Hyper Protect Crypto Services 体系结构

以下体系结构图显示了如何与 Hyper Protect Crypto Services 组件进行交互以保护敏感数据和密钥。

以下列表详细说明了每个组件。

Unified Key Orchestrator API

用于与 Unified Key Orchestrator 模块交互的 API，用于管理多个云的密钥和密钥库。 您可以使用 UI 或 API 与 Unified Key Orchestrator 进行交互。

密钥管理服务 API

用于与密钥管理服务 (KMS) 模块交互以管理根密钥和标准密钥的 API。

PKCS #11 API

用于执行加密操作的行业标准 API。Hyper Protect Crypto Services 通过与云 HSM 中的 Enterprise PKCS #11 (EP11) 模块进行交互的 PKCS #11 库实现 API 函数。

GREP11 API

Enterprise PKCS #11 over gRPC API 的缩写。 它是加密操作的无状态接口，它还利用云 HSM 中的 EP11 模块。

管理实用程序

管理实用程序由“智能卡实用程序”和“可信密钥输入”(TKE) 应用程序组成，它们为您初始化服务实例提供 GUI。 通过使用存储在智能卡上的签名密钥和主密钥部件，管理实用程序提供了一种方法来初始化具有最高安全级别的服务实例。

TKE CLI 插件

使用 IBM Cloud CLI 来初始化服务实例的 CLI 插件。 根据是否将恢复加密单元分配给实例，插件提供了两种实例初始化方法: 使用恢复加密单元和使用密钥部件文件。

操作加密单元

每个服务实例都由多个可操作的加密单元组成。 操作加密单元位于同一区域的不同可用性区域中，以实现高可用性。 它们用于管理加密密钥和执行加密操作。 创建实例时指定的加密单元数是可操作加密单元数。

恢复加密单元

恢复加密单元的目的是生成随机主密钥值并保存主密钥值的备份副本。 您可以使用恢复加密单元来装入主密钥，并在主密钥损坏或丢失时复原主密钥。

目前，eu-es 区域中的服务实例不支持恢复加密单元。 在其他受支持区域中供应服务实例时，缺省情况下，将启用用于在灾难恢复区域中的恢复加密单元中备份主密钥的选项。

如果使用智能卡来装入主密钥，那么恢复加密单元不适用并且可以忽略。 在这种情况下，主密钥的备份依赖于智能卡的备份。

有关 Hyper Protect Crypto Services 组件的更多信息，请参阅 组件和概念。

Hyper Protect Crypto Services 工作负载隔离

Hyper Protect Crypto Services 是单租户区域服务，支持具有以下特征的基于租户的完整工作负载隔离:

• Hyper Protect Crypto Services 中提供专用密钥库是为了确保数据隔离和安全性。
• 您可以独占控制硬件安全模块 (HSM) 和主密钥。 特权用户被锁定在外，以保护系统管理员凭证或 root 用户凭证不被滥用。
• Secure Service Container(SSC) 提供企业客户期望的 IBM LinuxONE 技术的企业级安全性和可坚不可摧性。

下图说明了如何隔离每个租户的 Hyper Protect Crypto Services 工作负载。

服务依赖项

Hyper Protect Crypto Services 依赖于以下 IBM Cloud 服务:

• IBM Cloud® Identity and Access Management (IAM)
• IBM Cloud Databases for PostgreSQL
• IBM Cloudant
• IBM Log Analysis
• IBM Cloud Activity Tracker
• IBM Cloud Monitoring