IBM Cloud Docs
使用 Hyper Protect Crypto Services 管理受监管工作负载

使用 Hyper Protect Crypto Services 管理受监管工作负载

由于 IBM Cloud® Hyper Protect Crypto Services 是基于 FIPS 140-2 Level 4 认证的硬件构建的,因此它提供金融机构所依赖的相同加密技术。 通过使用 Hyper Protect Crypto Services对工作负载进行加密,可满足监管行业 (例如金融行业) 的安全需求。

为了帮助防止对敏感数据进行未经授权的访问,Hyper Protect Crypto Services 提供了“保留自己的密钥”功能,供您保留对加密密钥的独占访问权。 未经授权的参与方 (包括 IBM Cloud 管理员) 无法随时访问您的加密密钥。 如果应用程序使用这些密钥对数据进行加密,那么任何其他参与方都无权访问您的数据。

为了降低被盗专用密钥的风险,云用户将用于网络加密的传输层安全性 (TLS) 证书的专用密钥存储在硬件安全模块 (HSM) 中。 此方法与 Hyper Protect Crypto Services提供的“保留自己的密钥”一致。 专用密钥从不离开 HSM,这有助于防止对密钥进行未经授权的访问。

使用 Hyper Protect Crypto Services 对受监管工作负载进行加密

通过 Hyper Protect Crypto Services,您有两个用于加密工作负载的选项:

  • 使用密钥管理服务通过提供的密钥管理服务,您可以从包络加密中获益以保护密钥。 包络加密的做法是使用数据加密密钥 (DEK) 对数据进行加密,然后使用您可完全管理的根密钥对 DEK 进行打包。 Hyper Protect Crypto Services 实例中的根密钥也由 Hyper Protect Crypto Services 实例的硬件安全模块 (HSM) 中保护的主密钥打包和保护。 通过利用密钥管理服务,通过包络加密机制保护受监管的工作负载。

    有关密钥管理服务的更多信息,请参阅 将加密密钥引入云使用包络加密保护数据

  • 使用 GREP11 和 PKCS #11 API Hyper Protect Crypto Services 提供了一组在云 HSM 中运行的加密功能。 您可以执行加密操作,例如密钥生成,数据加密和签名验证。 为此,您可以使用 PKCS #11 API 或 Enterprise PKCS #11 通过 gRPC (GREP11) 访问云 HSM API。 这些操作可确保专用密钥和数据受符合法规要求的 HSM 保护。

    PKCS #11 API 和 GREP11 API 都可访问由 Hyper Protect Crypto Services 云 HSM 启用的 EP11 库以执行加密功能。 与 GREP11 API 相比,标准 PKCS #11 API 的实现支持可移植应用程序并提供更广泛的加密操作。

    有关这两个 API 及其不同之处的更多信息,请参阅 云 HSM 简介

受监管的工作负载用例

以下用例显示了 Hyper Protect Crypto Services 如何使用其他 IBM Cloud 服务来管理受监管的工作负载。 要获取可以与 Hyper Protect Crypto Services集成的 IBM Cloud 服务的完整列表,请参阅 将 IBM Cloud 服务与 Hyper Protect Crypto Services

使用 Hyper Protect Crypto Services 管理 VMware 监管的工作负载

VMware vSphere® 加密是 IBM Cloud for VMware® 受监管工作负载所依赖的工具,用于在静态或动态期间保护管理和生产虚拟机。Hyper Protect Crypto Services (通过 IBM Cloud 是 vCenter所需的 KMS。Hyper Protect Crypto Services 是必需服务。 可以通过 Hyper Protect Crypto Services进行本地密钥管理服务集成。

有关加密工作方式的更多信息,请参阅 VMware 参考文档

有关如何使用 Hyper Protect Crypto Services对 VMware 监管的工作负载进行加密的详细教程,请参阅 教程: 在 Hyper Protect Crypto Services 中配置 KMIP 以进行密钥管理和分发。 还提供了 演示视频 供您参考。

使用 Hyper Protect Crypto Services 管理 IBM Cloud Object Storage 受监管的工作负载

IBM Cloud Object Storage 是 IBM Cloud 服务,供您在分配的存储区中存储无限数量的数据,以便可以从云中的任何位置访问数据。Hyper Protect Crypto Services 可帮助您保护存储在具有业内最高安全级别的 Object Storage 中的数据的加密密钥,并且仅允许您访问这些密钥。

有关集成的更多信息,请参阅 Object Storage 参考文档。 还提供了 演示视频 供您参考。

开始使用 Hyper Protect Crypto Services 管理受监管工作负载

要使用 Hyper Protect Crypto Services管理受监管的工作负载,请参阅 入门教程

参考信息

有关在 IBM Cloud 中设置环境以管理受监管工作负载的更多信息,请参阅以下主题: