IBM Cloud Docs
Welcher Datensicherheitsdienst ist der beste für mich?

Welcher Datensicherheitsdienst ist der beste für mich?

Bei IBM Cloud können Sie unter verschiedenen Angeboten für das Management geheimer Schlüssel und für den Datenschutz wählen, die Ihnen helfen, Ihre sensiblen Daten zu schützen und Ihre geheimen Schlüssel zu zentralisieren.

Beachten Sie beispielsweise die folgenden Szenarios und die Art und Weise, mit der hier Angebote zur Verwaltung geheimer Schlüssel und zum Datenschutz in IBM Cloud zugeordnet werden.

Die Abbildung beschreibt drei Anwendungsfälle für die Verwaltung geheimer Schlüssel und deren Zuordnung zu verfügbaren Services in IBM Cloud. Der Inhalt wird im Begleittext ausführlich erläutert.
Anwendungsfälle für die Verwaltung von Geheimnissen

Anwendungsfälle

In der folgenden Tabelle sind die verschiedenen Angebote aufgeführt, die Sie mit IBM Cloud nutzen können, um Ihre Daten zu schützen.

Verwaltung von Geheimnissen und Datenschutzszenarien
Szenario Verwendungsempfehlung
Sie müssen Verschlüsselungsschlüssel erstellen und verwalten, die von FIPS 140-2 Level 3-validierter Hardware unterstützt werden. Sie können mit Key Protect zum Generieren und Importieren von Verschlüsselungsschlüsseln verwenden, indem Sie einen mandantenfähigen Dienst mit gemeinsam genutzter Hardware nutzen.
Als Mitarbeiter in einem DevOps-Team müssen Sie API-Schlüssel, Berechtigungsnachweise, Datenbankkonfigurationen und andere geheime Schlüssel für Ihre Services und Anwendungen erstellen, anderen überlassen und verwalten. Mit Secrets Manager können Sie geheime Schlüssel unterschiedlichen Typs in einer dedizierten Instanz verwalten.
Sie müssen SSL/TLS-Zertifikate für Ihre Bereitstellungen generieren, verlängern und verwalten. Sie können Ihre SSL/TLS-Zertifikate und privaten Schlüssel auch in einer eigenen Instanz von Secrets Manager.
Die Daten, die Sie mit Verschlüsselungsschlüsseln schützen möchten, sind sehr wertvoll für Ihr Unternehmen oder Sie müssen bestimmte Datenschutzbestimmungen einhalten. Zu diesem Zweck möchten Sie die vollständige und exklusive Kontrolle über Ihre Schlüssel haben und sogar den Zugriff vom IBM Cloud-Administrator auf den Masterschlüssel ausschließen. Daher möchten Sie einen dedizierten Schlüsselmanagementservice, der in einer sicheren Enklave ausgeführt wird, sowie ein dediziertes Hardwaresicherheitsmodul gemäß FIPS 140-2 Level 4 als Service nutzen, das Ihrer uneingeschränkten Kontrolle unterliegt. Mit Hyper Protect Crypto Services haben Sie die volle Kontrolle über die Verwaltung von Verschlüsselungsschlüsseln in einem Single-Tenant-Service mit dedizierter Hardware für Ihren eigenen Schlüssel (KYOK).
Sie verfügen über eine Multi-Cloud-Architektur und möchten die Datensicherheit in allen Clouds effizient und sicher verbessern. Mit Hyper Protect Crypto Services mit Unified Key Orchestrator können Sie Ihre Schlüssel in IBM Cloud (BYOK und KYOK), AWS (BYOk), GCP (BYOK) und Azure (BYOK) vereinheitlicht und hochsicher verwalten.

Welches sind die wesentlichen Funktionen für jeden Datenschutzservice?

Wenn Sie Ihre Datenschutzstrategie planen, ist einer der zu berücksichtigenden Unterschiede die Stufe der Datenisolation, die Ihr Workload erfordert.

Für ein höheres Maß an Sicherheit und Kontrolle kann Ihr Unternehmen von der Datenisolation profitieren, die ein Single-Tenant-Angebot wie z. B. Secrets Manager oder Hyper Protect Crypto Services zur Verfügung stellt. Sie könnten sich auch dafür entscheiden, dass die geringeren Kosten und die Skalierbarkeit eines mandantenfähigen Dienstes wie Key Protect besser für Ihre Bedürfnisse geeignet sind. In der folgenden Tabelle werden die Hauptmerkmale für jeden Service aufgelistet.

Key Protect Secrets Manager Hyper Protect Crypto Services
Typen von geheimen Schlüsseln Symmetrische Verschlüsselungsschlüssel Beliebige geheime Schlüssel
IAM-Berechtigungsnachweise
geheime Schlüssel/Wert-Schlüssel
SSL/TLS-Zertifikate
Benutzerberechtigungsnachweise 		Symmetrische Verschlüsselungsschlüssel
Multi-Tenant[1] Symbol für Häkchen
Single-Tenant[2] Symbol für Häkchen Symbol für Häkchen
Unterstützt durch Hochsicherheitsmodul (HSM)[3] Symbol für Häkchen Symbol für Häkchen
Ausführung in sicherer Enklave[4] Symbol für Häkchen
Vom Client initialisiertes und gesteuertes HSM Symbol für Häkchen

Können diese Dienste zusammenarbeiten?

Ja. Für viele Anwendungsfälle ist es wichtig, mehr als einen Dienst zu nutzen, um Ihre Daten vollständig zu schützen. Weitere Informationen über die einsatzfähige Architektur, die Sicherheitsdienste umfasst, finden Sie unter Was ist Cloud-Sicherheit?

Wie fange ich an?

Jeder Service unterstützt entweder einen Lite-Plan oder einen kostenloser Test, mit dem Sie das Leistungsspektrum des Service kostenlos testen können. Beginnen Sie, indem Sie eine Instanz eines Service aus dem IBM Cloud-Katalog erstellen.

  1. Ein mandantenfähiger Dienst verwendet eine einzige Instanz seiner Software (und der zugrunde liegenden Datenbank und Hardware), um mehrere Mieter zu bedienen. Weitere Informationen. ↩︎

  2. Ein Single-Tenant-Dienst erstellt für jeden einzelnen Mandanten eine eigene Instanz seiner Software (und der zugrunde liegenden Datenbank und Hardware). ↩︎

  3. Ein Dienst, der durch ein Hardware-Sicherheitsmodul (HSM) unterstützt wird, verwendet manipulationssichere, FIPS-validierte physische Hardware als Vertrauensbasis für die kryptografische Speicherung und Verarbeitung von Verschlüsselungsschlüsseln. ↩︎

  4. Mindert interne und externe Angriffsvektoren, um unbefugten Zugriff auf Schlüssel zu erhalten. ↩︎