sia per i vostri carichi di lavoro nuovi che esistenti. L'API IBM Key Protect for IBM Cloud è integrata per la generazione e la protezione delle chiavi di crittografia.
Fai riferimento a Apply end to end security to a cloud application per un'esercitazione su come crittografare le applicazioni cloud utilizzando l'API del servizio di gestione delle chiavi di Hyper Protect Crypto Services.
Protezione dell'immagine VMware con KYOK
Le organizzazioni che utilizzano l'ambiente VMware® in IBM Cloud per elaborare e memorizzare informazioni personali richiedono il massimo livello di sicurezza. Come utente di Hyper Protect Crypto Services, si ottiene il proprio slot dedicato che si imposta da solo per garantire che nessun altro corpo possa accedere. Poiché Hyper Protect Crypto Services e VMware non contattano le stesse interfacce, il componente Key Management Interoperability Protocol for VMware agisce come intermediario per consentire all'ambiente VMware di memorizzare e utilizzare le chiavi da Hyper Protect Crypto Services.
Come servizio unico, Hyper Protect Crypto Services offre il controllo dedicato del Hardware Security Module per le immagini VMware per ogni cliente. Hyper Protect Crypto Services estende la famiglia dei servizi di gestione chiavi in IBM Cloud verso istanze single - tenant con controllo segreto hardware dedicato.
Consulta il video della panoramica su IBM Cloud Hyper Protect Crypto Services e VMware su IBM Cloud soluzioni per ulteriori informazioni. Per un tutorial step - to - step, consultare Configurazione di KMIP in Hyper Protect Crypto Services per la gestione e la distribuzione delle chiavi e il demo video.
Utilizzo di Hyper Protect Crypto Services come HSM cloud
Puoi utilizzare Hyper Protect Crypto Services come HSM cloud utilizzando l'API PKCS #11 e l'API Enterprise PKCS #11 .
Utilizzo di Hyper Protect Crypto Services come HSM cloud tramite l'API PKCS #11
IBM Cloud Hyper Protect Crypto Services fornisce l'PKCS #11 API. PKCS #11 è definito come uno dei Public - Key Cryptography Standards. Le operazioni crittografiche vengono eseguite all'interno degli HSM al lato cloud. Questo consente schemi in cui una chiave crittografica non è mai in chiaro al di fuori dell'HSM, e tutte le corrispondenti operazioni crittografiche sensibili vengono gestite all'interno anche del limite HSM.
Crittografia a livello di applicazione utilizzando l'API PKCS #11
Hyper Protect Crypto Services consente ai programmatori delle applicazioni di progettare e sviluppare applicazioni con una API PKCS #11 standard per richiedere la crittografia o per firmare i dati applicativi. Significa che è possibile invocare la sicurezza senza avere programmatori per diventare esperti di crittografia. Ora è possibile abilitare e migliorare l'integrità dei dati attraverso la firma digitale e la riservatezza tramite la crittografia dei dati. Le applicazioni possono utilizzare la libreria Hyper Protect Crypto Services PKCS #11 per eseguire operazioni crittografiche. Questa funzionalità ti aiuta a modernizzare i processi aziendali attraverso le applicazioni edilizie che hanno un flusso di lavoro digitale con dati privati e recensioni digitali, approvazioni e firme sicure e affidabili.
Con il supporto di PKCS #11si ha accesso a una gamma completa di operazioni crittografiche avanzate, come la firma, la convalida della firma, i codici di autenticazione dei messaggi e gli schemi di crittografia più avanzati. Per ulteriori informazioni, fai riferimento alla libreriaHyper Protect Crypto Services PKCS #11.
Crittografia dei database utilizzando l'API PKCS #11
Con Hyper Protect Crypto Servicesè possibile crittografare Oracle® Database utilizzando il TDE (Transparent Data Encryption) e crittografare IBM Db2® Database utilizzando la crittografia predefinita Db2.
-
Con TDE è possibile crittografare i dati sensibili sui supporti di memorizzazione del database, come ad esempio i table space e i file e sui supporti di backup. Transparent Data Encryption garantisce che i dati sensibili siano crittografati, soddisfa la conformità e fornisce funzionalità che semplificano le operazioni di codifica. Il sistema di database codifica in modo automatico e trasparente codifica e decodifica i dati quando viene utilizzato da utenti autorizzati e applicazioni. Gli utenti del database non devono essere a conoscenza di applicazioni TDE e database non devono essere adattate specificatamente per TDE.
TDE utilizza una gerarchia di chiavi a due livelli composta da un tasto di crittografia master TDE e una chiave di codifica dati TDE. La chiave di codifica dei dati TDE viene utilizzata per crittografare e decodificare i dati, mentre la chiave di codifica del master TDE viene utilizzata per crittografare e decodificare la chiave di codifica dei dati TDE.
Figura 4. Crittografia Database Trasparente tramite l'utilizzo della API PKCS #11 standard -
La crittografia predefinita IBM Db2 protegge i file di database delle chiavi e le immagini di backup del database dall'accesso inappropriato mentre sono memorizzate su supporti di memoria esterni. Il sistema di database codifica automaticamente e decodifica i dati quando viene utilizzato da utenti autorizzati e applicazioni. Di solito, gli utenti di database non devono essere a conoscenza di applicazioni client di crittografia predefinite e le applicazioni client di database non devono essere adattate specificamente.
La crittografia predefinita Db2 utilizza una gerarchia di chiavi a due livelli: i dati vengono crittografati con una chiave di codifica dei dati (DEK). Il DEK è crittografato con una chiave principale ed è memorizzato in forma crittografata con il database o l'immagine di backup. Un DEK univoco viene generato da Db2 per ogni database crittografato e per ogni backup crittografato. Una chiave principale viene utilizzata per crittografare un DEK. Ogni database crittografato è associato ad una chiave principale alla volta.
Figura 5. Crittografia predefinita IBM Db2 utilizzando l'API PKCS #11 standard -
Altri database popolari come PosgreSQL (Fujitsu Enterprise Postgres e Enterprise DB) e MongoDB possono essere integrati con Hyper Protect Crypto Services in modo simile.
Con l'integrazione della libreria PKCS #11 , Hyper Protect Crypto Services supporta l'API PKCS #11 standard. La libreria Hyper Protect Crypto Services PKCS #11 connette il tuo database a Hyper Protect Crypto Services per eseguire operazioni crittografiche. Il sistema di database può richiamare le operazioni per gestire i tasti di crittografia master TDE o le chiavi del master nella libreria Hyper Protect Crypto Services PKCS #11 . La libreria Hyper Protect Crypto Services PKCS #11 interagisce quindi con la tua istanza Hyper Protect Crypto Services per fornire il massimo livello di sicurezza per la memorizzazione e la gestione dei tasti di crittografia master TDE o le tue chiavi di master in cloud. Esso, a sua volta, fornisce il massimo livello di sicurezza alle vostre chiavi di codifica dei dati e ai vostri dati.
- Per un tutorial su come utilizzare TDE con Hyper Protect Crypto Services, consultare Tutorial: Utilizzo di Oracle Transparent Database Encryption con Hyper Protect Crypto Services PKCS #11.
- Per un tutorial su come utilizzare la crittografia predefinita Db2 con Hyper Protect Crypto Services, vedere Utilizzo della crittografia predefinita IBM Db2 con Hyper Protect Crypto Services PKCS #11.
Offload del traffico TLS/SSL
Transport Layer Security (TLS) e Secure Sockets Layer (SSL) sono protocolli crittografici progettati per garantire la sicurezza della comunicazione su una rete di computer. Il protocollo TLS/SSL mira principalmente a fornire privacy e integrità dei dati tra due o più applicazioni informatiche comunicanti.
Nel contesto dei server web, il protocollo TLS/SSL consente a un sito web di stabilire l'identità. Gli utenti del sito web possono essere sicuri che nessun altro sia mascherato come il sito web. Si fa attraverso una coppia di chiavi pubbliche - private.
Hyper Protect Crypto Services fornisce un modo per offload le operazioni crittografiche effettuate durante il handshake TLS per stabilire una connessione sicura al server web, mentre tiene in sicurezza il tasto privato TLS/SSL memorizzato nell'HSM dedicato. In questo modo, hai il controllo sulle tue chiavi e elaborazioni TLS/SSL. Di conseguenza, la sicurezza è migliorata e il rischio di reputazione è diminuito.
TLS/SSL offload al Hyper Protect Crypto Services HSM abilita i dati nella protezione di transito per le transazioni web, API e mobile utilizzando l'API standard PKCS #11 . Con Hyper Protect Crypto Services, è possibile integrare TLS/SSL offload con altri proxy cloud.
Per un tutorial su come offload il carico di lavoro SSL a un bilanciatore di carico come NGINX durante la gestione delle chiavi utilizzando Hyper Protect Crypto Services, consultare Utilizzo di IBM Cloud Hyper Protect Crypto Services per offload NGINX TLS.
Protezione dei sistemi di storage con strumenti di gestione delle chiavi di crittografia di terzi
Puoi proteggere i sottosistemi di archiviazione integrando i prodotti più diffusi, come IBM Guardium Key Lifecycle Manager (GKLM) e HashiCorp Vault con Hyper Protect Crypto Services utilizzando la crittografia envelope con PKCS#11, in modo che la chiave master generata dagli strumenti di gestione delle chiavi possa essere memorizzata in modo sicuro in IBM Cloud Hyper Protect Crypto Services utilizzando PKCS#11, garantire l'accesso esclusivo alla chiave master e ai dati nei sistemi di archiviazione gestiti dalla chiave master.
La crittografia envelope è la pratica di crittografare i dati in testo semplice con chiavi di crittografia dei dati (DEK) e quindi crittografare queste chiavi con una chiave di crittografia delle chiavi (KEK). Questo processo può essere utilizzato per crittografare blob o bucket di dati nell'archiviazione oggetti, nell'archiviazione blocchi e in interi volumi di dati. Per repository di dati sensibili nel cloud e carichi di lavoro come HPC (High - Performance Computing), le KEK devono essere originate da un HSM. Per i sottosistemi di memoria ad alte prestazioni che devono rispettare i limiti delle prestazioni, è di vitale importanza che i sistemi di gestione delle chiavi siano vicini a tali sottosistemi. La maggior parte dell'interazione tra i sottosistemi di memoria e i sistemi di gestione delle chiavi avviene tramite il KMIP (Key Management Interoperability Protocol).
Per ulteriori informazioni, fare riferimento alle seguenti esercitazioni:
Fortificazione degli ambienti Thales con cloud HSM
Le organizzazioni con un ambiente Thales CipherTrust Manager (CTM) esistente possono migliorare il loro profilo di sicurezza facendo in modo che CTM protegga la propria chiave master in un HSM FIPS 140-2 Livello 4 come mostrato nel diagramma. Le integrazioni CTM esistenti con i client KMIP come le periferiche di archiviazione, gli agent TDE come i database e i server Linux che utilizzano la passphrase LUKS per la codifica del volume non vengono influenzati da questa integrazione.
Altri prodotti di gestione delle chiavi Thales come DSM (Vormetric Data Security Manager), CipherTrust Cloud Key Manager (CCKM), Enterprise Key Management possono anche essere integrati con Hyper Protect Crypto Services in modo simile.
Per ulteriori dettagli, fare riferimento alla documentazione di Thales.
Utilizzo di Hyper Protect Crypto Services come HSM cloud tramite l'API Enterprise PKCS #11
Hyper Protect Crypto Services fornisce l'API Enterprise PKCS #11(EP11). L'applicazione cloud può utilizzare questa funzione tramite gRPC.
Enterprise PKCS #11 supporta i casi di utilizzo della crittografia apolide e consente la scalabilità e la ridondanza in un ambiente enterprise. Per alcuni casi di utilizzo intorno alla protezione degli asset, le chiavi possono essere gestite al di fuori del servizio crittografico, mentre tutte le operazioni sensibili vengono eseguite all'interno del limite HSM. È possibile utilizzare Enterprise PKCS #11 quando la gestione dello stato è un problema, soprattutto per le applicazioni enterprise che beneficiano del carattere napoletano di Enterprise PKCS #11.
You as a cloud developer può utilizzare interfacce standard dalle applicazioni per le operazioni crittografiche con integrità e riservatezza dei dati. Hyper Protect Crypto Services supporta la connettività sicura dall'applicazione cloud al cloud HSM, e consente il controllo enterprise di Cloud HSM per le chiavi di applicazione.
Come IBM sta iniziando a fornire una nuova serie di funzionalità per supportare i tuoi carichi di lavoro per passare al cloud, potrai beneficiare delle funzionalità crittografiche di Hyper Protect Crypto Services per i tuoi carichi di lavoro nuovi ed esistenti. Con l'introduzione di Enterprise PKCS #11 su gRPC (GREP11), hai accesso a una gamma completa di operazioni crittografiche, quali la firma, la convalida della firma, i codici di autenticazione dei messaggi e la creazione di numeri casuali.
Alcuni esempi di codice per l'utilizzo di GREP11 con Golang e JavaScript sono disponibili per la prova.
Operazioni successive
- Utilizza Hyper Protect Crypto Services come provider di chiavi root per gli altri servizi IBM Cloud. Per ulteriori informazioni sull'integrazione di Hyper Protect Crypto Services, vedi Integrazione dei servizi.
- Utilizzare Hyper Protect Crypto Services per fornire funzionalità di gestione chiavi altamente sicure per le tue chiavi di crittografia. Per ulteriori informazioni sulla gestione programmatica delle tue chiavi, consulta la documentazione di riferimento API del servizio di gestione delle chiaviHyper Protect Crypto Services.
- Per saperne di più sulla crittografia dei tuoi dati utilizzando la funzione cloud HSM di Hyper Protect Crypto Services, verificare il riferimento PKCS #11 API reference e GREP11 riferimento API doc.