概述- Unified Key Orchestrator 套餐

IBM Cloud® Hyper Protect Crypto Services 是专用密钥管理服务和硬件安全模块(HSM)A physical appliance that provides on-demand encryption, key management, and key storage as a managed service.，为您提供“保留自己的密钥”功能以进行云数据加密。基于 FIPS 140-2 级别 4 认证的硬件，Hyper Protect Crypto Services 为您提供加密密钥的独占控制。通过 Unified Key Orchestrator，您可以将服务实例连接到 IBM Cloud 和第三方云提供者中的密钥库，使用统一系统备份和管理密钥，并跨多个云编排密钥。

观看以下视频以了解 Hyper Protect Crypto Services 与 Unified Key Orchestrator 如何在云中为您提供独占加密密钥控制和统一密钥管理:

为什么选择 IBM Cloud Hyper Protect Crypto Services？

数据和信息安全对 IT 环境来说必不可少、至关重要。随着更多数据迁移到云端，保护数据成为一项非凡的挑战。 Hyper Protect Crypto Services 基于 IBM LinuxONE 技术进行构建，可帮助确保只有您有权访问您的密钥和数据。

由专用客户控制的 HSM 提供的单租户密钥管理服务可帮助您轻松创建和管理加密密钥。或者，您可以将自己的加密密钥引入到云中。该服务使用与多租户密钥管理服务 Key Protect相同的密钥提供程序 API，以提供采用 IBM Cloud 服务的一致方法。

Hyper Protect Crypto Services 提供由您控制的专用 HSM。IBM Cloud 管理员没有访问权。该服务在通过 FIPS 140-2 级别 4 认证的硬件上构建，该级别是行业内任何云提供者提供的最高级别。 IBM 是首次为 HSM 主密钥An encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key. 初始化提供云命令行界面 (CLI)，以帮助您获取云 HSM 的所有权。您还可以使用 IBM Hyper Protect Crypto Services 管理实用程序来装入主密钥。管理实用程序创建主密钥部件并将其存储在智能卡上，并且从不向工作站和云公开您的密钥，从而确保对您的密钥进行最高级别的保护。

Hyper Protect Crypto Services 可以与 IBM Cloud 数据和存储服务以及 VMware® vSphere® 和 VSAN 集成，以提供静态数据加密。

受管云 HSM 通过使用公用密钥密码术标准 (PKCS) #11来支持业界标准加密操作。您不需要更改使用 PKCS #11 标准的现有应用程序，以使其在 Hyper Protect Crypto Services 环境中运行。 PKCS #11 库接受来自应用程序的 PKCS #11 API 请求，并远程访问云 HSM 以执行相应的加密功能，例如数字签名和验证。

Hyper Protect Crypto Services还支持基于 gRPC (GREP11) 的企业 PKCS #11。 EP11 库提供类似于业界标准 PKCS #11 应用程序编程接口(API)的接口。

通过 Hyper Protect Crypto Services的内置加密，您可以使用敏感数据轻松构建云应用程序。Hyper Protect Crypto Services 提供对数据和加密密钥 (包括主密钥) 的完整控制。该服务还可帮助您的企业通过提供对外部用户和特权用户访问数据和密钥的独占控制的技术来满足法规合规性要求。

为什么选择 Unified Key Orchestrator？

许多企业在将敏感工作负载迁移到云端时，有法律义务自带密钥。企业正在采用来自云提供商的本机加密和密钥管理产品。

处理多个云意味着处理多个密钥管理服务中的密钥。这带来了以下挑战:

当企业运行不同的密钥管理系统时，人工工作量高，容易出错
无法控制外部云密钥管理系统中的主密钥An encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key.
缺少数据中心和熟练人员来操作用于 KYOK 或 BYOK 的硬件安全模块(HSM)A physical appliance that provides on-demand encryption, key management, and key storage as a managed service.

Unified Key Orchestrator 降低了跨混合环境维护加密的复杂性。您可以将所有密钥管理用例集成到一个由可信 IBM zSystems HSM 支持的一致方法中。它为您提供了以下功能:

一致的用户体验
无缝集成到现有云框架中
多个云中多个密钥的一个控制点
安全备份所有密钥，轻松在多个云中进行复原

有关 Hyper Protect Crypto Services的体系结构图，请参阅服务体系结构。

观看以下视频，了解如何使用 Hyper Protect Crypto Services 和 Unified Key Orchestrator来管理 Microsoft Office 365 环境的合规性:

观看以下视频以了解如何使用 Hyper Protect Crypto Services 和 Unified Key Orchestrator安全地管理 AWS S3 加密密钥:

主要功能

Hyper Protect Crypto Services 提供了以下功能：

Unified Key Orchestrator

与外部密钥库的连接

Unified Key Orchestrator作为 Hyper Protect Crypto Services的一部分，根据 NIST 建议提供密钥生命周期管理，并将密钥安全传输到服务实例或外部密钥库中的内部密钥库。通过 Unified Key Orchestrator，您可以将密钥推送到第三方云密钥库，例如 Azure Key Vault，AWS Key Management Service (KMS)，Google Cloud KMS 或 IBM Key Protect for IBM Cloud，通过 UI 和 REST API 在密钥库之间分发密钥，并管理密钥和密钥库。
统一密钥备份和管理系统

Unified Key Orchestrator 使您能够使用 Hyper Protect Crypto Services 实例备份 IBM Cloud 中的所有密钥。您可以通过 Hyper Protect Crypto Services 实例重新分发密钥，以快速从致命云错误中恢复。同时，您拥有密钥层次结构的根信任。
跨多个云的密钥编排

您可以使用可审计的密钥生命周期编排机制，通过跨多个云的单一统一用户体验来编排密钥。有关更多信息，请参阅 Monitoring the lifecycle of encryption keys in Unified Key Orchestrator 和 Auditing events for Hyper Protect Crypto Services Hyper Protect Crypto Services with Unified Key Orchestrator。

有关 Unified Key Orchestrator的更多信息，请参阅 Unified Key Orchestrator 简介。

密钥管理服务

在 Hyper Protect Crypto Services with Unified Key Orchestrator 套餐中，当前只能通过 API 来管理密钥管理服务 (KMS) 根密钥和标准密钥。有关 KMS API 的更多信息，请参阅 KMS API 参考。

密钥生命周期管理

Hyper Protect Crypto Services 提供单租户密钥管理服务，以使用标准化 API 创建，导入，轮换和管理密钥。删除加密密钥后，您可以放心，您的数据不再可检索。
IBM Cloud 数据和工作负载服务的加密

通过与其他 IBM Cloud 服务集成，Hyper Protect Crypto Services 提供将您自己的加密引入云的功能。该服务通过打包与云服务关联的加密密钥，为云数据提供双层保护。
访问权管理和审计

Hyper Protect Crypto Services 与 Cloud Identity and Access Management (IAM) 集成，以启用对用户访问服务资源的精细控制。有关更多信息，请参阅管理用户访问权。

您还可以使用 IBM Cloud Activity Tracker来监视和审计 Hyper Protect Crypto Services 的事件和活动。有关更多信息，请参阅审计 Hyper Protect Crypto Services 的事件。

云硬件安全模块

客户控制的 HSM

使用“保留自己的密钥”，您可以通过分配自己的管理员并使用 Hyper Protect Crypto Services装入主密钥来获取 HSM 的所有权。这将确保您完全控制整个密钥层次结构，即使从 IBM Cloud 管理员也无法进行访问。
加密操作

Hyper Protect Crypto Services 支持基于 gRPC (GREP11) API 的标准 PKCS #11 API 和 Enterprise PKCS #11 用于加密操作。这些操作包括生成密钥，对数据进行加密和解密，对数据进行签名以及验证签名。加密功能在 HSM 中执行，并且可以通过 API 访问，从而为应用程序提供硬件保护。

在 Hyper Protect Crypto Services with Unified Key Orchestrator 套餐中，当前只能通过 API 执行加密操作。有关 API 的更多信息，请参阅 PKCS #11 API 参考和 GREP11 API 参考。
安全认证

该服务基于 FIPS 140-2 Level 4 认证的硬件构建，这是业内提供的最高安全级别。 HSM 也经认证，以符合遵循“通用标准”第 3 部分的 EAL 4。

下一步

要获取有关使用 Hyper Protect Crypto Services 的整个教程，请查看 IBM CloudHyper Protect Crypto Services 入门。
要了解有关管理 Unified Key Orchestrator 密钥和密钥库的更多信息，请查看 Unified Key Orchestrator API 参考文档。
要了解有关以编程方式管理 KMS 密钥的更多信息，请查看 Hyper Protect Crypto Services 密钥管理服务 API 参考文档。
要了解有关 PKCS #11 API 的更多信息，请参阅 PKCS 简介 #11 和 PKCS #11 API 参考。
要了解有关 GREP11 API 的更多信息，请参阅介绍 EP11 over gRPC 和 GREP11 API 参考。
有关 Hyper Protect Crypto Services 收到的合规性证书的更多信息，请参阅安全性与合规性。
要查找有关可用于集成的 IBM Cloud 服务的更多信息，请参阅将 IBM Cloud 服务与 Hyper Protect Crypto Services 集成。
要查找 Hyper Protect Crypto Services 与 Unified Key Orchestrator 和 Hyper Protect Crypto Services 标准套餐之间的差异，请参阅 Hyper Protect Crypto Services 与 Unified Key Orchestrator 与 Hyper Protect Crypto Services 标准套餐有何不同?