概述-标准套餐

IBM Cloud® Hyper Protect Crypto Services 是专用密钥管理服务和硬件安全模块(HSM)A physical appliance that provides on-demand encryption, key management, and key storage as a managed service.，为您提供用于云数据加密的“保留自己的密钥”功能。基于 FIPS 140-2 级别 4 认证的硬件，Hyper Protect Crypto Services 为您提供加密密钥的独占控制。

观看以下视频以了解 Hyper Protect Crypto Services 如何在云中为您提供独占加密密钥控制和数据保护:

为什么选择 IBM Cloud Hyper Protect Crypto Services？

数据和信息安全对 IT 环境来说必不可少、至关重要。随着更多数据迁移到云端，保护数据成为一项非凡的挑战。 Hyper Protect Crypto Services 基于 IBM LinuxONE 技术进行构建，可帮助确保只有您有权访问您的密钥和数据。由专用客户控制的 HSM 提供的单租户密钥管理服务可帮助您轻松创建和管理加密密钥。或者，您可以将自己的加密密钥引入到云中。该服务使用与多租户密钥管理服务 Key Protect相同的密钥提供程序 API，以提供采用 IBM Cloud 服务的一致方法。

Hyper Protect Crypto Services 是由您控制的专用 HSM。IBM Cloud 管理员没有访问权。该服务在通过 FIPS 140-2 级别 4 认证的硬件上构建，该级别是行业内任何云提供者提供的最高级别。 IBM 是第一个为 HSM 主密钥An encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key. 初始化提供云命令行界面 (CLI) 以帮助您获取云 HSM 的所有权。您还可以使用 IBM Hyper Protect Crypto Services 管理实用程序来装入主密钥。管理实用程序创建主密钥部件并将其存储在智能卡上，并且从不向工作站和云公开您的密钥，从而确保对您的密钥进行最高级别的保护。

Hyper Protect Crypto Services 可以与 IBM Cloud 数据和存储服务以及 VMware® vSphere® 和 VSAN 集成，以提供静态数据加密。

受管云 HSM 通过使用公用密钥密码术标准 (PKCS) #11支持业界标准加密操作。您不需要更改使用 PKCS #11 标准的现有应用程序，以使其在 Hyper Protect Crypto Services 环境中运行。 PKCS #11 库接受来自应用程序的 PKCS #11 API 请求，并远程访问云 HSM 以执行相应的加密功能，例如数字签名和验证。

Hyper Protect Crypto Services还支持基于 gRPC (GREP11) 的企业 PKCS #11。 EP11 库提供类似于业界标准 PKCS #11 应用程序编程接口(API)的接口。

通过 Hyper Protect Crypto Services的内置加密，您可以使用敏感数据轻松构建云应用程序。Hyper Protect Crypto Services 提供对数据和加密密钥 (包括主密钥) 的完整控制。该服务还可帮助您的企业通过提供对外部用户和特权用户访问数据和密钥的独占控制的技术来满足法规合规性要求。

Hyper Protect Crypto Services 如何工作？

以下是 Hyper Protect Crypto Services 体系结构的一些亮点:

应用程序通过 PKCS #11 API 或 GREP11 API 连接到 Hyper Protect Crypto Services。
Hyper Protect Crypto Services 中提供专用密钥库是为了确保数据隔离和安全性。特权用户被锁定在外，以保护系统管理员凭证或 root 用户凭证不被滥用。
Secure Service Container (SSC) 提供企业客户期望 IBM LinuxONE 技术提供的企业级安全性和可坚不可摧性。
支持符合 FIPS 140-2 4 级的云 HSM，可实现对保密信息的最高级别物理保护。

有关 Hyper Protect Crypto Services的体系结构图，请参阅服务体系结构，工作负载隔离和依赖关系。

主要功能

Hyper Protect Crypto Services 提供了密钥管理和云 HSM 功能：

密钥管理服务

密钥生命周期管理

Hyper Protect Crypto Services 提供单租户密钥管理服务，以使用标准化 API 创建，导入，轮换和管理密钥。删除加密密钥后，您可以放心，您的数据不再可检索。
IBM Cloud 数据和工作负载服务的加密

通过与其他 IBM Cloud 服务集成，Hyper Protect Crypto Services 提供将您自己的加密引入云的功能。该服务通过打包与云服务关联的加密密钥，为云数据提供双层保护。
访问权管理和审计

Hyper Protect Crypto Services 与 Cloud Identity and Access Management (IAM) 集成，以启用对用户对服务资源的访问权的精细控制。有关更多信息，请参阅管理用户访问权。

您还可以使用 IBM Cloud Activity Tracker来监视和审计 Hyper Protect Crypto Services 的事件和活动。有关更多信息，请参阅审计 Hyper Protect Crypto Services。

云硬件安全模块

客户控制的 HSM

使用“保留自己的密钥”，您可以通过分配自己的管理员并使用 Hyper Protect Crypto Services装入主密钥来获取 HSM 的所有权。这将确保您完全控制整个密钥层次结构，即使从 IBM Cloud 管理员也无法进行访问。
加密操作

Hyper Protect Crypto Services 支持基于 gRPC (GREP11) API 的标准 PKCS #11 API 和 Enterprise PKCS #11 用于加密操作。这些操作包括生成密钥，对数据进行加密和解密，对数据进行签名以及验证签名。加密功能在 HSM 中执行，并且可以通过 API 访问，从而为应用程序提供硬件保护。
安全认证

该服务基于 FIPS 140-2 Level 4 认证的硬件构建，这是业内提供的最高安全级别。 HSM 也经认证，以符合遵循“通用标准”第 3 部分的 EAL 4。

下一步

要获取有关使用 Hyper Protect Crypto Services 的整个教程，请查看 IBM CloudHyper Protect Crypto Services 入门。
要了解有关以编程方式管理密钥的更多信息，请查看 Hyper Protect Crypto Services 密钥管理服务 API 参考文档。
要了解有关 PKCS #11 API 的更多信息，请参阅 PKCS 简介 #11 和 PKCS #11 API 参考。
要了解有关 GREP11 API 的更多信息，请参阅介绍 EP11 over gRPC 和 GREP11 API 参考。
有关 Hyper Protect Crypto Services 收到的合规性证书的更多信息，请参阅安全性与合规性。
要查找有关可用于集成的 IBM Cloud 服务的更多信息，请参阅将 IBM Cloud 服务与 Hyper Protect Crypto Services 集成。
要查找 Hyper Protect Crypto Services 标准套餐与 Hyper Protect Crypto Services 与 Unified Key Orchestrator之间的差异，请参阅 Hyper Protect Crypto Services 与 Unified Key Orchestrator 与 Hyper Protect Crypto Services 标准套餐有何不同?