Acerca de Key Protect
IBM® Key Protect for IBM Cloud® es una solución de cifrado de servicio completo que permite proteger y almacenar datos en IBM Cloud utilizando las últimas técnicas de cifrado de sobres que aprovechan los módulos de seguridad de hardware basados en la nube certificados por FIPS 140-2 Nivel 3.
Los datos confidenciales no deben almacenarse en ningún proveedor de nube sin cifrar (como "texto sin formato", en otras palabras). Pero al igual que con cualquier método de cifrado, remontándonos a los primeros textos cifrados conocidos creados hace miles de años, es importante no sólo cifrar la información para que no pueda descifrarse fácilmente, sino proteger los cifrados utilizados para cifrarla y descifrarla (ya que tener un cifrado es tan bueno como tener los datos).
La solución es un sistema de gestión de claves como Key Protect, que mantiene la seguridad de los datos cifrando las claves de cifrado de datos (DEK) que cifran los datos de texto sin formato con las claves raíz gestionadas por IBM a través de un HSM impenetrable. En este tipo de sistema, conocido como "cifrado de sobre", el proceso de descifrar los datos significa primero "desenvolver" el DEK cifrado (abrir su sobre, en otras palabras) y luego utilizar la DEK para descifrar los datos.
Para obtener más información sobre cómo funciona el cifrado de sobre, consulte Protección de datos con cifrado de sobre.
¿No está seguro de qué seguridad de IBM Cloud es la adecuada para su caso de uso? Consulte ¿Qué servicio de seguridad de datos es mejor para mí? para obtener más información.
¿Qué ofrece Key Protect?
- Lleve sus claves de cifrado al cloud: controle completamente y refuerce sus prácticas de gestión de claves exportando de forma segura claves simétricas de su infraestructura de gestión de claves interna a IBM Cloud.
- Seguridad robusta: Aprovisione y almacene claves utilizando módulos de seguridad de hardware (HSM) con certificación FIPS 140-2 de nivel 3. Aproveche los roles Identity and Access Management(IAM) IBM Cloud para brindar un control de acceso detallado a sus claves. Para obtener más información, consulte Descripción de sus responsabilidades con el uso de Key Protect.
- Control y visibilidad: Utilice IBM Cloud Logs para medir cómo interactúan los usuarios y las aplicaciones con Key Protect. Para más información, consulte IBM Cloud Logs.
- Facturación simplificada: Realice el seguimiento del gasto en suscripciones y créditos de todas las cuentas desde una única vista. Para obtener más información sobre las claves, las versiones clave y los precios, consulte Precios.
- Cifrado autogestionado: Crea o importa claves raíz y estándar para proteger tus datos.
- Flexibilidad: Las apps en o fuera de IBM Cloud se pueden integrar con las API de Key Protect. Key Protect se integra fácilmente con una variedad de servicios de base de datos, almacenamiento, contenedor e ingestión de IBM. Para obtener más información, consulte Integración de servicios.
- Protección integrada: Las claves borradas, y sus datos cifrados, nunca podrán recuperarse. Gestione los roles de usuario, los estados clave y establezca una planificación de rotación que funcione para el caso de uso utilizando la interfaz de usuario, CLI o API.
- Independiente de la aplicación: Genere, almacene, recupere y gestione claves independientemente de la lógica de la aplicación.
- Soporte para el protocolo de interoperabilidad de gestión de claves(KMIP), como certificado por VMWare, puede integrarse directamente con cualquier servicio o plataforma que acepte el cifrado a través de un servidor KMIP KMS. Donde otros KMS' requieren soporte de servidor KMIP de terceros, el soporte para KMIP está integrado y gestionado por Key Protect. Y como las claves simétricas KMIP sólo se cobran como versión de clave única, usted sólo paga por lo que utiliza.
Motivos para utilizar Key Protect
Estos son algunos escenarios comunes que explican cómo se puede utilizar Key Protect para resolver problemas a los que se enfrentan las empresas que operan a escala en la producción.
| Escenarios | Razones |
|---|---|
| Debe crear y gestionar las claves de cifrado respaldadas por el hardware validado por FIPS 140-2 Nivel 3. | Puede utilizar ** Key Protect para generar e importar claves de cifrado utilizando un servicio multi-tenant con hardware compartido. |
| Como administrador de TI de una gran empresa, necesita integrar, hacer el seguimiento y rotar claves de cifrado de muchas ofertas de servicio distintas. | La interfaz de Key Protect simplifica la gestión de múltiples servicios de cifrado. Con el servicio puede gestionar y ordenar claves de cifrado en una ubicación centralizada, o puede separar claves por proyectos y alojarlas en distintos espacios de IBM Cloud. |
| Como desarrollador, desea integrar las aplicaciones preexistentes como, por ejemplo, el almacenamiento de autocifrado, en Key Protect. | Las apps que se encuentran en IBM Cloud o fuera pueden integrarse con las API de Key Protect. Puede utilizar sus propias claves existentes para sus aplicaciones e importarlas en Key Protect. |
| Su equipo de desarrollo tiene políticas estrictas y necesita una forma de generar y rotar las claves. | Gracias a Key Protect, puede generar claves rápidamente desde un módulo de seguridad de hardware (HSM) de IBM Cloud. Cuando llega el momento de sustituir una clave, independientemente de si se ha creado utilizando Key Protect o se ha importado, puede rotar la clave bajo demanda o establecer una política de rotación para que la clave cumpla sus necesidades de seguridad en curso. |
| Como administrador de seguridad de un sector, como finanzas o jurídico, debe ajustarse a las regulaciones sobre cómo se deben proteger datos. Necesita otorgar acceso controlado a las claves sin poner en riesgo los datos que se protegen. | Con el servicio, puede controlar el acceso de usuario para gestionar claves mediante la asignación de diferentes roles de IAM. Por ejemplo, puede otorgar acceso de solo lectura a los usuarios que requieran ver la información de creación de claves, sin ver el material de la clave. De forma similar, a los usuarios se les puede asignar el rol "Manager" sobre una sola clave, si es necesario. |
| Puede que desee realizar el cifrado de sobre a medida que mueve sus datos a la nube. Necesitará traer sus propias claves de cifrado maestras para poder gestionar y proteger otras claves que cifren los datos en reposo. | Con Key Protect, puede envolver (cifrar) las claves de cifrado de datos con una clave raíz muy segura y también desenvolver esa clave cuando sea necesario. Puede traer sus propias claves de raíz o crearlas en el servicio. |
Key Protect es un sistema de gestión de claves basado en la nube que proporciona lo mejor en términos de coste, seguridad y escala. Si busca una solución de gestión de claves dedicada que admita HSM controlados por el cliente y basados en la nube IBM Cloud Hyper Protect Crypto Services se integra con Key Protect para permitir Keep Your Own Keys (KYOK) para IBM Cloud, para que su organización tenga más control y autoridad sobre sus datos. Consulte la página de detalles de la ofertaHyper Protect Crypto Services para obtener más información.
Cómo funciona Key Protect
IBM Key Protect le ayuda a gestionar las claves de cifrado en toda la organización alineándose con los roles de IBM Cloud IAM.
Es posible que un administrador de TI o de seguridad necesite permisos avanzados para su instancia, claves o anillos de claves que otros usuarios, incluidos los auditores, podrían no necesitar. Por este motivo, Key Protect se correlaciona con los roles IAM establecidos para permitir un acceso preciso para cada usuario, según sea necesario. Para obtener más información, consulte Gestión de usuarios y acceso.
El diagrama siguiente muestra cómo los roles IAM predeterminados de gestor, lector y escritor pueden interactuar con claves que se gestionan en el servicio.
Mientras que a un usuario concreto se le pueden asignar roles específicos sobre recursos específicos (un usuario con un rol de "Lector" en el nivel de instancia puede ser un "Gestor" de una clave o un conjunto de claves en particular), en general:
- Los lectores pueden acceder a información sobre claves.
- Los escritores pueden utilizar claves con una aplicación o servicio que esté integrado con Key Protect
- Los gestores crean claves y controlan su ciclo de vida (además de poder hacer todo lo que pueden hacer los lectores y los escritores).
Visión general de la arquitectura
Key Protect utiliza el algoritmo Advanced Encryption Standard en modalidad Galois/Counter (AES GCM) para encapsular y desencapsular las DEK. Las CRK que no se importan se crean con material de clave de 256 bits. Las CRK importadas pueden tener un material de clave de 128, 192 o 256 bits.
En el siguiente diagrama de la arquitectura se muestra cómo funcionan los componentes Key Protect para proteger los datos y las claves confidenciales.
El acceso al servicio Key Protect se realiza sobre HTTPS. Toda la comunicación utiliza el protocolo Transport Layer Security (TLS) para cifrar los datos en tránsito. Para obtener más información sobre TLS y los cifrados soportados por Key Protect, consulte Cifrado de datos.
| Componentes | Descripción |
|---|---|
| API REST de Key Protect | La API REST de Key Protect permite la creación y gestión de claves de cifrado en los servicios de IBM Cloud. |
| Módulo de seguridad de hardware gestionado por IBM | Los centros de datos IBM Cloud proporcionan el hardware para proteger las claves. Los módulos de seguridad de hardware (HSM) son dispositivos de hardware que no permite manipulaciones y que almacenan y utilizan material de claves de cifrado sin exponer las claves fuera de un límite de cifrado. Todas las operaciones criptográficas, como la creación de claves y la rotación de claves, se realizan en el HSM. IBM rota periódicamente las claves maestras del HSM, lo que proporciona una capa adicional de seguridad. |
| Claves de cifrado gestionadas por el cliente | Las claves raíz son claves simétricas que protegen las claves de cifrado de datos con el cifrado de sobre. Las claves raíz nunca abandonan el límite del HSM. |
| Almacenamiento de claves dedicado | Los metadatos de clave se almacenan en un almacenamiento dedicado altamente duradero para Key Protect que se cifra en reposo con cifrado de capa de aplicación adicional. |
| Control de acceso preciso | Key Protect aprovecha los roles de IBM Cloud IAM para asegurarse de que a los usuarios se les puede asignar el acceso adecuado en el nivel de instancia, la clave y conjunto de claves. |