Acerca de Estándar y Dedicado Key Protect

IBM® Key Protect for IBM Cloud® ofrece dos opciones de implantación para satisfacer diferentes requisitos de seguridad y conformidad: Estándar (multi-tenant) y Dedicada (single-tenant).

Ambas versiones ofrecen soluciones de cifrado completas que permiten proteger y almacenar datos en IBM Cloud mediante técnicas de cifrado envolvente y módulos de seguridad de hardware basados en la nube. Standard es una oferta multi-tenant, en la que Key Protect gestiona el aislamiento de claves y recursos. Dedicated es de inquilino único y ofrece un control total de las claves (clave maestra y claves raíz) y de la informática confidencial.

Todas las operaciones de clave existentes (por ejemplo, creaciones de clave, rotaciones, eliminaciones) están disponibles para la opción Dedicada en la consola. Sin embargo, la inicialización del servicio requiere seguir las instrucciones de la CLI que se pueden encontrar en Inicialización de Dedicated Key Protect mediante la creación de una instancia, credenciales y una clave maestra.

Panorama de ambas ofertas

Tanto Standard como Dedicated Key Protect protegen los datos confidenciales cifrando las claves de cifrado de datos (DEK) con claves raíz que se gestionan a través de módulos de seguridad de hardware. En Standard, las llaves maestras son gestionadas por IBM. En Dedicated, usted posee y gestiona sus propias llaves maestras. En este sistema de cifrado de sobres, para descifrar los datos primero hay que "desenvolver" el DEK cifrado y luego utilizar el DEK para descifrar los datos.

Para más información sobre cómo funciona la encriptación de sobres, consulta Proteger datos con encriptación de sobres.

¿No está seguro de qué servicio de seguridad de IBM Cloud es el adecuado para su caso de uso? Consulte ¿Qué servicio de seguridad de datos es mejor para mí? para obtener más información.

Principales similitudes

Tanto Standard como Dedicated Key Protect comparten las siguientes funciones básicas:

Cifrado y gestión de claves

Cifrado de sobre
Se utiliza para proteger las claves de cifrado de datos con claves raíz.
Cifrado AES- GCM
Ambos utilizan el algoritmo Advanced Encryption Standard en modo Galois/Counter (AES GCM ) para envolver y desenvolver DEKs.
clave de 256 bits
Ambos admiten claves de 256 bits para las claves raíz creadas.
Gestión del ciclo de vida de claves
Admite la creación, importación, rotación y gestión de claves de cifrado.
Operaciones clave
Todas las operaciones con llaves existentes (creaciones, rotaciones, supresiones) están disponibles en ambas versiones.

Integración y acceso

Integración de IAM
Ambos se integran con IBM Cloud Identity and Access Management (IAM) para un control de acceso preciso.
Compatibilidad API
Ambos utilizan la misma API de proveedor de claves, lo que garantiza una experiencia coherente para los desarrolladores.
Integraciones de servicio
Ambos se integran con los servicios de IBM Cloud, incluidos los de bases de datos, almacenamiento, contenedores e ingestión.
HTTPS comunicación
Ambos utilizan HTTPS con el protocolo Transport Layer Security ( TLS ) para cifrar los datos en tránsito.
API REST
Ambos proporcionan API REST para la creación y gestión de claves de cifrado.

Funciones de gestión

Conjuntos de claves
Ambos permiten organizar las llaves mediante llaveros.
Alias de clave
Ambos admiten la creación de alias para las claves.
Políticas de rotación
Ambos permiten establecer calendarios de rotación de las llaves.
autorización dual
Ambos admiten políticas de autorización duales para la eliminación de claves.
Soporte de KMIP
Ambos ofrecen compatibilidad con el protocolo de interoperabilidad de gestión de claves (KMIP), certificado por VMWare.

Principales diferencias

La siguiente tabla muestra las principales diferencias entre las versiones estándar y dedicada Key Protect:

Tabla 1. Comparación entre estándar y dedicado Key Protect
Característica Estándar Key Protect Dedicado Key Protect
Modelo de arrendamiento Multiinquilino con HSM compartidos Un solo inquilino con particiones HSM dedicadas
Certificación HSM Certificación FIPS 140-2 de nivel 3 Presentado al NIST para la certificación FIPS 140-3 Nivel 4
Control de llaves Traiga su propia llave (BYOK) Keep Your Own Key (KYOK)
IBM acceso administrador IBM los administradores tienen acceso operativo Sin visibilidad para los administradores de IBM Cloud
Propiedad de la partición HSM Recursos HSM compartidos Propiedad exclusiva de particiones HSM (unidades criptográficas)
Gestión de claves maestras IBM-llaves maestras HSM gestionadas Llaves maestras propiedad del usuario
Asignación de administrador IBM-gestionado El usuario asigna sus propios administradores
Inicialización Consola o CLI CLI necesaria para la inicialización
Aislamiento de cargas de trabajo Infraestructura compartida Aislamiento completo de la carga de trabajo
Unidades criptográficas No aplicable Unidades criptográficas operativas para la gestión de claves y operaciones criptográficas
Control de jerarquía de claves IBM gestiona la raíz de la confianza El usuario es propietario de la raíz de confianza
Acceso con privilegios Acceso operativo de IBM Sin acceso operativo para el proveedor

Características estándar de Key Protect

Standard Key Protect es un servicio multiarrendatario que ofrece una gestión rentable de claves de cifrado con infraestructura compartida y operaciones de seguridad gestionadas por IBM.

Qué ofrece Standard

Lleve sus claves de cifrado a la nube
Controle por completo y refuerce sus prácticas de gestión de claves exportando de forma segura claves simétricas desde su infraestructura interna de gestión de claves a IBM Cloud.
Seguridad robusta
Aprovisione y almacene claves mediante módulos de seguridad de hardware (HSM) FIPS 140-2 de nivel 3. Aproveche IBM Cloud Identity and Access Management(IAM)funciones para proporcionar un control de acceso preciso a sus llaves.
Control y visibilidad
Utilice IBM Cloud Logs para medir cómo interactúan los usuarios y las aplicaciones con Key Protect.
Facturación simplificada
Realice un seguimiento de los gastos de suscripción y crédito para todas las cuentas desde una única vista. Para obtener más información sobre llaves, versiones de llaves y precios, consulte Precios.
Cifrado autogestionado
Crea o importa claves raíz y estándar para proteger tus datos.
Flexibilidad
Las aplicaciones dentro o fuera de IBM Cloud pueden integrarse con las API de Key Protect. Key Protect se integra fácilmente con diversos servicios de bases de datos, almacenamiento, contenedores e ingestión de IBM.
Protección incorporada
Las claves suprimidas, y sus datos cifrados, nunca se pueden recuperar. Gestione las funciones de los usuarios, los estados de las claves y establezca un programa de rotación que se adapte a su caso de uso mediante la interfaz de usuario, la CLI o la API.
Independiente de la aplicación
Genere, almacene, recupere y gestione claves independientemente de la lógica de la aplicación.

Standard Key Protect es ideal para organizaciones que necesitan una sólida gestión de claves de cifrado con infraestructura compartida y operaciones de seguridad gestionadas por IBM.

Funciones específicas de Key Protect

Dedicated Key Protect es un servicio de inquilino único diseñado para proporcionar a las empresas un control total sobre sus claves de cifrado y operaciones criptográficas en la nube.

Qué ofrece Dedicado

Control total de las llaves
Las funciones KYOK garantizan que sólo usted tenga acceso a sus claves, sin visibilidad para los administradores de IBM Cloud.
HSM FIPS 140-3 de nivel 4 (presentado para la certificación NIST)
Presentado al NIST para la certificación de la última norma de certificación de módulos de seguridad de hardware.
Particiones HSM dedicadas
Unidades criptográficas exclusivas para mejorar la seguridad y el aislamiento de la carga de trabajo.
Llaves maestras gestionadas por el usuario
Control total sobre la raíz de confianza que cifra toda la jerarquía de claves de cifrado.
Administradores personalizados
Asigne sus propios administradores de HSM mediante claves de autenticación de firma RSA.
Aislamiento de cargas de trabajo
Separación completa de otros inquilinos con infraestructura dedicada.
Cumplimiento reforzado
Cumple los estrictos requisitos normativos de soberanía y seguridad de los datos.
confianza cero
La infraestructura se ejecuta en contenedores confidenciales Red Hat OpenShift fortificados por enclaves seguros Intel TDX.

Todas las operaciones con claves existentes (por ejemplo, creaciones, rotaciones, eliminaciones de claves) están disponibles en la consola. Sin embargo, la inicialización del servicio requiere seguir las instrucciones de la CLI que se pueden encontrar en Inicialización de Dedicated Key Protect mediante la creación de una instancia, credenciales y una clave maestra.

Conceptos específicos dedicados

Dedicated Key Protect introduce varios conceptos únicos:

Unidades criptográficas
Una sola unidad que representa un HSM y una pila de software correspondiente dedicada a la criptografía. Las unidades criptográficas operativas gestionan las claves de cifrado y realizan operaciones criptográficas.
Claves de autenticación de firma RSA
Los administradores utilizan claves de firma basadas en RSA para firmar comandos que se emiten a las unidades criptográficas. La clave privada crea firmas y se almacena localmente en un archivo de claves cifrado, mientras que la clave pública se instala en la unidad criptográfica para definir administradores.
Llave maestra (llave maestra de seguridad HSM)
Una clave AES simétrica de 256 bits que cifra la instancia de servicio para el almacenamiento de claves. Con la clave maestra, posees la raíz de confianza que cifra toda la jerarquía de claves de cifrado. La eliminación de la clave maestra destruye todos los datos cifrados.
Componentes de clave maestra
Cuando se inicializa utilizando archivos de partes de claves, una clave maestra se compone de dos o más partes de claves maestras. Cada parte es una clave AES simétrica de 256 bits que puede pertenecer a distintas personas para mejorar la seguridad.

Comparación de casos de uso

El siguiente diagrama ilustra los casos de uso en los que sería más apropiado utilizar Key Protect estándar o dedicado. El factor principal a la hora de elegir entre Estándar y Dedicado es el nivel de seguridad y control que necesita para sus datos.

El diagrama muestra casos de uso en los que Standard y Dedicated son útiles.
Figura 1. Casos de uso para Estándar y Dedicado Key Protect

Cuándo utilizar la norma Key Protect

Standard Key Protect es ideal para:

  • Organizaciones que requieren cifrado FIPS 140-2 Nivel 3.
  • Implantaciones sensibles a los costes que pueden utilizar infraestructuras compartidas.
  • Requisitos de despliegue rápido.
  • Cumplimiento de las normas y requisitos reglamentarios.
  • Aplicaciones que necesitan capacidades BYOK.
  • Integración con múltiples servicios de IBM Cloud.
  • Organizaciones cómodas con la infraestructura HSM gestionada por IBM.

Cuándo utilizar Dedicado Key Protect

Dedicado Key Protect es ideal para:

  • Organizaciones que requieren cifrado FIPS 140-3 Nivel 4 (presentado para certificación).
  • Cumplimiento estricto de la normativa que exige la soberanía de los datos.
  • Sectores regulados con datos sensibles y estrictos requisitos de seguridad (finanzas, sanidad, administración pública).
  • Organizaciones que requieren un control total de la raíz de confianza para las claves y el HSM.
  • Requisitos completos de aislamiento de la carga de trabajo.
  • Organizaciones que necesitan eliminar los riesgos de acceso privilegiado.
  • Escenarios que requieren la asignación de un administrador HSM personalizado.
  • Organizaciones que necesitan un control total sobre la jerarquía de claves de cifrado.

Casos de ejemplos habituales

La siguiente tabla muestra escenarios comunes que explican cómo pueden utilizarse ambas versiones de Key Protect:

Tabla 2. Comparación de escenarios para Estándar y Dedicado Key Protect
Escenario Standard Dedicada
Genere y gestione claves de cifrado respaldadas por hardware con certificación FIPS certificación FIPS 140-2 de nivel 3 (Presentado al NIST para la certificación FIPS 140-3 Nivel 4)
El administrador informático debe integrar, controlar y rotar las claves de cifrado de varios servicios
El desarrollador quiere integrar aplicaciones preexistentes con la gestión de claves
El equipo de desarrollo tiene políticas estrictas que exigen una rápida generación y rotación de claves
El administrador de seguridad necesita un acceso controlado sin comprometer la seguridad de los datos
Realizar el cifrado de sobres con claves de cifrado maestras
Elimine todo acceso del administrador de IBM a las claves de cifrado
Exigir particiones HSM dedicadas para cumplir la normativa
Necesidad de control total de las claves maestras HSM
Asignar administradores de HSM personalizados
Infraestructura compartida rentable
Para datos públicos e internos, cargas de trabajo en la nube como almacenamiento de objetos en la nube, almacenamiento físico, almacenamiento en bloques, sistemas de archivos y bases de datos
Para datos sensibles y confidenciales (PHI, PII, registros financieros), almacenamiento de bases de datos y objetos, modelos y datos de IA y protección de datos en uso (informática confidencial) Recomendado

Visión general de la arquitectura

Tanto Standard como Dedicated Key Protect utilizan componentes arquitectónicos similares con diferencias clave en la tenencia y el control.

Key Protect utiliza el algoritmo Advanced Encryption Standard en modalidad Galois/Counter (AES GCM) para encapsular y desencapsular las DEK. Las claves raíz que no se importan se crean con material de clave de 256 bits. Las claves raíz importadas pueden tener un material de clave de 128, 192 o 256 bits.

El acceso al servicio Key Protect se realiza sobre HTTPS. Toda la comunicación utiliza el protocolo Transport Layer Security (TLS) para cifrar los datos en tránsito. Para más información sobre TLS y los cifrados compatibles con Key Protect, consulte Cifrado de datos.

Componentes arquitectónicos comunes

API REST de Key Protect
La API REST de Key Protect permite la creación y gestión de claves de cifrado en los servicios de IBM Cloud.
módulos de seguridad de hardware
Los centros de datos IBM Cloud proporcionan el hardware para proteger las claves. Los HSM son dispositivos de hardware que no permite manipulaciones y que almacenan y utilizan material de claves de cifrado sin exponer las claves fuera de un límite de cifrado.
Claves de cifrado gestionadas por el cliente
Las claves raíz son claves simétricas que protegen las claves de cifrado de datos con el cifrado de sobre. Las claves raíz nunca abandonan el límite del HSM.
Almacenamiento de claves dedicado
Los metadatos de clave se almacenan en un almacenamiento dedicado altamente duradero para Key Protect que se cifra en reposo con cifrado de capa de aplicación adicional.
Control de acceso preciso
Key Protect aprovecha los roles de IBM Cloud IAM para asegurarse de que a los usuarios se les puede asignar el acceso adecuado en el nivel de instancia, la clave y conjunto de claves.

Arquitectura estándar específica

En la norma Key Protect:

  • Los HSM se comparten entre varios inquilinos en una arquitectura multiinquilino.
  • IBM gestiona y rota periódicamente las claves maestras del HSM, proporcionando una capa extra de seguridad.
  • IBM los administradores tienen acceso operativo para gestionar la infraestructura.

Arquitectura específica dedicada

En Key Protect Dedicated:

  • Cada cliente recibe particiones HSM dedicadas (unidades criptográficas) para un aislamiento completo de la carga de trabajo.
  • Los clientes gestionan sus propias claves maestras de copia de seguridad HSM, siendo propietarios de la raíz de confianza.
  • Los clientes asignan sus propios administradores mediante claves de autenticación de firma RSA.
  • Sin acceso del administrador de IBM a las claves de cifrado del cliente ni a las operaciones criptográficas.

Próximos pasos