IBM Cloud Docs
使用案例-標準方案

使用案例-標準方案

IBM Cloud® Hyper Protect Crypto Services 可以用作金鑰管理服務,以全面保護 IBM Cloud 中的靜態資料,以及用於一般用途加密作業的雲端 HSM。

全面保護雲端中的靜態資料

透過 IBM Cloud 安全架構中的整合,您可以使用 Hyper Protect Crypto Services,使用您自己的金鑰來加密雲端資料及最高安全層次儲存服務的靜態資料。 服務會使用與 Key Protect 相同的金鑰提供者 API,來提供一致的封套加密和檔案系統加密方法,以採用 IBM Cloud 服務。

IBM Cloud Hyper Protect Crypto Services 支援「保留自己的金鑰 (KYOK)」,因此您可以使用可帶來、控制及管理的加密金鑰對資料具有更多控制及權限。 同時,您仍維持對加密金鑰所在 HSM 的控制。 使用 Hyper Protect Crypto Services,您可以充分利用大型企業共同開發並運作的實證技術,來管理其最機密資料。

Hyper Protect Crypto Services 所產生及保護的加密金鑰可用來提供應用程式記錄層次或欄位層次加密,以保護資料免於其他內部威脅,例如資料庫管理者。

使用 KYOK 進行靜態資料加密

金鑰是由客戶管理的專用 HSM 進行保護,這表示只有您才能存取您的資料。 Hyper Protect Crypto Services 的加密功能建置在 FIPS 140-2 Level 4 認證硬體安全模組之上。 您可以從 Hyper Protect Crypto Services 的加密功能獲得好處,適用於新的和現有的工作負載。 IBM Key Protect for IBM Cloud API 已整合用於產生及保護加密金鑰。

請參閱 將端對端安全套用至雲端應用程式,以取得如何使用 Hyper Protect Crypto Services的金鑰管理服務 API 來加密雲端應用程式的指導教學。

使用 KYOK 進行靜態資料加密
圖 1. 使用 KYOK
進行靜態資料加密

使用 KYOK 進行 VMware 映像檔保護

使用 IBM Cloud 中的 VMware® 環境來處理及儲存個人資訊的組織需要最高安全等級。 作為 Hyper Protect Crypto Services的使用者,您會取得您自己設定的專屬插槽,以確保沒有其他主體可以存取。 因為 Hyper Protect Crypto Services 及 VMware 不會聯絡相同的介面,所以 VMware 元件的「金鑰管理交互作業能力通訊協定」會充當媒介,以容許 VMware 環境儲存及使用來自 Hyper Protect Crypto Services的金鑰。

作為單一租戶服務,Hyper Protect Crypto Services 為每一個客戶提供專用的 VMware 映像檔硬體安全模組控制。Hyper Protect Crypto Services 將 IBM Cloud 中的金鑰管理服務系列延伸至具有專用硬體密碼控制的單一租戶實例。

如需相關資訊,請參閱 IBM Cloud Hyper Protect Crypto Services 上的概觀視訊,以及 IBM Cloud 解決方案上的 VMware。 如需步驟至步驟指導教學,請參閱 在 Hyper Protect Crypto Services 中配置 KMIP 以進行金鑰管理及配送示範影片

VMware 映像檔保護和使用 KYOK 的 vSAN 加密
圖 2. VMware 映像檔保護

使用 Hyper Protect Crypto Services 作為雲端 HSM

您可以同時使用 PKCS #11 API 和 Enterprise PKCS #11 API,將 Hyper Protect Crypto Services 用作雲端 HSM。

透過 PKCS #11 API 使用 Hyper Protect Crypto Services 作為雲端 HSM

IBM Cloud Hyper Protect Crypto Services 提供 PKCS #11 API。 PKCS #11 定義為其中一個「公開金鑰加密法標準」。 加密作業在雲端的 HSM 內執行。 這容許加密金鑰在 HSM 外部永不明晰,且所有對應的機密加密作業也會在 HSM 界限內處理的方法。

使用 PKCS #11 API 的應用程式層次加密

Hyper Protect Crypto Services 可讓應用程式設計師使用標準 PKCS #11 API 來設計及開發應用程式,以要求加密或簽署應用程式資料。 這表示您可以呼叫安全,而不需要程式設計師成為加密專家。 現在您可以透過數位簽署及透過資料加密的機密性來啟用及改善資料完整性。 應用程式可以使用 Hyper Protect Crypto Services PKCS #11 程式庫來執行加密作業。 此功能可協助您透過建置具有數位工作流程的應用程式,將商業程序現代化,這些應用程式具有安全且值得信任的專用資料及數位檢閱、核准及簽章。

透過 PKCS #11的支援,您可以存取完整範圍的進階加密作業,例如簽署、簽章驗證、訊息鑑別碼及更進階的加密方法。 如需相關資訊,請參閱 Hyper Protect Crypto Services PKCS #11 程式庫

使用 PKCS 進行應用程式加密 #11
圖 3. 使用 PKCS #11
進行應用程式加密

使用 PKCS #11 API 來加密資料庫

使用 Hyper Protect Crypto Services,您可以使用「透通資料加密 (TDE)」來加密 Oracle® Database,並使用 Db2 預設加密來加密 IBM Db2® 資料庫。

  • 使用 TDE,您可以在資料庫儲存媒體 (例如表格空間和檔案) 及備份媒體上加密機密資料。 「透通資料加密」可確保機密資料已加密、符合相符性,並提供可簡化加密作業的功能。 當授權使用者及應用程式使用資料時,資料庫系統會自動且透通地加密及解密資料。 資料庫使用者不需要知道 TDE,資料庫應用程式也不需要特別針對 TDE 進行調整。

    TDE 使用由 TDE 主要加密金鑰及 TDE 資料加密金鑰組成的雙層金鑰階層。 TDE 資料加密金鑰用來加密及解密資料,而 TDE 主要加密金鑰用來加密及解密 TDE 資料加密金鑰。

    使用標準 PKCS #11 API 的透通資料庫加密
    圖 4. 使用標準 PKCS #11 API
    進行透通資料庫加密

  • IBM Db2 預設加密可保護金鑰資料庫檔及資料庫備份映像檔,以免在儲存在外部儲存媒體上時遭到不當存取。 當授權使用者及應用程式使用資料時,資料庫系統會自動加密及解密資料。 一般而言,資料庫使用者不需要知道預設加密,且資料庫用戶端應用程式不需要特別調整。

    Db2 預設加密使用兩層金鑰階層: 資料使用資料加密金鑰 (DEK) 加密。 DEK 以主要金鑰加密,並以加密形式與資料庫或備份映像檔一起儲存。 Db2 會針對每一個已加密資料庫及每一個已加密備份產生唯一 DEK。 主要金鑰用來加密 DEK。 每一個加密資料庫一次與一個主要金鑰相關聯。

    IBM Db2 預設加密,使用標準 PKCS #11 API
    圖 5。 IBM Db2 預設加密

  • 其他熱門資料庫 (例如 PosgreSQL (Fujitsu Enterprise Postgres 和 Enterprise DB) 及 MongoDB ) 也可以類似方式與 Hyper Protect Crypto Services 整合。

透過 PKCS #11 程式庫整合,Hyper Protect Crypto Services 支援業界標準 PKCS #11 API。 Hyper Protect Crypto Services PKCS #11 程式庫會將資料庫連接至 Hyper Protect Crypto Services 以執行加密作業。 資料庫系統可以呼叫作業來管理 Hyper Protect Crypto Services PKCS #11 程式庫中的 TDE 主要加密金鑰或主要金鑰。 然後 Hyper Protect Crypto Services PKCS #11 程式庫會與 Hyper Protect Crypto Services 實例互動,以提供最高層次的安全來儲存及管理雲端中的 TDE 主要加密金鑰或主要金鑰。 它進而為您的資料加密金鑰和資料提供最高安全等級。

卸載 TLS/SSL 資料流量

「傳輸層安全 (TLS)」和 Secure Sockets Layer (SSL) 是加密通訊協定,其設計旨在透過電腦網路提供通訊安全。 TLS/SSL 通訊協定主要旨在提供兩個以上通訊電腦應用程式之間的隱私權及資料完整性。

在 Web 伺服器的環境定義中,TLS/SSL 通訊協定可讓網站建立身分。 網站使用者可以確定沒有其他人偽裝成網站。 它是透過公開/私密金鑰組來完成。

Hyper Protect Crypto Services 提供一種方法來卸載 TLS 信號交換期間所執行的加密作業,以建立與 Web 伺服器的安全連線,同時將 TLS/SSL 私密金鑰安全地儲存在專用 HSM 中。 透過此方式,您可以控制 TLS/SSL 金鑰及處理。 結果,安全獲得改善,聲譽風險降低。

TLS/SSL 卸載至 Hyper Protect Crypto Services HSM 會使用標準 PKCS #11 API 來啟用 Web、API 及行動式交易的傳輸中資料保護。 使用 Hyper Protect Crypto Services,您可以整合 TLS/SSL 卸載與其他雲端 Proxy。

如需如何在使用 Hyper Protect Crypto Services管理金鑰時將 SSL 工作量卸載至負載平衡器 (例如 NGINX) 的指導教學,請參閱 使用 IBM Cloud Hyper Protect Crypto Services 來卸載 NGINX TLS

使用 TLS/SSL 卸載來保護傳輸中資料
圖 6. 使用 TLS/SSL 卸載來保護傳輸中資料

使用協力廠商加密金鑰管理工具來保護儲存體系統

您可以使用封套加密搭配 PKCS#11來保護儲存體子系統,例如 IBM Guardium Key Lifecycle Manager (GKLM) 和 HashiCorp Vault with Hyper Protect Crypto Services,以便金鑰管理工具所產生的主要金鑰可以安全地儲存在 IBM Cloud Hyper Protect Crypto Services 中,使用 PKCS#11,確保您對主要金鑰的獨佔性存取權,以及對主要金鑰所管理儲存體系統中資料的存取權。

封套加密是使用資料加密金鑰 (DEK) 來加密純文字資料,然後使用金鑰加密金鑰 (KEK) 來加密這些金鑰的作法。 此處理程序可用來加密物件儲存體、區塊儲存體及整個資料磁區中的二進位大型物件或資料儲存區。 對於雲端中的機密資料儲存庫,以及高效能運算之類的工作負載,KEK 應該來自 HSM。 對於必須遵守效能界限的高效能儲存體子系統,金鑰管理系統必須接近儲存體子系統非常重要。 儲存體子系統與金鑰管理系統之間的大部分互動是透過「金鑰管理交互作業能力通訊協定 (KMIP)」進行。

使用 Hyper Protect Crypto Services
圖 7 保護儲存體系統。 使用 Hyper Protect Crypto Services
保護儲存體系統

如需相關資訊,請參閱下列指導教學:

使用雲端 HSM 來強化 Thales 環境

具有現有 Thales CipherTrust Manager (CTM) 環境的組織可以透過讓 CTM 在 FIPS 140-2 Level 4 HSM 中保護自己的主要金鑰來加強其安全設定檔,如圖所示。 與 KMIP 用戶端 (例如儲存裝置)、TDE 代理程式 (例如資料庫) 及 Linux 伺服器 (使用 LUKS 通行詞組進行磁區加密) 的現有 CTM 整合不受此整合影響。

其他 Thales 金鑰管理產品例如 Vormetric Data Security Manager (DSM)、CipherTrust Cloud Key Manager (CCKM)、Enterprise Key Management 也可以以類似方式與 Hyper Protect Crypto Services 整合。

使用雲端 HSM 來強化 Thales 環境
圖 8. 使用雲端 HSM
來強化 Thales 環境

如需詳細資料,請參閱 Thales 文件

透過 Enterprise PKCS #11 API 使用 Hyper Protect Crypto Services 作為雲端 HSM

Hyper Protect Crypto Services 提供 企業 PKCS #11(EP11)API。 雲端應用程式可以透過 gRPC使用此功能。

企業 PKCS #11 支援無狀態加密法使用案例,並容許在企業環境中進行調整及備援。 對於資產保護的部分使用案例,可以在加密服務外部管理金鑰,同時在 HSM 界限內執行所有機密作業。 當狀態處理是一個問題時,您可以使用企業 PKCS #11,尤其是企業應用程式會受益於企業 PKCS #11的無狀態字元。

身為雲端開發人員,您可以使用應用程式中的標準介面,以進行具有資料完整性和機密性的加密作業。Hyper Protect Crypto Services 支援從雲端應用程式到雲端 HSM 的安全連線功能,並容許對 Cloud HSM 進行應用程式金鑰的企業控制。

當 IBM 開始提供一組新的功能來支援您的工作負載移至雲端時,您可以從 Hyper Protect Crypto Services 的加密功能中受益,同時適用於您的新工作負載和現有工作負載。 引進 Enterprise PKCS #11 over gRPC (GREP11) 之後,您可以存取完整範圍的加密作業,例如簽署、簽章驗證、訊息鑑別碼、亂數產生。

使用 GREP11 搭配 GolangJavaScript 的部分程式碼範例可供您試用。

EP11 HSM
圖 9. 使用 Enterprise PKCS #11
的加密作業

下一步