自带 HSM 简介
通过在 Hyper Protect Crypto Services中启用自带硬件安全模块 (BYOHSM) 功能,您可以使用自己的本地 HSM 来生成加密密钥,同时仍利用云中的密钥管理服务。
自带 HSM (BYOHSM) 功能仅在基于 VPC 的区域中的标准套餐服务实例中可用。 有关 VPC 区域列表,请参阅 区域和位置。
什么是自带 HSM?
您可以将自己的内部部署 HSM 用于 Hyper Protect Crypto Services 实例,而不是将 IBM提供的云 HSM 用于密钥生成和管理。 自带 HSM 可将本地密钥管理功能扩展至云,并为受监管的工作负载创建可扩展,统一且安全的混合云生态系统。 以下体系结构图显示了 Hyper Protect Crypto Services 实例与未启用此功能的实例之间的差异。
通过自带 HSM 功能,您可以从以下方面受益:
- 数据主权: 您可以对 HSM 和加密密钥进行物理控制,这有助于遵守数据主权法规。
- 简化 HSM 管理: 如果您已在企业中供应 HSM,那么可以继续将其用于 Hyper Protect Crypto Services。 通过这种方式,您可以统一控制 HSM 管理和一致的密钥管理基础结构。
但是,与云 HSM 相比,本地 HSM 还具有以下缺点:
- 高成本: 如果您没有本地 HSM,那么需要至少购买一个供 Hyper Protect Crypto Services 使用。
- 全面负责硬件设置和维护: 您需要根据提供者的准则完成 HSM 的初始设置,配置和部署 HSM 以使用 Hyper Protect Crypto Services,并使 HSM 处于安全的位置和良好状态。
- 无法访问云 HSM 的 PKCS #11 和 GREP11 API: 通过 BYOHSM,您的 Hyper Protect Crypto Services 实例不再使用云 HSM 进行密钥生成和管理。 因此,您无法使用 PKCS #11 和 GREP11 API。
如何启用自带 HSM?
要启用自带 HSM 功能,需要完成以下步骤:
-
购买并设置本地 HSM。
您负责在自己的基础架构中初始设置要用于服务实例的 HSM。 确保遵循 HSM 提供者的相关产品准则。 目前,Hyper Protect Crypto Services 仅支持 Thales HSM A7xx 模型。 有关更多信息,请参阅 限制和作用域。
-
配置和部署 HSM 以连接到实例。
您需要配置网络,创建分区和特定密钥,并准备连接所需的信息。 要实现高可用性,建议至少部署两个 HSM。 有关更多信息,请参阅 部署 HSM 以用于 Hyper Protect Crypto Services。
-
在启用 BYOHSM 的情况下供应 Hyper Protect Crypto Services 实例。
收集所有所需信息后,可以联系 IBM,并在启用自带 HSM 功能的情况下创建 Hyper Protect Crypto Services 实例。 有关更多信息,请参阅 使用自带 HSM 供应实例。
供应实例后,无法启用或禁用 BYOHSM 功能。
限制和范围
当您决定是否启用此功能时,可能需要考虑以下限制:
-
受支持的 HSM 类型
当前,Hyper Protect Crypto Services 支持具有特定固件和软件版本的以下 HSM 类型:
- Thales SafeNet Luna Network A730 和 A750 型 HSM
- Application/OS 版本: 7.4.2 或更高版本
- 固件版本: 7.3.3 或更高版本
如果使用较旧版本,请确保将固件和软件版本升级到最新版本。 有关更多信息,请参阅 HSM 更新和升级。
为了实现安全最佳实践,建议以 FIPS 方式运行 HSM,这允许 HSM 创建符合 FIPS 的密钥。 要检出当前方式,请使用 LunaSH 命令
hsm showpolicies
。Enable non-FIPS algorithms
的值应为Disallowed
。 -
有限的区域可用性
自带 HSM (BYOHSM) 功能仅在基于 VPC 的区域中可用。 有关 VPC 区域列表,请参阅 区域和位置。 但是,只要网络连接在 Hyper Protect Crypto Services 实例与 HSM 之间工作,您就可以在其他位置设置自己的 HSM。 建议您确保 HSM 与实例之间的物理距离非常近,并使用专用网络进行连接。
职责
启用自带 HSM 功能后,Hyper Protect Crypto Services 实例将扩展至您自己的基础结构。 IBM 不再全面管理服务实例,您需要了解自己的职责。
-
用户职责
- 确保已将 HSM 正确配置为使用 Hyper Protect Crypto Services。 您负责在自己的基础架构中购买和设置 HSM。 有关受支持的 HSM 类型的更多信息,请参阅 限制和作用域。 确保遵循 HSM 提供者提供的有关其设置,维护和故障诊断的相关产品文档。 IBM 仅对 Hyper Protect Crypto Services 实例问题 (而不是 HSM 的任何问题) 导致的错误负责。
- 确保 HSM 与 Hyper Protect Crypto Services 实例之间的网络连接。 有关如何建立网络的更多信息,请参阅 网络连接最佳实践。
- 在启用自带 HSM 功能的情况下供应实例之前,请与 IBM 联系。 您必须提供 连接到 HSM 所需的信息,以便 IBM 可以首先为实例配置和部署后端环境。
-
IBM 职责
- 确保 Hyper Protect Crypto Services 实例的正常操作和维护。
- 确保密钥操作和密钥相关流程的安全性。
- 支持与 Hyper Protect Crypto Services 实例相关的问题,而不是与 HSM 相关的问题。