IBM Cloud Docs
Informationen zu Key Protect

Informationen zu Key Protect

IBM® Key Protect for IBM Cloud® ist eine Full-Service-Verschlüsselungslösung, mit der Daten gesichert und in IBM Cloud gespeichert werden können, indem Sie die neuesten Verfahren der Envelope-Verschlüsselung verwendet, die FIPS 140-2 Level 3 zertifizierte Cloud-basierte Hardwaresicherheitsmodule nutzt.

Sensible Daten sollten bei keinem Cloud-Provider unverschlüsselt (also als "unverschlüsselter Text") gespeichert werden. Aber wie bei jeder Verschlüsselungsmethode, die auf die frühesten bekannten Chiffretexte zurückgeht, die vor Tausenden von Jahren erstellt wurden, ist es nicht nur wichtig, Informationen so zu verschlüsseln, dass sie nicht leicht entschlüsselt werden können, sondern auch die Chiffren zu schützen, die zur Ver- und Entschlüsselung verwendet werden (da eine Chiffre genauso gut ist wie die Daten).

Bei der Lösung handelt es sich um ein Schlüsselverwaltungssystem wie Key Protect, das die Sicherheit der Daten durch Verschlüsselung der Datenverschlüsselungsschlüssel (DEKs), die Ihre Klartext-Daten mit den von IBM verwalteten Stammschlüsseln über ein undurchdringbares HSM verschlüsseln, sichert. Bei dieser Art von System, das als " Envelope-Verschlüsselung " bekannt ist, bedeutet der Prozess der Entschlüsselung der Daten, dass zuerst der verschlüsselte DEK "ausgepackt" (mit anderen Worten: seine Hülle geöffnet) und dann der DEK zur Entschlüsselung der Daten verwendet wird.

Weitere Informationen zur Umschlagverschlüsselung finden Sie im Abschnitt Daten mit Envelope-Verschlüsselung schützen.

Welche IBM Cloud-Sicherheit ist für Ihren Anwendungsfall richtig? Weitere Informationen finden Sie unter Welcher Datensicherheitsservice ist für mich am besten?.

Was Key Protect bietet

  • Bringen Sie Ihre Verschlüsselungsschlüssel in die Cloud: Steuern Sie Ihre Schlüsselmanagementverfahren vollständig und stärken Sie sie, indem Sie symmetrische Schlüssel sicher aus Ihrer internen Schlüsselmanagementinfrastruktur in IBM Cloudexportieren.
  • Robuste Sicherheit: Bereitstellung und Speicherung von Schlüsseln mit FIPS 140-2 Level 3 zertifizierten Hardware-Sicherheitsmodulen (HSMs). Nutzen Sie IBM Cloud Identity and Access Management(IAM)-Rollen, um eine fein abgestufte Zugriffskontrolle auf Ihre Schlüssel zu ermöglichen. Weitere Informationen finden Sie im Abschnitt Ihre Verantwortlichkeiten bei der Verwendung von Key Protect kennenlernen.
  • Kontrolle und Sichtbarkeit: Verwenden Sie IBM Cloud Logs, um zu messen, wie Benutzer und Anwendungen mit Key Protect interagieren. Weitere Informationen finden Sie unter IBM Cloud Logs.
  • Vereinfachte Abrechnung: Verfolgen Sie die Ausgaben für Abonnements und Guthaben für alle Konten in einer einzigen Ansicht. Weitere Informationen zu Schlüsseln, Schlüsselversionen und Preisgestaltung finden Sie unter Preisgestaltung.
  • Selbstverwaltete Verschlüsselung: Erstellen oder importieren Sie Root- und Standardschlüssel zum Schutz Ihrer Daten.
  • Flexibilität: Apps in oder außerhalb von IBM Cloud können mit den Key Protect-APIs integriert werden. Key Protect lässt sich problemlos mit einer Vielzahl von IBM Datenbank-, Speicher-, Container-und Aufnahmeservices integrieren. Weitere Informationen finden Sie unter Integration von Services.
  • Eingebauter Schutz: Gelöschte Schlüssel und ihre verschlüsselten Daten können nicht wiederhergestellt werden. Verwalten Sie Ihre Benutzerrollen und Schlüsselstatus, und legen Sie einen Rotationsplan fest, der für Ihren Anwendungsfall geeignet ist, indem Sie die Benutzeroberfläche, die Befehlszeilenschnittstelle oder die API verwenden.
  • Anwendungsunabhängig: Erzeugen, Speichern, Abrufen und Verwalten von Schlüsseln unabhängig von der Anwendungslogik.
  • Die Interoperabilitätsprotokoll für die Schlüsselverwaltung(KMIP)-Unterstützung kann wie zertifiziert von VMWare direkt in jeden Dienst oder jede Plattform integriert werden, die eine Verschlüsselung über einen KMIP-KMS-Server akzeptiert. Wo andere KMS' die Unterstützung von KMIP-Servern von Drittanbietern erfordern, wird die Unterstützung für KMIP von Key Protect integriert und verwaltet. Und da die symmetrischen KMIP-Schlüssel nur als Einzelschlüsselversion berechnet werden, zahlen Sie nur für das, was Sie nutzen.

Gründe für die Verwendung von Key Protect

Im Folgenden werden einige gängige Szenarien vorgestellt, die erklären, wie Key Protect zur Lösung von Problemen eingesetzt werden kann, mit denen Unternehmen in der Produktion in großem Umfang konfrontiert sind.

Gründe für die Verwendung von Key Protect in verschiedenen Szenarien.
Szenarios Gründe
Sie müssen Verschlüsselungsschlüssel erstellen und verwalten, die von FIPS 140-2 Level 3-validierter Hardware unterstützt werden. Sie können ** Key Protect verwenden, um Verschlüsselungsschlüssel zu erzeugen und zu importieren, indem Sie einen mandantenfähigen Dienst mit gemeinsam genutzter Hardware verwenden.
Als IT-Administrator für ein Großunternehmen müssen Sie Verschlüsselungsschlüssel für viele unterschiedliche Serviceangebote integrieren, überwachen und turnusmäßig wechseln. Die Key Protect-Schnittstelle vereinfacht das Management mehrerer Verschlüsselungsservices. Mit dem Service können Sie Verschlüsselungsschlüssel an einer zentralen Position verwalten und sortieren oder Schlüssel nach Projekt trennen und in verschiedene IBM Cloud-Bereiche aufnehmen.
Als Entwickler können Sie bereits vorhandene Anwendungen, wie zum Beispiel selbstverschlüsselnden Speicher, in Key Protect integrieren. Apps in oder außerhalb von IBM Cloud können mit den Key Protect-APIs integriert werden. Sie können Ihre eigenen vorhandenen Schlüssel für Ihre Apps verwenden und sie in Key Protectimportieren.
Ihr Entwicklungsteam hat strenge Richtlinien, und Sie brauchen eine Möglichkeit, Schlüssel zu erzeugen und zu rotieren. Mit Key Protect können Sie innerhalb kurzer Zeit Schlüssel über ein IBM Cloud-Hardwaresicherheitsmodul (HSM) generieren. Wenn es Zeit ist, einen Schlüssel zu ersetzen, unabhängig davon, ob er mit Key Protect oder importiert wurde, können Sie den Schlüssel bedarfsgerecht drehen oder eine Rotationsrichtlinie festlegen , damit der Schlüssel Ihren bedarfsgerechten Sicherheitsanforderungen gerecht wird.
Sie sind Sicherheitsadministrator in einem Unternehmensbereich (z. B. Finanzen oder Recht), der die Governance zum Datenschutz einhalten muss. Sie müssen gesteuerten Zugriff von Schlüsseln gewähren, ohne dass die gesicherten Daten beeinträchtigt werden. Mit dem Service können Sie den Benutzerzugriff steuern, um Schlüssel zu verwalten, indem Sie unterschiedliche IAM-Rollen zuordnen. Sie können beispielsweise Benutzern Lesezugriff erteilen, die Informationen zur Schlüsselerstellung anzeigen müssen, ohne die Schlüsselinformationen anzuzeigen. Ebenso kann Benutzern bei Bedarf die Rolle "Manager" über nur einen einzigen Schlüssel zugewiesen werden.
Sie führen eine Envelope-Verschlüsselung durch, wenn Sie Daten in die Cloud verschieben. Sie benötigen Ihre eigenen Masterverschlüsselungsschlüssel, um andere Schlüssel zu verwalten und zu schützen, mit denen Ihre ruhenden Daten verschlüsselt werden. Mit Key Protectkönnen Sie Ihre Datenverschlüsselungsschlüssel einem hochsicheren Rootschlüssel umpacken (verschlüsseln). Sie können diesen Schlüssel auch bei Bedarf auspacken. Sie können Ihre eigenen Rootschlüssel verwenden oder im Service neue Rootschlüssel erstellen.

Key Protect ist ein Cloud-basiertes Key-Managementsystem, das das Beste aus Kosten, Sicherheit und Maßstab bereitstellt. Wenn Sie nach einer speziellen Schlüsselverwaltungslösung suchen, die kundenkontrollierte, cloudbasierte HSMs unterstützt IBM Cloud Hyper Protect Crypto Services lässt sich mit Key Protect integrieren, um Keep Your Own Keys (KYOK) für IBM Cloud zu ermöglichen, so dass Ihr Unternehmen mehr Kontrolle und Autorität über seine Daten hat. Weitere Informationen finden Sie auf der Hyper Protect Crypto Services-Angebotsdetailseite.

Funktionsweise von Key Protect

IBM Key Protect hilft Ihnen bei der Verwaltung von Verschlüsselungsschlüsseln in Ihrem Unternehmen, indem Sie die IBM Cloud IAM-Rollen ausrichten.

Ein IT- oder Sicherheitsadministrator benötigt möglicherweise erweiterte Berechtigungen für Ihre Instanz, Schlüssel oder Schlüsselanhänger, die andere Benutzer, einschließlich Auditoren, nicht benötigen. Aus diesem Grund wird Key Protect den etablierten IAM-Rollen zugeordnet, um einen feinkörnigen Zugriff für jeden Benutzer nach Bedarf zu ermöglichen. Weitere Informationen finden Sie im Abschnitt Benutzer und Zugriff verwalten.

Das folgende Diagramm zeigt, wie die standardmäßigen IAM-Rollen Manager, Leser und Schreiber mit Schlüsseln interagieren können, die im Service verwaltet werden.

Das Diagramm zeigt die gleichen Komponenten wie in der vorherigen Definitionsliste beschrieben.
Zeigt, wie verschiedene Zugriffsrollen mit Schlüsseln interagieren.

Einem bestimmten Benutzer können zwar bestimmte Rollen für bestimmte Ressourcen zugewiesen werden (ein Benutzer mit der Rolle "Leser" auf Instanzebene könnte ein "Manager" eines bestimmten Schlüssels oder Schlüsselrings sein), aber im Allgemeinen:

  • Leser können auf Informationen zu Schlüsseln zugreifen.
  • Schreibberechtigte können Schlüssel mit einer Anwendung oder einem Dienst verwenden, der in Key Protect integriert ist
  • Manager erstellen Schlüssel und kontrollieren deren Lebenszyklus (und können darüber hinaus alles tun, was Leser und Schreibberechtigte tun können).

Architekturübersicht

Key Protect verwendet den Algorithmus Advanced Encryption Standard im Galois/Counter Mode (AES GCM), um DEKs einzuschließen und deren Wrapping aufzuheben. Nicht importierte CRKs werden mit 256-Bit-Schlüsselmaterial erstellt. Importierte CRKs können 128-, 192- oder 256-Bit-Schlüsselinformationen enthalten.

Das folgende Architekturdiagramm zeigt das Zusammenspiel der Key Protect-Komponenten zum Schutz Ihrer sensiblen Daten und Schlüssel.

Das Diagramm zeigt, wie die Key Protect Komponenten sensible Daten und Schlüssel schützen
Key Protect

Der Zugriff auf den Key Protect-Service erfolgt über HTTPS. In der gesamten Kommunikation wird das TLS-Protokoll (Transport Layer Security) zum Verschlüsseln von Daten im Transit verwendet. Weitere Informationen zu TLS und den von Key Protect unterstützten Verschlüsselungen entnehmen Sie Datenverschlüsselung.

dienstkomponentenKey Protect
Komponenten Beschreibung
Key Protect-REST-API Die Key Protect-REST-API ermöglicht das Erstellen und Verwalten der Verschlüsselungsschlüssel in den IBM Cloud-Services.
Von IBM verwaltetes Hardwaresicherheitsmodul IBM Cloud Datencenter stellen die Hardware zum Schutz Ihrer Schlüssel bereit. Hardwaresicherheitsmodule (HSMs) sind manipulationssichere Hardwareeinheiten, die Chiffrierschlüsselinformationen speichern und verwenden, ohne die Schlüssel in unverschlüsselten Bereichen offenzulegen. Alle Verschlüsselungsoperation (z. B. Schlüsselerstellung und Schlüsselrotation) werden im HSM ausgeführt. IBM wechselt die Masterschlüssel des HSM in regelmäßigen Abständen, was eine zusätzliche Sicherheitsebene darstellt.
Vom Kunden verwaltete Verschlüsselungsschlüssel Root-Schlüssel sind symmetrische Schlüssel, die die Datenverschlüsselungsschlüssel mit der Umschlagverschlüsselungschützen. Root-Schlüssel verlassen nie die Grenze des HSM.
Dedizierter Schlüsselspeicher Schlüsselmetadaten werden in einem dauerhaften und dedizierten Speicherbereich für Key Protect gespeichert und sind im Ruhezustand zusätzlich durch Verschlüsselung auf Anwendungsebene geschützt.
Differenzierte Zugriffssteuerung Key Protect nutzt die IBM Cloud IAM-Rollen, um sicherzustellen, dass den Benutzern ein entsprechender Zugriff auf die Instanz-, Schlüssel-und Schlüsselringebene zugewiesen werden kann.