IBM Cloud Docs
一般常见问题及解答

一般常见问题及解答

阅读以获取有关 IBM Cloud® Hyper Protect Crypto Services的常规问题的答案。

什么是 IBM Cloud Hyper Protect Crypto Services?

IBM Cloud Hyper Protect Crypto Services 是提供以下功能的专用密钥管理服务和云 硬件安全模块(HSM)A physical appliance that provides on-demand encryption, key management, and key storage as a managed service. 服务:

  • 使用 FIPS 140-$tag1 级别 4 认证的 HSM 来保留自己的密钥 (KYOK),以确保您完全控制没有 IBM Cloud 管理员有权访问密钥的整个密钥层次结构。
  • 单租户密钥管理系统,用于使用标准化 API 创建,导入,轮换和管理密钥。
  • 使用客户拥有的密钥和无缝 与其他 IBM Cloud 数据和存储服务集成 进行静态数据加密。
  • 用于加密操作的 PKCS #11 库和 Enterprise PKCS #11 (EP11) 库,由具有云中最高安全级别的 Hyper Protect Crypto Services HSM 启用。

什么是 Unified Key Orchestrator?

Unified Key Orchestrator 提供对企业的混合多云环境中加密密钥的唯一云本机单点控制。

  • Unified Key Orchestrator 支持您在包含本地环境的混合多云环境中同时使用“保留自己的密钥”和“自带密钥”功能。
  • Unified Key Orchestrator 管理和编排 IBM Cloud上多云环境中的所有密钥。

什么是密钥管理服务?

Hyper Protect Crypto Services 提供单租户密钥管理服务以创建,导入,轮换和管理密钥。 一旦删除了加密密钥,您就可以放心,受这些密钥保护的数据将不再可检索。 该服务基于 FIPS 140-2 Level 4 认证的 HSM 构建,后者提供云行业的最高级别保护。Hyper Protect Crypto Services 提供与 IBM Key Protect for IBM Cloud 相同的 密钥管理服务 API,供您构建应用程序或利用 IBM Cloud 数据和基础架构服务。

什么是硬件安全模块?

硬件安全模块 (HSM) 在用于敏感数据的防篡改硬件设备中,提供安全的密钥存储和加密操作。 HSM 使用密钥材料而不将其暴露在硬件的加密边界之外。

什么是云 HSM?

云 HSM 是基于云的硬件安全模块,用于管理您自己的加密密钥,并在 IBM Cloud中执行加密操作。Hyper Protect Crypto Services 是基于 FIPS 140-2 级别 4 认证的 HSM 构建的,它提供云行业中最高级别的保护。 通过“保留自己的密钥”(KYOK) 支持,客户可以配置 主密钥An encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key. 并获取云 HSM 的所有权。 客户对整个密钥层次结构具有完全控制和权限,其中没有 IBM Cloud 管理员有权访问您的密钥。

Hyper Protect Crypto Services 如何提供单租户云服务?

Hyper Protect Crypto Services 是单租户云服务,因为每个客户都有一个专用软件堆栈和每个加密单元的专用 HSM 域。 作为客户,您可以放心地与仅处理数据的专用服务堆栈进行交互。 有关服务体系结构的更多信息,请参阅 Hyper Protect Crypto Services 如何工作

用户和 IBM Cloud 对于 Hyper Protect Crypto Services有哪些职责?

Hyper Protect Crypto Services 是 IBM Cloud上的平台即服务。IBM Cloud 负责管理服务器,网络,存储器,虚拟化,中间件和运行时,以确保良好的性能和高可用性。 客户负责管理数据和应用程序,特别是存储在 Hyper Protect Crypto Services 中的加密密钥以及使用密钥或加密功能进行加密操作的用户应用程序。

此服务与 IBM Cloud HSM 有何不同?

IBM 具有 IaaS IBM Cloud HSM 服务,此服务与 Hyper Protect Crypto Services不同。IBM Cloud HSM 符合 FIPS 140-2 级别 3。Hyper Protect Crypto Services 提供受管 HSM 服务,在此服务中,除了装入密钥外,无需其他特殊技能来管理 HSM。Hyper Protect Crypto Services 是唯一提供基于 FIPS 140-$tag3 级别 4 认证硬件构建的 HSM 的云服务,允许用户控制主密钥。

Hyper Protect Crypto Services 与 Key Protect 有何不同?

IBM Key Protect for IBM Cloud 是支持自带密钥 (BYOK) 功能的共享多租户密钥管理服务。 该服务基于 FIPS 140-2 级别 3 认证的 HSM 进行构建,这些 HSM 由 IBM管理。

Hyper Protect Crypto Services 是单租户密钥管理服务和云 HSM,用于全面管理加密密钥和执行加密操作。 此服务基于 FIPS 140-2 级别 4 认证的 HSM 进行构建,并支持“保留自己的密钥”(KYOK) 功能。 您可以获取所有权以确保您完全控制整个密钥层次结构,即使从 IBM Cloud 管理员也无法进行访问。Hyper Protect Crypto Services 还支持用于加密操作 (例如数字签名和安全套接字层 (SSL) 卸载) 的行业标准,例如公用密钥密码术标准 #11 (PKCS #11)。

“保留自己的密钥”与“自带密钥”有何不同?

自带密钥 (BYOK) 是一种让您使用自己的密钥来加密数据的方法。 提供 BYOK 的密钥管理服务通常是多租户服务。 通过这些服务,您可以从本地硬件安全模块 (HSM) 导入加密密钥,然后管理这些密钥。

通过“保留自己的密钥”(KYOK),IBM 提供了业界领先的控制级别,您可以对自己的加密密钥进行操作。 除 BYOK 功能外,KYOK 还提供了 IBM 无法访问客户密钥的技术保证。 通过 KYOK,您可以独占地控制包括主密钥在内的整个密钥层次结构。

下表详细描述了 KYOK 与 BYOK 之间的差异。

表 1. 将 BYOK 与 KYOK 进行比较
云密钥管理功能 BYOK 了解
管理加密密钥生命周期
与其他云服务集成
从本地 HSM 中自带密钥
运营保证-云服务提供商无法访问密钥。
技术保证- IBM 无法访问密钥。
单租户专用密钥管理服务。
对主密钥的独占控制。
最高级别的安全性-FIPS 140-2 级别 4 HSM。
使用智能卡管理主密钥。
正在执行关键仪式。

我可以对 IBM Cloud Hyper Protect Crypto Services执行哪些操作?

IBM Cloud Hyper Protect Crypto Services 可用于密钥管理服务和加密操作。

Hyper Protect Crypto Services 可以与 IBM Cloud 数据和存储服务以及 VMware® vSphere® 和 VSAN 集成,以提供静态数据加密。 受管云 HSM 支持行业标准,例如 Enterprise Public-Key Cryptography Standards (PKCS) #11。 应用程序可以通过 Enterprise PKCS #11 (EP11 API) 集成加密操作,例如数字签名和验证。 EP11 库提供了类似于业界标准 PKCS #11 应用程序编程接口 (API) 的接口。

Hyper Protect Crypto Services 利用 gRPC 之类的框架来启用远程应用程序访问。gRPC 是一个现代开放式源代码高性能远程过程调用 (RPC) 框架,可连接数据中心内和数据中心之间的服务,以实现负载均衡,跟踪,运行状况检查和认证。 应用程序通过 gRPC 远程调用 EP11 API 来访问 Hyper Protect Crypto Services。

有关更多信息,请参阅 Hyper Protect Crypto Services 用例

如何知道 Hyper Protect Crypto Services 是否适合我的公司?

如果您关注云中的数据安全性和合规性,那么可以在云可使用的 HSM 中保持对数据加密和 签名密钥An encryption key that is used by the crypto unit administrator to sign commands that are issued to the crypto unit. 的完全控制。 HSM 由行业领先的云数据和数字资产安全性提供支持。 通过安全性和法规合规性支持,您的数据已加密,特权访问受到控制。 甚至 IBM Cloud 管理员都无权访问密钥。

通过 Hyper Protect Crypto Services,您可以确保法规合规性并加强数据安全性。 您的数据在完全受管的专用密钥管理系统和支持“保留自己的密钥”的云 HSM 服务中受到加密密钥的保护。 “保管自己的密钥”以用于专用云 HSM 保护的云数据加密。 如果运行的是法规密集型应用程序或具有敏感数据的应用程序,那么此解决方案适合您。

主要特点如下:

  • 对整个密钥层次结构 (包括主密钥) 的完全控制。
  • 用于敏感数据的防篡改硬件设备。
  • 面向云数据和数字资产的行业领先的安全性。
  • 通过内置保护,防止特权访问威胁,降低数据受损风险。
  • 通过数据加密实现合规性,并控制特权访问。
  • 保留您自己的密钥 (KYOK),以确保您完全控制整个密钥层次结构。

Hyper Protect Crypto Services 如何工作?

使用 Hyper Protect Crypto Services时,将创建具有多个加密单元的服务实例,这些单元位于区域中的不同可用性专区中。 服务实例基于 Secure Service Container(SSC)构建,这可确保隔离的容器运行时环境,并提供企业级别的安全性和可坚不可摧性。 服务实例中的多个加密单元将自动同步并在多个可用性区域之间进行负载均衡。 如果无法访问一个可用性区域,那么可以互换使用服务实例中的加密单元。

加密单元是表示硬件安全模块和专用于硬件安全模块的相应软件堆栈的单个单元,用于加密。 加密密钥在加密单元中生成,并存储在专用密钥库中,供您通过标准 RESTful API 进行管理和使用。 通过Hyper Protect Crypto Services,您可以通过装入主密钥并通过 CLI 或“管理实用程序”应用程序分配自己的管理员来获取加密单元的所有权。 通过这种方式,您可以对加密密钥进行独占控制。

Hyper Protect Crypto Services 基于 FIPS 140-2 级别 4 HSM 支持企业 PKCS #11 进行加密操作。 可以通过 gRPC API 调用来访问这些函数。

Hyper Protect Crypto Services 使用的是什么加密卡?

如果您在 区域 中创建基于虚拟私有云 (VPC) 基础结构的实例,那么 Hyper Protect Crypto Services 将使用 IBM 4769 加密卡,也称为 Crypto Express 7S (CEX7S)。 如果在其他非 VPC 区域中创建实例,那么 Hyper Protect Crypto Services 将使用 IBM 4768 加密卡,也称为 Crypto Express 6S (CEX6S)。 IBM CEX6S 和 IBM CEX7S 都通过了 FIPS 140-2 级别 4 认证,这是商业加密设备可实现的最高认证级别。 您可以在以下站点检查证书:

在哪些 IBM 区域中提供了 Hyper Protect Crypto Services ?

目前,Hyper Protect Crypto Services 在达拉斯和法兰克福可用。 有关受支持区域的最新列表,请参阅 区域和位置

在 Hyper Protect Crypto Services 不可用的数据中心内,我有工作负载。 我仍然能预订此服务吗?

是。可以在全球范围内远程访问 Hyper Protect Crypto Services 以获取密钥管理和云 HSM 功能。