IBM Cloud Docs
用例-标准套餐

用例-标准套餐

IBM Cloud® Hyper Protect Crypto Services 可用作密钥管理服务,以普遍保护 IBM Cloud 中的静态数据以及用于通用加密操作的云 HSM。

普遍保护云中的静态数据

通过 IBM Cloud 安全体系结构中的集成,您可以使用 Hyper Protect Crypto Services 以使用自己的密钥在最高安全级别对云数据和存储服务的静态数据进行加密。 该服务使用与 Key Protect 相同的密钥提供程序 API 来提供一致的包络加密和文件系统加密方法,以采用 IBM Cloud 服务。

IBM Cloud Hyper Protect Crypto Services 支持“保留自己的密钥”(KYOK),以便您可以使用可带来,控制和管理的加密密钥对数据具有更多控制和权限。 同时,您仍保持对加密密钥所在的 HSM 的控制。 借助 Hyper Protect Crypto Services,您可以充分利用由大型企业共同开发和运营的经过验证的技术来管理其最敏感的数据。

Hyper Protect Crypto Services 生成和保护的加密密钥可用于提供应用程序记录级别或字段级别的加密,以保护数据免受其他内部威胁 (例如来自数据库管理员的威胁)。

使用 KYOK 进行静态数据加密

密钥由客户管理的专用 HSM 进行保护,也就是说,只有您能访问您的数据。 Hyper Protect Crypto Services 的加密功能是基于 FIPS 140-2 级别 4 认证的硬件安全模块构建的。 您可以从 Hyper Protect Crypto Services 针对新工作负载和现有工作负载的加密功能中获益。 IBM Key Protect for IBM Cloud API 已集成用于生成和保护加密密钥。

请参阅 将端到端安全性应用于云应用程序,以获取有关如何使用 Hyper Protect Crypto Services的密钥管理服务 API 对云应用程序进行加密的教程。

使用 KYOK 的静态数据加密
图 1。 使用 KYOK 进行静态数据加密

使用 KYOK 的 VMware 映像保护

在 IBM Cloud 中使用 VMware® 环境来处理和存储个人信息的组织需要最高级别的安全性。 作为 Hyper Protect Crypto Services的用户,您可以获取自己设置的专用插槽,以确保没有其他主体可以访问。 由于 Hyper Protect Crypto Services 和 VMware 不联系相同的接口,因此 VMware 组件的密钥管理互操作性协议充当中介,以允许 VMware 环境存储和使用 Hyper Protect Crypto Services中的密钥。

作为单租户服务,Hyper Protect Crypto Services 为每个客户提供对 Hardware Security Module for VMware 映像的专用控制。Hyper Protect Crypto Services 将 IBM Cloud 中的密钥管理服务系列扩展为具有专用硬件密钥控制的单租户实例。

请查看 有关 IBM Cloud Hyper Protect Crypto Services 和 VMware on IBM Cloud 解决方案的概述视频 以获取更多信息。 有关步骤到步骤教程,请参阅 在 Hyper Protect Crypto Services 中配置 KMIP 以进行密钥管理和分发 以及 演示视频

VMware 映像保护和 vSAN 加密(使用 KYOK)
图 2。 VMware 映像保护

将 Hyper Protect Crypto Services 用作云 HSM

您可以使用 PKCS #11 API 和 Enterprise PKCS #11 API 将 Hyper Protect Crypto Services 用作云 HSM。

通过 PKCS #11 API 将 Hyper Protect Crypto Services 用作云 HSM

IBM Cloud Hyper Protect Crypto Services 提供 PKCS #11 API。 PKCS #11 定义为公用密钥密码术标准之一。 加密操作在云端的 HSM 内执行。 这允许在 HSM 外部从不清除密钥,并且在 HSM 边界内也处理所有相应的敏感加密操作的方案。

使用 PKCS #11 API 的应用程序级别加密

Hyper Protect Crypto Services 允许应用程序员使用标准 PKCS #11 API 来设计和开发应用程序,以请求加密或签署应用程序数据。 这意味着您可以在没有程序员成为加密专家的情况下调用安全性。 现在,您可以通过数字签名和通过数据加密的机密性来启用和改进数据完整性。 应用程序可以使用 Hyper Protect Crypto Services PKCS #11 库来执行加密操作。 此功能可帮助您通过构建具有数字工作流程的应用程序来实现业务流程现代化,这些应用程序包含安全且值得信赖的专用数据和数字复审,核准和签名。

通过 PKCS #11的支持,您可以访问各种高级加密操作,例如签名,签名验证,消息认证代码和更高级的加密方案。 有关更多信息,请参阅 Hyper Protect Crypto Services PKCS #11 库

使用 PKCS 进行应用程序加密 #11
图 3。 使用 PKCS 进行应用程序加密 #11

使用 PKCS #11 API 进行数据库加密

通过 Hyper Protect Crypto Services,您可以使用透明数据加密 (TDE) 对 Oracle® Database 进行加密,并使用 Db2 缺省加密对 IBM Db2® 数据库进行加密。

  • 通过 TDE,您可以对数据库存储介质 (例如表空间和文件) 以及备份介质上的敏感数据进行加密。 透明数据加密可确保敏感数据已加密,符合合规性,并提供简化加密操作的功能。 数据库系统在被授权用户和应用程序使用时自动且透明地对数据进行加密和解密。 数据库用户不需要了解 TDE,数据库应用也不需要专门针对 TDE 进行适配。

    TDE 使用由 TDE 主加密密钥和 TDE 数据加密密钥组成的两层密钥层次结构。 TDE 数据加密密钥用于加密和解密数据,而 TDE 主加密密钥用于加密和解密 TDE 数据加密密钥。

    使用标准 PKCS 的透明数据库加密 #11 API
    图 4。 使用标准 PKCS #11 API
    进行透明数据库加密

  • IBM Db2 缺省加密保护密钥数据库文件和数据库备份映像在存储在外部存储介质上时免受不当访问。 数据库系统在被授权用户和应用程序使用时自动对数据进行加密和解密。 通常,数据库用户不需要知道缺省加密,数据库客户机应用程序也不需要专门进行调整。

    Db2 缺省加密使用两层密钥层次结构: 使用数据加密密钥 (DEK) 对数据进行加密。 DEK 使用主密钥进行加密,并以加密形式与数据库或备份映像一起存储。 Db2 针对每个加密数据库和每个加密备份生成唯一的 DEK。 主密钥用于加密 DEK。 每个加密数据库一次与一个主密钥关联。

    IBM Db2 缺省加密(使用标准 PKCS #11 API)
    图 5。 IBM Db2 缺省加密 (使用标准 PKCS #11 API)

  • 其他常用数据库 (例如 PosgreSQL (Fujitsu Enterprise Postgres 和 Enterprise DB) 和 MongoDB ) 也可以类似的方式与 Hyper Protect Crypto Services 集成。

通过 PKCS #11 库集成,Hyper Protect Crypto Services 支持业界标准 PKCS #11 API。 Hyper Protect Crypto Services PKCS #11 库将数据库连接到 Hyper Protect Crypto Services 以执行加密操作。 数据库系统可以调用操作来管理 Hyper Protect Crypto Services PKCS #11 库中的 TDE 主加密密钥或主密钥。 然后,Hyper Protect Crypto Services PKCS #11 库与 Hyper Protect Crypto Services 实例进行交互,以提供最高级别的安全性,用于在云中存储和管理 TDE 主加密密钥或主密钥。 它反过来为您的数据加密密钥和数据提供最高级别的安全性。

正在卸载 TLS/SSL 流量

传输层安全性 (TLS) 和安全套接字层 (SSL) 是旨在通过计算机网络提供通信安全性的加密协议。 TLS/SSL 协议主要旨在提供两个或多个通信计算机应用程序之间的隐私和数据完整性。

在 Web 服务器的上下文中,TLS/SSL 协议允许 Web 站点建立身份。 网站的用户可以确信,没有其他人伪装成网站。 它是通过公用-专用密钥对完成的。

Hyper Protect Crypto Services 提供了一种方法来卸载在 TLS 握手期间执行的加密操作,以建立与 Web 服务器的安全连接,同时使 TLS/SSL 专用密钥安全地存储在专用 HSM 中。 通过这种方式,您可以控制 TLS/SSL 密钥和处理。 因此,提高了安全性,降低了声誉风险。

TLS/SSL 卸载到 Hyper Protect Crypto Services HSM 通过使用标准 PKCS #11 API 来启用 Web,API 和移动事务的传输保护中的数据。 通过 Hyper Protect Crypto Services,您可以将 TLS/SSL 卸载与其他云代理集成。

有关如何在使用 Hyper Protect Crypto Services管理密钥时将 SSL 工作负载卸载到负载均衡器 (例如 NGINX) 的教程,请参阅 使用 IBM Cloud Hyper Protect Crypto Services 卸载 NGINX TLS

使用 TLS/SSL 卸载保护传输中的数据
图 6。 使用 TLS/SSL 卸载
保护传输中的数据

使用第三方加密密钥管理工具保护存储系统

您可以通过将常用产品 (例如,IBM Guardium Key Lifecycle Manager (GKLM) 和 HashiCorp Vault 与 Hyper Protect Crypto Services 使用包络加密与 PKCS#11进行集成来保护存储子系统,以便可以使用 PKCS#11将密钥管理工具生成的主密钥安全存储在 IBM Cloud Hyper Protect Crypto Services 中,确保您对主密钥的独占访问权以及对主密钥所管理的存储系统中的数据的访问权。

包络加密是使用数据加密密钥 (DEK) 对纯文本数据进行加密,然后使用密钥加密密钥 (KEK) 对这些密钥进行加密的实践。 此过程可用于对对象存储器,块存储器和整个数据卷中的 BLOB 或数据存储区进行加密。 对于云中的敏感数据存储库以及高性能计算等工作负载,KEK 应源自 HSM。 对于必须遵守性能边界的高性能存储子系统,关键管理系统与存储子系统接近至关重要。 存储子系统与密钥管理系统之间的大多数交互是通过密钥管理互操作性协议 (KMIP) 进行的。

使用 Hyper Protect Crypto Services
图 7 保护存储系统。 使用 Hyper Protect Crypto Services
保护存储系统

有关更多信息,请参阅以下教程:

利用云 HSM 强化 Thales 环境

具有现有 Thales CipherTrust Manager (CTM) 环境的组织可以通过让 CTM 在 FIPS 140-2 级别 4 HSM 中保护自己的主密钥来增强其安全概要文件,如图中所示。 与 KMIP 客户机 (例如存储设备),TDE 代理程序 (例如数据库) 和使用 LUKS 口令进行卷加密的 Linux 服务器的现有 CTM 集成不受此集成的影响。

其他 Thales 密钥管理产品 (例如 Vormetric Data Security Manager (DSM),CipherTrust Cloud Key Manager (CCKM),Enterprise Key Management) 也可以通过类似方式与 Hyper Protect Crypto Services 集成。

使用云 HSM 来强化 Thales 环境
图 8。 利用云 HSM
强化 Thales 环境

有关更多详细信息,请参阅 Thales 文档

通过 Enterprise PKCS #11 API 将 Hyper Protect Crypto Services 用作云 HSM

Hyper Protect Crypto Services 提供 Enterprise PKCS #11(EP11)API。 云应用程序可以通过 gRPC使用此功能。

企业 PKCS #11 支持无状态密码术用例,并允许在企业环境中进行缩放和冗余。 对于围绕资产保护的某些用例,可以在加密服务外部管理密钥,而所有敏感操作都在 HSM 边界内执行。 当状态处理是一个问题时,您可以使用 Enterprise PKCS #11,尤其是对于受益于 Enterprise PKCS #11的无状态字符的企业应用程序。

作为云开发者,您可以将应用程序中的标准接口用于具有数据完整性和机密性的加密操作。Hyper Protect Crypto Services 支持从云应用程序到云 HSM 的安全连接,并允许企业控制应用程序密钥的 Cloud HSM。

由于 IBM 正在开始提供一组新的功能来支持工作负载迁移到云中,因此您可以从针对新工作负载和现有工作负载的 Hyper Protect Crypto Services 的加密功能中获益。 通过引入基于 gRPC (GREP11) 的 Enterprise PKCS #11,您可以访问各种加密操作,例如签名,签名验证,消息认证代码和随机数生成。

将 GREP11 与 GolangJavaScript 配合使用的一些代码样本可供您试用。

EP11 HSM
图 9。 使用 Enterprise PKCS 的加密操作 #11

下一步