A propos de Standard et Dedicated Key Protect

IBM® Key Protect for IBM Cloud® offre deux options de déploiement pour répondre aux différentes exigences en matière de sécurité et de conformité : Standard (multi-tenant) et Dédié (single-tenant).

Les deux versions offrent des solutions de cryptage complètes qui permettent de sécuriser et de stocker les données sur IBM Cloud en utilisant des techniques de cryptage d'enveloppe et des modules de sécurité matérielle basés sur le cloud. Standard est une offre multi-tenant, où Key Protect gère l'isolation des clés et des ressources. Dedicated est à locataire unique, offrant un contrôle total des clés (clé maîtresse et clé racine) et de l'informatique confidentielle.

Toutes les opérations sur les clés existantes (par exemple, les créations, les rotations et les suppressions de clés) sont disponibles pour l'option Dédié dans la console. Cependant, pour initialiser le service, il faut suivre les instructions CLI que l'on peut trouver dans Initializing Dedicated Key Protect en créant une instance, des informations d'identification et une clé principale.

Aperçu des deux offres

Standard et Dedicated Key Protect protègent les données sensibles en chiffrant les clés de chiffrement des données (DEK) à l'aide de clés racines gérées par des modules de sécurité matériels. Dans Standard, les clés maîtresses sont gérées par IBM. Dans Dedicated, vous possédez et gérez vos propres clés maîtresses. Dans ce système de cryptage par enveloppe, pour décrypter les données, il faut d'abord "déballer" la DEK cryptée, puis utiliser la DEK pour décrypter les données.

Pour plus d'informations sur le fonctionnement du chiffrement de l'enveloppe, voir Protection des données avec le chiffrement de l'enveloppe.

Vous ne savez pas quel service de sécurité IBM Cloud convient le mieux à votre cas d'utilisation? Pour plus d'informations, voir Quel service de sécurité des données est le mieux adapté à mes besoins?.

Principales similitudes

Les sites Key Protect standard et dédié partagent les capacités de base suivantes :

Chiffrement et gestion des clés

Chiffrement d'enveloppe
Utilisé pour protéger les clés de chiffrement des données avec les clés racine.
Chiffrement AES- GCM
Tous deux utilisent l'algorithme Advanced Encryption Standard en mode Galois/Compteur (AES GCM ) pour envelopper et désenvelopper les DEK.
clé de 256 bits
Tous deux prennent en charge les clés de 256 bits pour les clés racine créées.
Gestion du cycle de vie des clés
La création, l'importation, la rotation et la gestion des clés de chiffrement sont prises en charge.
Principales opérations
Toutes les opérations de clé existantes (créations, rotations, suppressions) sont disponibles dans les deux versions.

Intégration et accès

Intégration IAM
Tous deux s'intègrent à IBM Cloud Identity and Access Management (IAM) pour un contrôle d'accès précis.
Compatibilité API
Les deux utilisent la même API de fournisseur de clés, ce qui garantit une expérience cohérente pour les développeurs.
Intégrations de service
Tous deux s'intègrent aux services IBM Cloud, y compris les services de base de données, de stockage, de conteneur et d'ingestion.
HTTPS communication
Tous deux utilisent HTTPS avec le protocole Transport Layer Security ( TLS ) pour crypter les données en transit.
API REST
Tous deux fournissent des API REST pour la création et la gestion de clés de chiffrement.

Capacités de gestion

Fichiers de clés
Tous deux permettent d'organiser les clés à l'aide de porte-clés.
Principaux alias
Tous deux permettent de créer des alias pour les clés.
Politiques de rotation
Les deux permettent de définir des programmes de rotation pour les clés.
autorisation double
Tous deux prennent en charge les politiques de double autorisation pour la suppression des clés.
Support KMIP
Tous deux prennent en charge le protocole KMIP (Key Management Interoperability Protocol), qui est certifié par VMWare.

Principales différences

Le tableau suivant met en évidence les principales différences entre les services standard et les services dédiés Key Protect:

Tableau 1. Comparaison entre les services standard et les services dédiés Key Protect
Fonction Standard Key Protect Dédié Key Protect
Modèle de location Multi-locataires avec HSM partagés Locataire unique avec partitions HSM dédiées
Certification HSM Certifié FIPS 140-2 niveau 3 Soumis au NIST pour la certification FIPS 140-3 niveau 4
Contrôle des clés Apportez votre propre clé (BYOK) Fonction KYOK (Keep Your Own Key)
IBM accès administrateur IBM les administrateurs ont un accès opérationnel Pas de visibilité pour les administrateurs de IBM Cloud
Propriété de la partition HSM Ressources HSM partagées Propriété exclusive des partitions HSM (unités cryptographiques)
Gestion de clé maître IBM-clés maîtresses HSM gérées Clés maîtresses détenues par l'utilisateur
Affectation de l'administrateur IBM-géré L'utilisateur désigne ses propres administrateurs
Initialisation Console ou CLI CLI nécessaire pour l'initialisation
Isolement des charges de travail Infrastructures partagées Isolation complète de la charge de travail
Unités de chiffrement Non applicable Unités cryptographiques opérationnelles pour la gestion des clés et les opérations cryptographiques
Contrôle de la hiérarchie des clés IBM gère la base de confiance L'utilisateur est propriétaire de la racine de confiance
Accès privilégié Accès opérationnel IBM Pas d'accès opérationnel pour le fournisseur

Caractéristiques standard de Key Protect

Standard Key Protect est un service multi-locataires qui offre une gestion rentable des clés de cryptage avec une infrastructure partagée et des opérations de sécurité gérées par IBM.

Ce que Standard offre

Apportez vos clés de chiffrement dans le cloud
Contrôlez et renforcez entièrement vos pratiques de gestion des clés en exportant en toute sécurité les clés symétriques de votre infrastructure interne de gestion des clés vers IBM Cloud.
Sécurité robuste
Fournir et stocker des clés en utilisant des modules de sécurité matériels (HSM) FIPS 140-2 de niveau 3. Tirez parti de IBM Cloud Identity and Access Management(IAM ) pour contrôler finement l'accès à vos clés.
Contrôle et visibilité
Utilisez IBM Cloud Logs pour mesurer la façon dont les utilisateurs et les applications interagissent avec Key Protect.
Facturation simplifiée
Suivez les dépenses d'abonnement et de crédits pour tous les comptes à partir d'une seule vue. Pour en savoir plus sur les clés, les versions de clés et les prix, consultez la rubrique Prix.
Chiffrement autogéré
Créez ou importez des clés racine et standard pour protéger vos données.
Flexibilité
Les applications sur ou en dehors de IBM Cloud peuvent s'intégrer avec les API de Key Protect. Key Protect s'intègre facilement avec divers services de base de données, de stockage, de conteneur et d'ingestion de IBM.
Protection intégrée
Les clés supprimées et leurs données chiffrées ne peuvent jamais être récupérées. Gérez vos rôles d'utilisateur, les états des clés et définissez un calendrier de rotation adapté à votre cas d'utilisation à l'aide de l'interface utilisateur, de l'interface de programmation ou de l'API.
Indépendamment de l'application
Générer, stocker, récupérer et gérer des clés indépendamment de la logique de l'application.

Standard Key Protect est idéal pour les organisations qui ont besoin d'une gestion robuste des clés de cryptage avec une infrastructure partagée et des opérations de sécurité gérées par IBM.

Caractéristiques du site Key Protect

Dedicated Key Protect est un service à locataire unique conçu pour offrir aux entreprises un contrôle total sur leurs clés de chiffrement et leurs opérations cryptographiques dans le nuage.

Ce qu'offre Dedicated

Contrôle complet des clés
Les fonctionnalités KYOK garantissent que vous seul avez accès à vos clés, sans visibilité pour les administrateurs de IBM Cloud.
HSM FIPS 140-3 niveau 4 (soumis à la certification NIST)
Soumis au NIST pour la certification de la dernière norme de certification des modules de sécurité du matériel.
Partitions HSM dédiées
Unités cryptographiques exclusives pour une sécurité accrue et une isolation de la charge de travail.
Clés maîtresses gérées par l'utilisateur
Contrôle total de la racine de confiance qui chiffre l'ensemble de la hiérarchie des clés de chiffrement.
Administrateurs personnalisés
Attribuez vos propres administrateurs HSM en utilisant des clés d'authentification de signature RSA.
Isolement des charges de travail
Séparation complète des autres locataires avec une infrastructure dédiée.
Amélioration de la conformité
Répond aux exigences réglementaires strictes en matière de souveraineté et de sécurité des données.
Zero Trust
L'infrastructure fonctionne sur Red Hat OpenShift Confidential Containers fortifiés par des enclaves sécurisées Intel TDX.

Toutes les opérations sur les clés existantes (par exemple, les créations, les rotations et les suppressions de clés) sont disponibles dans la console. Cependant, pour initialiser le service, il faut suivre les instructions CLI que l'on peut trouver dans Initializing Dedicated Key Protect en créant une instance, des informations d'identification et une clé principale.

Concepts spécifiques dédiés

Le site Key Protect introduit plusieurs concepts uniques :

Unités de chiffrement
Unité unique représentant un HSM et une pile logicielle correspondante dédiée à la cryptographie. Les unités cryptographiques opérationnelles gèrent les clés de chiffrement et effectuent des opérations cryptographiques.
Clés d'authentification de signature RSA
Les administrateurs utilisent des clés de signature basées sur RSA pour signer les commandes émises vers les unités cryptographiques. La clé privée crée des signatures et est stockée localement dans un fichier clé crypté, tandis que la clé publique est installée dans l'unité de cryptographie pour définir les administrateurs.
Clé principale (clé de sauvegarde principale du HSM)
Une clé AES symétrique de 256 bits qui chiffre l'instance de service pour le stockage des clés. Avec la clé principale, vous possédez la racine de confiance qui chiffre toute la hiérarchie des clés de chiffrement. La suppression de la clé principale a pour effet de crypter toutes les données chiffrées.
Parties de clé principale
Lors de l'initialisation à l'aide de fichiers de parties de clés, une clé principale est composée de deux parties de clés principales ou plus. Chaque partie est une clé AES symétrique de 256 bits qui peut être détenue par différentes personnes pour une sécurité accrue.

Comparaison des cas d'utilisation

Le diagramme suivant illustre les cas d'utilisation où le site Key Protect standard ou dédié serait le plus approprié. Le principal facteur de choix entre Standard et Dédié est le niveau de sécurité et de contrôle dont vous avez besoin pour vos données.

Le diagramme montre les cas d'utilisation dans lesquels Standard et Dedicated sont utiles.
Figure 1. Cas d'utilisation pour Standard et Dedicated Key Protect

Quand utiliser la norme Key Protect

Le site Key Protect est idéal pour :

  • Organisations exigeant un cryptage FIPS 140-2 de niveau 3.
  • Déploiements sensibles aux coûts qui peuvent utiliser une infrastructure partagée.
  • Exigences en matière de déploiement rapide.
  • Conformité aux normes et exigences réglementaires.
  • Applications nécessitant des capacités BYOK.
  • Intégration avec plusieurs services IBM Cloud.
  • Les organisations qui sont à l'aise avec l'infrastructure HSM gérée par IBM.

Quand utiliser Dedicated Key Protect

Le site Key Protect est idéal pour

  • Organisations nécessitant un chiffrement FIPS 140-3 de niveau 4 (soumis à certification).
  • Conformité réglementaire stricte exigeant la souveraineté des données.
  • Industries réglementées avec des données sensibles et des exigences de sécurité strictes (finance, soins de santé, gouvernement).
  • Organisations nécessitant un contrôle total de la racine de confiance pour les clés et le HSM.
  • Exigences complètes en matière d'isolation de la charge de travail.
  • Les organisations qui doivent éliminer les risques liés à l'accès privilégié.
  • Scénarios nécessitant une affectation personnalisée de l'administrateur HSM.
  • Les organisations qui ont besoin d'un contrôle total sur la hiérarchie des clés de chiffrement.

Scénarios courants

Le tableau suivant présente des scénarios courants qui expliquent comment les deux versions de Key Protect peuvent être utilisées :

Tableau 2. Comparaison des scénarios pour les services standard et dédiés Key Protect
Scénario standard Dedicated
Générer et gérer des clés de chiffrement soutenues par du matériel certifié FIPS certifié FIPS 140-2 niveau 3 ✓ (soumis au NIST pour la certification FIPS 140-3 niveau 4)
L'administration informatique doit intégrer, suivre et faire pivoter les clés de chiffrement pour plusieurs services
Le développeur souhaite intégrer des applications préexistantes à la gestion des clés
L'équipe de développement a des politiques strictes qui exigent une génération et une rotation rapides des clés
L'administrateur de la sécurité a besoin d'un accès contrôlé sans compromettre la sécurité des données
Effectuer le chiffrement de l'enveloppe avec des clés de chiffrement principales
Éliminer tout accès de l'administrateur de IBM aux clés de chiffrement
Exiger des partitions HSM dédiées pour la conformité réglementaire
Nécessité d'un contrôle total sur les clés maîtresses HSM
Affecter des administrateurs HSM personnalisés
Une infrastructure partagée rentable
Pour les données publiques et internes, les charges de travail en nuage comme le stockage d'objets en nuage, le stockage physique, le stockage en bloc, les systèmes de fichiers et les bases de données
Pour les données sensibles et confidentielles (PHI, PII, dossiers financiers), le stockage de bases de données et d'objets, les modèles et données d'IA, et la protection des données en cours d'utilisation (informatique confidentielle) Recommandé

Présentation de l'architecture

Les sites Key Protect standard et dédié utilisent des composants architecturaux similaires, avec des différences essentielles au niveau de la location et du contrôle.

Key Protect utilise l'algorithme Advanced Encryption Standard en Galois/Counter Mode (AES GCM) pour encapsuler et désencapsuler des clés de chiffrement des données. Les clés racines qui ne sont pas importées sont créées avec des clés de 256 bits. Les clés racine importées peuvent avoir un matériau de clé de 128, 192 ou 256 bits.

L'accès au service Key Protect s'effectue via HTTPS. Toutes les communications utilisent le protocole TLS (Transport Layer Security) pour chiffrer les données en transit. Pour plus d'informations sur TLS et les algorithmes de chiffrement pris en charge par Key Protect, consultez la page Chiffrement des données.

Composants architecturaux communs

API REST Key Protect
L'API REST Key Protect exécute la création et la gestion des clés de chiffrement dans les services IBM Cloud.
modules HSM (Hardware Security Module)
Les centres de données IBM Cloud fournissent le matériel nécessaire à la protection de vos clés. Les modules de sécurité matériels sont des dispositifs matériels inviolables qui stockent et utilisent des clés cryptographiques sans exposer les clés à l'extérieur d'une frontière cryptographique.
Clés de chiffrement gérées par le client
Les clés racine sont des clés symétriques qui protègent les clés de chiffrement de données avec le chiffrement d'enveloppes. Les clés racine ne quittent jamais la limite du module HSM.
Stockage de clés dédié
Les métadonnées de clé sont stockées dans un stockage dédié hautement durable pour Key Protect qui est chiffré au repos avec un chiffrement de couche application supplémentaire.
Contrôle d'accès à granularité fine
Key Protect exploite les rôles IBM Cloud IAM pour garantir que les utilisateurs peuvent se voir attribuer un accès approprié au niveau de l'instance, de la clé et du fichier de clés.

Architecture spécifique à la norme

Dans la norme Key Protect:

  • Les HSM sont partagés entre plusieurs locataires dans une architecture multi-locataire.
  • IBM gère et fait tourner périodiquement les clés maîtresses du HSM, ce qui constitue un niveau de sécurité supplémentaire.
  • IBM les administrateurs ont un accès opérationnel pour gérer l'infrastructure.

Architecture spécifique dédiée

Sur Key Protect Dédié :

  • Chaque client reçoit des partitions HSM dédiées (unités cryptographiques) pour une isolation complète de la charge de travail.
  • Les clients gèrent leurs propres clés de sauvegarde principales du HSM et possèdent ainsi la racine de confiance.
  • Les clients désignent leurs propres administrateurs en utilisant des clés d'authentification par signature RSA.
  • Pas d'accès de l'administrateur de IBM aux clés de chiffrement des clients ou aux opérations cryptographiques.

Etapes suivantes