使用端到端 (E2E) 加密来供应加密实例
使用“端到端”(E2E) 加密功能,以便您可以自带已加密的支持 cloud-init 的操作系统映像。 使用您拥有并控制的数据加密密钥对映像进行加密。 完成一些环境设置后,您就可以将加密映像导入到映像模板资源库,并使用它来配置加密虚拟服务器实例。 E2E 加密为与供应的虚拟服务器实例关联的存储器提供静态数据加密。
E2E 加密将多个 IBM Cloud® 组件整合在一起,为关键信息提供安全的解决方案。
- IBM 密钥管理服务(如 IBM Key Protect 或 IBM Cloud Hyper Protect Crypto Services)可保护加密密钥的安全(请参阅表 1)。
- 通过 IBM Cloud Identity and Access Management (IAM),Cloud Block Storage 服务能够访问您的密钥管理系统以及用于包装数据加密密钥的根密钥。
- IBM Cloud Object Storage 可安全地存储上传的加密映像。
- 在 IBM Cloud 控制台中,可以导入加密映像并创建映像模板。
- 通过 IBM Cloud 控制台基础架构环境中提供的加密映像模板,可以供应加密虚拟服务器实例。
- 最后,可以通过 Activity Tracker 来审计与加密虚拟服务器关联的事件。
加密密钥管理服务
Key Protect 和 Hyper Protect Crypto Services(目前在某些区域中可用)使用公用密钥提供者 API 来提供一致的加密密钥管理方法。 IBM Cloud 数据中心在后台提供专用硬件安全模块 (HSM) 来保护您的密钥。 可以从以下选项中进行选择:
密钥管理服务 | HSM 加密证书 |
---|---|
Key Protect | FIPS 140-2 3 级合规性 |
Hyper Protect Crypto Services | FIPS 140-2 4 级合规性 |
准备环境
-
您必须具有已升级的帐户才能对虚拟服务器使用 E2E 加密。 有关更多信息,请参阅切换到 IBM 标识和链接帐户。
-
使用密钥管理服务来创建和管理密钥。 以下示例步骤特定于 Key Protect,但一般流程也适用于 Hyper Protect Crypto Services。 如果您使用的是 Hyper Protect Crypto Services,请参阅该服务的文档以获取相应的指示信息。
- 供应 Key Protect 服务。
- 安装 IBM Cloud Key Protect CLI 插件。 您必须使用Key ProtectCLI 来封装base64-encoded32 字节标准数据加密密钥 (DEK),您打算用它来使用根密钥加密虚拟硬盘 (VHD) 映像。
- 在 Key Protect中创建 或 导入 根密钥 (CRK)。 在下一步中,将使用根密钥来打包用于加密映像的数据加密密钥。
- 确定用于加密图像的 DEK,然后 用根密钥对其进行封装。 如果需要生成 DEK,可以使用不带纯文本参数(-p)的 kp wrap 命令来生成密钥并对其进行封装。 如果您已经有一个 DEK,可以 导入 它,然后通过在 kp wrap 命令中指定纯文本参数对其进行包装。 务必保存 kp wrap 命令返回的密文。 将已加密的映像导入 IBM Cloud 控制台时,必须指定 WDEK 密文。
Key Protect不会保存额外的验证数据 (AAD),因此请使用不需要 ADD 来解包的 WDEK。
-
从IBM Cloud Identity and Access Management(IAM),在 Cloud Block Storage(源服务)和密钥管理服务(目标服务)之间 创建授权。 授权允许 IBM Cloud 底板服务使用 WDEK 进行数据加密。
-
在 IBM Cloud 控制台中,创建 IBM Cloud Object Storage 的实例,并创建存储区以存储数据。 有关更多信息,请参阅 IBM Cloud Object Storage 入门教程
- 在供应密钥管理服务的区域中创建 IBM Cloud Object Storage 实例。
- 创建存储桶时,弹性设置必须为“区域”。
- (可选)创建存储区后,可以使用 DEK 加密存储区。
准备加密映像
- 选择要加密的在 IBM Cloud 基础架构环境中工作的未加密映像。 一个选项是使用现有虚拟服务器来创建映像模板。 有关更多信息,请参阅 处理从云启动调配的虚拟服务器创建的映像模板。 您还可以使用现有 VHD 映像。 确保映像满足 加密映像需求。
- 如果要在 IBM Cloud infrastructure customer portal 中使用映像模板,请导出未加密映像至 IBM Cloud Object Storage。
- 将映像文件从 IBM Cloud Object Storage 下载到安全的本地计算机以加密映像。 在服务仪表板中,选择下载操作以从存储器中检索对象。 可以使用 Aspera 高速传输插件来下载大于 200 MB 的映像。
- 使用 vhd-util 工具加密 VHD 映像。
- 在 IBM Cloud Object Storage 中,浏览至存储区,然后单击添加对象以上传加密映像。 可以使用 Aspera 高速传输插件来上传大于 200 MB 的映像。
如果您对自动加密映像感兴趣,请查看此 IBM Cloud 博客帖子。
导入加密映像并订购实例
- 在将加密映像导入到 Cloud Identity and Access Management 控制台时,使用 IBM IBM Cloud (IAM) 来创建要用于认证的服务标识。
- 创建服务标识。
- 分配访问策略。 分配对以下服务的访问权:IBM Cloud Object Storage 和密钥管理。
- 为服务标识创建 API 密钥。
- 更多信息,请参见 介绍IBM Cloud IAM ServiceID 和 API 密钥。
- 从 IBM Cloud 控制台,在“映像模板”页面中导入加密映像。
- 在“映像模板”页面中,可以使用加密映像来订购虚拟服务器实例。
- 通过供应加密虚拟服务器,您可以通过 Activity Tracker 来审计 虚拟服务器事件。