IBM Cloud Docs
介绍服务实例初始化方法- Unified Key Orchestrator 套餐

介绍服务实例初始化方法- Unified Key Orchestrator 套餐

根据您的业务需求和安全需求,Hyper Protect Crypto Services 提供了以下三种方法来初始化服务实例。

下表对三种方法进行了比较:

表 1. 比较初始化服务实例的三种方法
访问 工具 主密钥存储器 主密钥备份 主密钥轮换
使用智能卡和 Hyper Protect Crypto Services 管理实用程序 管理实用程序 主密钥由存储在智能卡上的两个或三个主密钥部分组成。 您负责使用智能卡备份主密钥。 您需要在智能卡上准备新的主密钥部件,然后才能轮换服务实例的主密钥。
使用恢复加密单元 IBM Cloud TKE CLI 插件 主密钥将自动生成并存储在服务实例的恢复加密单元中。 将在恢复加密单元中自动备份主密钥。 如果主密钥丢失或损坏,那么可以从备份中恢复主密钥。 您不需要为轮换准备新的主密钥。 将在恢复加密单元中自动生成新的主密钥,然后将其传播到操作加密单元和其他恢复加密单元。
使用密钥部件文件 IBM Cloud TKE CLI 插件 主密钥由存储在本地工作站文件中的两个或三个主密钥部分组成。 本地文件充当主密钥的备份。 您需要确保正确保存文件,并且只有主密钥管理人知道密码。 您需要在本地工作站上准备新的主密钥部件,然后才能轮换服务实例的主密钥。

如果使用智能卡来装入主密钥,那么恢复加密单元不适用并且可以忽略。 在这种情况下,主密钥的备份依赖于智能卡的备份。

使用智能卡和管理实用程序初始化服务实例

为了实现最高级别的安全性,您可以将智能卡与 Hyper Protect Crypto Services 管理实用程序一起用于初始化服务实例。 此方法使用智能卡来存储签名密钥和主密钥部件。 签名密钥和主密钥部件从不显示在智能卡外部的清除中。

了解管理实用程序

管理实用程序由两个使用智能卡来配置服务实例的应用程序组成:“智能卡实用程序”和“可信密钥输入”(TKE) 应用程序。 要使用管理实用程序,您需要 订购 IBM支持的智能卡和智能卡阅读器,并遵循 使用智能卡和管理实用程序初始化服务实例 中的指示信息。

下图说明了使用“管理实用程序”来初始化服务实例时各个组件之间的关系。

使用智能卡和管理实用程序的体系结构
图 1。 使用智能卡和管理实用程序来初始化服务实例

  • 智能卡实用程序

    作为管理实用程序的一部分安装的两个应用程序之一。 它设置和管理由“可信密钥输入”应用程序使用的智能卡。

  • “可信密钥条目”应用程序

    作为管理实用程序的一部分安装的两个应用程序之一。 它使用智能卡在服务实例中装入主密钥,并对服务实例执行其他配置任务。

了解智能卡

一张智能卡看起来就像一张带有嵌入式芯片的信用卡。 该芯片可执行一组有限的加密操作,并装入定制软件。 在“管理实用程序”中,“智能卡实用程序”装入智能卡上的定制软件以创建两种类型的智能卡:

  • 认证中心智能卡

    认证中心智能卡建立一组可协同工作的智能卡,称为智能卡区域。

  • EP11 智能卡

    企业 PKCS #11 (EP11) 智能卡包含管理员签名密钥和多达 85 个主密钥部件。 EP11 智能卡上的定制软件包含使用存储在智能卡上的专用签名密钥对命令进行签名以及对主密钥部件进行加密以传递到加密单元的功能。

智能卡受个人识别号 (PIN) 保护,在智能卡执行操作之前,必须在智能卡读卡器 PIN 板上输入个人识别号 (PIN)。 EP11 智能卡具有单个 PIN。 认证中心智能卡有两个 PIN,必须输入这两个 PIN 才能启用操作。

使用智能卡时,请考虑以下建议:

  • 在单独的 EP11 智能卡上创建每个主密钥部件,并将每个主密钥部件分配给不同的人员。 创建所有智能卡的备份副本,并将其存储在安全的位置。

  • 订购 10 或 12 个智能卡,并按以下方式进行配置:

    • 创建认证中心智能卡和备份认证中心智能卡。

      可以使用智能卡实用程序创建备份认证中心智能卡。 从菜单中选择 CA 智能卡 > 备份 CA 智能卡,然后遵循提示。

    • 创建四个 EP11 智能卡以存储管理员签名密钥。 在两个 EP11 智能卡上分别生成管理员签名密钥,并将其复制到其他两个备份智能卡。

      可以将 EP11 智能卡的内容复制到使用“可信密钥输入”应用程序在同一智能卡区域中创建的另一个 EP11 智能卡。 在 智能卡 选项卡上,单击 复制智能卡,然后遵循提示进行操作。

    • 创建四个或六个 EP11 智能卡以存储主密钥部件。 根据装入主密钥时的密钥部件数,在两个或三个智能卡上分别生成 EP11 主密钥部件。 将每个密钥部件值复制到备份 EP11 智能卡。

    有关如何计算所需的智能卡数量,请参阅 常见问题: 是否有关于如何设置智能卡的建议?

  • 为了提高安全性,请在更多 EP11 智能卡上生成管理员签名密钥,并将加密单元中的签名阈值设置为大于 1 的值。 您最多可以在加密单元中安装 8 个管理员,并指定某些管理命令最多需要 8 个签名。

了解智能卡读卡器

智能卡读卡器是连接到工作站并允许工作站与智能卡通信的设备。 要访问智能卡,必须在智能卡读卡器中插入智能卡。 大多数智能卡操作都需要在智能卡读卡器 PIN 板上输入智能卡 PIN。

必须先在工作站上安装智能卡读卡器的驱动程序,然后才能使用智能卡读卡器。 有关更多信息,请参阅 安装智能卡读卡器驱动程序

TKE 应用程序使用智能卡读卡器 1 来保存具有签名密钥的智能卡,并使用智能卡读卡器 2 来保存包含主密钥部件的智能卡。

在智能卡读卡器 1 中插入包含有效签名密钥的智能卡并输入 PIN 后,可以使用该智能卡对多个命令进行签名,而无需再次输入 PIN。 如果将智能卡从阅读器中除去并重新插入,那么必须在智能卡阅读器 PIN 板上重新输入 PIN,然后才能对额外的命令进行签名。

使用恢复加密单元初始化服务实例

如果为服务实例分配了一个或多个恢复加密单元,那么可以选择此方法来初始化服务实例。 在这种情况下,将在恢复加密单元中自动生成随机主密钥值,并将其复制到服务实例的其他加密单元。 主键值从不显示在 HSM 外部的清除中。 与其他两个选项相比,此方法更简化且更易于使用。

目前,eu-es 区域中的服务实例不支持恢复加密单元。 有关受支持区域的更多信息,请参阅 区域和位置

下图显示了具有两个恢复加密单元的示例服务实例的组件:

使用恢复加密单元来初始化服务实例的体系结构
图 2。 使用恢复加密单元初始化服务实例

以下部分详细说明了每个组件。

了解 IBM Cloud TKE CLI 插件

TKE CLI 插件是对 IBM Cloud 命令行界面 (CLI) 的添加。 通过 TKE CLI 插件,可以将命令发送到服务实例中的加密单元以装入主密钥。 TKE CLI 插件支持两种方法来装入主密钥。

如果服务实例具有恢复加密单元,那么可以通过运行 ibmcloud tke auto-init 命令来装入主密钥。 此命令将指导您完成添加管理员和设置签名阈值的步骤,然后在服务实例中的某个恢复加密单元中生成随机主密钥值,并将该值复制到其他加密单元。 有关此方法的更多信息,请参阅 使用恢复加密单元初始化服务实例

您还可以使用 TKE CLI 插件通过存储在密钥部件文件中的密钥部件来装入主密钥。 无论服务实例是否具有任何恢复加密单元,都可以采用此方法。 通过使用此方法,您可以运行一系列命令来生成签名密钥和主密钥部件,添加管理员,设置签名阈值以及装入主密钥寄存器。 有关更多信息,请参阅 使用密钥部件文件初始化服务实例

需要为您分配适当的角色才能执行 TKE CLI 插件操作。 有关可用服务访问角色的更多信息,请参阅 服务访问角色

有关 TKE CLI 插件中可用的命令的完整列表,请参阅 IBM Cloud Trusted Key Entry CLI 插件参考

了解操作加密单元

操作加密单元用于管理加密密钥和执行加密操作。 操作加密单元是要向其发送 API 请求的加密单元。 创建服务实例时,指定的加密单元数是操作加密单元数。 操作加密单元位于实例所在区域的不同可用性区域中。

了解恢复加密单元

两个恢复单元将自动分配给您的服务实例,而不会产生额外的成本。 在与操作加密单元相同的区域中分配一个恢复单元,而在备份区域中分配另一个恢复单元。 运行 ibmcloud tke auto-initibmcloud tke auto-mk-rotate 命令时,将在其中一个恢复加密单元中生成随机主密钥值,然后安全地导出到服务实例的其他加密单元 (包括故障转移加密单元 (如果有))。

恢复加密单元的唯一目的是保存主密钥值的备份副本。 运行操作工作负载时,不会使用恢复加密单元。 如果当前主密钥值丢失或损坏,那么可以使用 ibmcloud tke auto-mk-recover 命令从任一恢复加密单元恢复主密钥值。 此命令将恢复加密单元的当前主密钥寄存器中的值复制到其他加密单元的当前主密钥寄存器。

目前,eu-es 区域中的服务实例不支持恢复加密单元,这意味着,在任何其他受支持区域中供应服务实例时,缺省情况下,您将启用此选项,以备份位于灾难恢复区域中的恢复加密单元中的主密钥。 有关受支持区域的更多信息,请参阅 区域和位置

有关恢复主密钥的详细指示信息,请参阅 从恢复加密单元恢复主密钥

使用密钥部件文件初始化服务实例

您还可以使用您在本地工作站上创建并存储在文件中的主密钥部件来初始化服务实例。 无论服务实例是否包含恢复加密单元,都可以使用此方法。 在这种情况下,工作站密钥文件充当主密钥值的备份副本。 要在此方法中完成初始化,还需要使用 IBM Cloud TKE CLI 插件。

了解主密钥部件

在此方法中,主密钥由若干主密钥部分组成,您需要使用 TKE CLI 插件来创建这些主密钥部分。 出于安全考虑,每个密钥部件都可以由称为 主密钥管理人 的不同人员拥有。 密钥部件存储在工作站文件中,并受密码保护。 主密钥管理人需要确保正确保存密钥文件,并且没有其他人知道密码。

TKE CLI 插件提供了一系列用于完成初始化的命令,包括创建签名密钥和主密钥部件,添加管理员以及装入主密钥。 有关详细步骤,请参阅 使用密钥部件文件初始化服务实例

下一步

规划用于存储签名密钥和主密钥部件的安全策略时,请考虑 初始化服务实例的安全性注意事项