设置 BYOHSM
您可以在 Hyper Protect Crypto Services 中启用自带 HSM (BYOHSM) 功能,以使用自己的本地硬件安全模块 (HSM)。 为此,您需要首先配置和部署 HSM 以使用服务实例。
自带 HSM (BYOHSM) 功能仅在基于 VPC 的区域中的标准套餐服务实例中可用。 有关 VPC 区域列表,请参阅 区域和位置。
准备工作
在可以配置和部署本地 HSM 之前,请确保根据提供者准则完成 HSM 购买和初始设置。 目前,Hyper Protect Crypto Services 仅支持 Thales HSM A7xx 模型。 有关更多信息,请参阅 受支持的 HSM 类型。
创建分区
要将您自己的 HSM 用于 Hyper Protect Crypto Services,需要在每个 HSM 中创建并初始化应用程序分区。 应用程序分区用于存储加密对象和执行操作。 确保为所有 HSM 中的应用程序分区设置相同的分区标签和分区加密主管密码。 密码由 Hyper Protect Crypto Services 在 PKCS #11 会话 API 登录过程中使用。
Thales SafeNet Luna Network HSM 使用两种类型的分区:
-
管理分区
每个 Luna Network HSM 只有一个管理分区。 它是在您初始化 HSM 时创建的。 管理分区用于设置和更改 HSM 范围的策略,创建或销毁应用程序分区,更新 HSM 固件和功能等。
-
应用程序分区
每个 Luna Network HSM 至少有一个应用程序分区。 应用程序分区用于执行加密操作并存储应用程序的加密对象。 对于多租户用例,您可以创建多个应用程序分区,每个分区都有自己的安全性和访问控制。 对于 A750 型,最多可以创建 5 个应用程序分区。 如果需要更多应用程序分区,那么需要 购买额外的分区许可证。
有关分区的更多信息,请参阅 Partition Administration Guide。
创建密钥
要将您自己的 HSM 用于 Hyper Protect Crypto Services,需要在 HSM 上创建以下密钥,并将它们作为持久令牌对象存储在分区内存中。 确保为每个密钥设置一个标签。 之后供应实例时,需要向 IBM 提供标签。
| 密钥类型 | 描述 |
|---|---|
| 主密钥加密密钥 (MKEK) | (256 位 AES 密钥) 用于在 Hyper Protect Crypto Services中打包和解包实例密钥的根级别加密密钥。 |
| 签名密钥 (SKEY) | (256 位 AES 密钥) 用于对 Hyper Protect Crypto Services中的实例密钥和用户密钥进行签名和验证。 |
| 导入密钥 (IKEY) | (192 位 DES3 密钥) 用于加密和解密要导入到 Hyper Protect Crypto Services中的密钥资料。 |
| 传输密钥加密密钥 (TKEK) | (10 对 RSA 非对称密钥) 用于安全地将您自己的密钥导入到 Hyper Protect Crypto Services中。 |
创建这些密钥时,需要设置一些特定参数。 请通过 创建支持案例 联系 IBM 以获取详细信息。
您可以使用一些工具来创建这些密钥。 请咨询 Thales 技术支持,以根据贵组织的安全策略和合规性需求找到创建这些密钥的安全方法。
网络连接最佳实践
要在将本地 HSM 连接到 Hyper Protect Crypto Services时获得更好的网络性能,可以参考以下最佳实践:
-
使用 IBM Cloud Direct Link Connect 可快速建立并交付到 IBM Cloud 基础架构的专用连接。 有关更多信息,请参阅 排序 IBM Cloud Direct Link Connect。
-
使用 IBM Cloud Transit Gateway 将使用 Direct Link 的本地网络连接到 IBM Cloud 网络。 有关更多信息,请参阅 IBM Cloud Transit Gateway。
-
将 10 GB 链路用于 Hyper Protect Crypto Services 与 HSM 之间的加密流量。
-
将 2 GB 链接用于管理和管理流量。 请注意,绑定提供备用容错可靠性,但不提供负载均衡。
Hyper Protect Crypto Services 需要针对 NTLS 协议的端口 1792 上的 HSM 的 TCP 连接。 要检查连接,请发出以下
netcat命令:nc -vz <HSM-ip-addr> 1792其中
HSM-ip-addr是 HSM 的 IP 地址。
为 HSM 连接准备信息
在 供应 Hyper Protect Crypto Services 实例 之前,需要准备以下信息:
要使用 BYOHSM 供应实例,您需要联系 IBM 以将帐户添加到允许列表,并为要用于 Hyper Protect Crypto Services的所有 HSM 提供此信息。
| 属性 | 描述 |
|---|---|
| HSM IP 地址 | HSM 的 IP 地址。 |
| HSM 服务器证书 | Thales HSM 所使用的 NTLS 通信需要 HSM 与 Hyper Protect Crypto Services之间的证书交换。 您需要在 HSM 上创建 TLS 证书,并为 Hyper Protect Crypto Services 提供证书以验证来自 HSM 的通信。 |
| 分区标签 | 您为要使用的 Hyper Protect Crypto Services 创建的应用程序分区的名称。 |
| 分区加密主管密码 | Hyper Protect Crypto Services 的凭证,用于登录到相应的应用程序分区以执行密钥操作。 |
| 主密钥标签 | 主密钥加密密钥 (MKEK) 的标签或名称。 Hyper Protect Crypto Services 使用该标签来引用 PKCS #11 API 调用中的主密钥。 |
| 签名密钥标签 | 签名密钥 (SKEY) 的标签或名称。 它用于数据认证,例如数据签名和验证。 |
| 导入密钥标签 | 导入密钥 (IKEY) 的标签或名称。Hyper Protect Crypto Services 使用此密钥来加密或解密要导入的密钥资料。 |
| 传输密钥加密密钥标签前缀 | 传输密钥加密密钥的标签前缀,用于安全地导入您自己的密钥。 |
下一步
收集所需的所有信息并设置网络连接后,可以联系 IBM 并 使用自带 HSM 供应 Hyper Protect Crypto Services 实例。