Informazioni su Standard e Dedicato Key Protect

IBM® Key Protect for IBM Cloud® offre due opzioni di implementazione per soddisfare diversi requisiti di sicurezza e conformità: Standard (multi-tenant) e Dedicato (single-tenant).

Entrambe le versioni offrono soluzioni di crittografia complete che consentono di proteggere e archiviare i dati in IBM Cloud utilizzando tecniche di crittografia a busta e moduli di sicurezza hardware basati su cloud. Standard è un'offerta multi-tenant, in cui Key Protect gestisce l'isolamento di chiavi e risorse. Dedicated è single-tenant e offre il pieno controllo delle chiavi (master key e root key) e dell'elaborazione riservata.

Tutte le operazioni esistenti sulle chiavi (ad esempio, creazioni, rotazioni e cancellazioni) sono disponibili per l'opzione Dedicato nella console. Tuttavia, per inizializzare il servizio è necessario seguire le istruzioni dell'interfaccia utente (CLI) che si trovano in Initializing Dedicated Key Protect, creando un'istanza, le credenziali e una chiave master.

Panoramica di entrambe le offerte

Sia Standard che Dedicated Key Protect proteggono i dati sensibili criptando le chiavi di crittografia dei dati (DEK) con chiavi radice gestite tramite moduli di sicurezza hardware. In Standard, le chiavi master sono gestite da IBM. In Dedicated, l'utente possiede e gestisce le proprie chiavi master. In questo sistema di crittografia a busta, per decifrare i dati è necessario prima "scartare" il DEK crittografato e poi utilizzare il DEK per decifrare i dati.

Per ulteriori informazioni sul funzionamento della crittografia a busta, vedere Protezione dei dati con la crittografia a busta.

Non siete sicuri di quale sia il servizio di sicurezza IBM Cloud più adatto al vostro caso d'uso? Consulta Quale servizio di sicurezza dei dati è il migliore per me? per ulteriori informazioni.

Somiglianze chiave

Sia il sito Key Protect standard che quello dedicato condividono le seguenti funzionalità di base:

Crittografia e gestione delle chiavi

Crittografia envelope
Utilizzato per proteggere le chiavi di crittografia dei dati con le chiavi di root.
Crittografia AES- GCM
Entrambi utilizzano l'algoritmo Advanced Encryption Standard in modalità Galois/Counter (AES GCM ) per avvolgere e scartare i DEK.
materiale della chiave a 256 bit
Entrambi supportano chiavi a 256 bit per le chiavi radice create.
Gestione del ciclo di vita delle chiavi
Sono supportate la creazione, l'importazione, la rotazione e la gestione delle chiavi di crittografia.
Operazioni chiave
Tutte le operazioni esistenti sulle chiavi (creazioni, rotazioni, cancellazioni) sono disponibili in entrambe le versioni.

Integrazione e accesso

Integrazione IAM
Entrambi si integrano con IBM Cloud Identity and Access Management (IAM) per un controllo degli accessi a grana fine.
Compatibilità API
Entrambi utilizzano la stessa API per i fornitori di chiavi, garantendo un'esperienza coerente per gli sviluppatori.
Integrazioni di servizio
Entrambi si integrano con i servizi di IBM Cloud, tra cui database, storage, container e servizi di ingestione.
HTTPS comunicazione
Entrambi utilizzano il protocollo HTTPS con Transport Layer Security ( TLS ) per criptare i dati in transito.
API REST
Entrambi forniscono API REST per la creazione e la gestione delle chiavi di crittografia.

Capacità di gestione

Anelli chiave
Entrambi supportano l'organizzazione delle chiavi utilizzando i portachiavi.
Alias chiave
Entrambi supportano la creazione di alias per le chiavi.
Politiche di rotazione
Entrambi consentono di impostare programmi di rotazione per le chiavi.
Doppia autorizzazione
Entrambi supportano criteri di autorizzazione doppi per l'eliminazione delle chiavi.
supporto KMIP
Entrambi offrono il supporto del Key Management Interoperability Protocol (KMIP), certificato da VMWare.

Differenze chiave

La tabella seguente evidenzia le principali differenze tra il sito Key Protect standard e quello dedicato:

Tabella 1. Confronto tra standard e dedicato Key Protect
Funzione Standard Key Protect Dedicato Key Protect
Modello di locazione Multi-tenant con HSM condivisi Single-tenant con partizioni HSM dedicate
Certificazione HSM Certificazione FIPS 140-2 Livello 3 Presentato al NIST per la certificazione FIPS 140-3 Livello 4
Controllo dei tasti Porta la tua chiave (BYOK) Tenere la propria chiave (KYOK)
IBM accesso dell'amministratore IBM gli amministratori hanno accesso operativo Nessuna visibilità per gli amministratori di IBM Cloud
Proprietà della partizione HSM Risorse HSM condivise Proprietà esclusiva delle partizioni HSM (unità crittografiche)
Gestione delle chiavi master IBM-chiavi master HSM gestite Chiavi master di proprietà dell'utente
Assegnazione dell'amministratore IBM-gestito L'utente assegna i propri amministratori
Inizializzazione Console o CLI CLI necessaria per l'inizializzazione
Isolamento del workload Infrastruttura condivisa Isolamento completo del carico di lavoro
Unità crittografiche Non applicabile Unità crittografiche operative per la gestione delle chiavi e le operazioni crittografiche
Controllo della gerarchia dei tasti IBM gestisce la radice della fiducia L'utente possiede la root of trust
Accesso privilegiato IBM accesso operativo Nessun accesso operativo per il fornitore

Caratteristiche standard di Key Protect

Standard Key Protect è un servizio multi-tenant che fornisce una gestione delle chiavi di crittografia a costi contenuti con un'infrastruttura condivisa e operazioni di sicurezza gestite da IBM.

Cosa offre Standard

Portare le proprie chiavi di crittografia nel cloud
Controllate e rafforzate completamente le vostre pratiche di gestione delle chiavi esportando in modo sicuro le chiavi simmetriche dalla vostra infrastruttura interna di gestione delle chiavi in IBM Cloud.
Solida sicurezza
Predisporre e memorizzare le chiavi utilizzando moduli di sicurezza hardware (HSM) di livello 3 FIPS 140-2. Sfruttate IBM Cloud Identity and Access Management(IAM) per fornire un controllo dell'accesso a grana fine alle vostre chiavi.
Controllo e visibilità
Utilizzare IBM Cloud Logs per misurare come gli utenti e le applicazioni interagiscono con Key Protect.
Fatturazione semplificata
Tracciare la sottoscrizione e le spese di credito per tutti gli account da un'unica vista. Per saperne di più su chiavi, versioni di chiavi e prezzi, consultate Prezzi.
Crittografia autogestita
Creare o importare chiavi root e standard per proteggere i dati.
Flessibilità
Le applicazioni su IBM Cloud o al di fuori di esso possono integrarsi con le API di Key Protect. Key Protect si integra facilmente con diversi servizi di database, storage, container e ingestion di IBM.
Protezione integrata
Le chiavi eliminate e i loro dati crittografati non possono mai essere recuperati. Gestite i ruoli degli utenti, gli stati delle chiavi e impostate un programma di rotazione adatto al vostro caso d'uso utilizzando l'interfaccia utente, la CLI o l'API.
Indipendente dalle applicazioni
Generare, memorizzare, recuperare e gestire le chiavi indipendentemente dalla logica dell'applicazione.

Standard Key Protect è ideale per le organizzazioni che necessitano di una solida gestione delle chiavi di crittografia con infrastruttura condivisa e operazioni di sicurezza gestite da IBM.

Caratteristiche dedicate a Key Protect

Dedicated Key Protect è un servizio single-tenant progettato per fornire alle aziende il pieno controllo delle chiavi di crittografia e delle operazioni crittografiche nel cloud.

Cosa offre Dedicated

Controllo completo dei tasti
Le funzionalità KYOK garantiscono che solo voi abbiate accesso alle vostre chiavi, senza alcuna visibilità per gli amministratori di IBM Cloud.
HSM di livello 4 FIPS 140-3 (sottoposto a certificazione NIST)
Presentato al NIST per la certificazione dell'ultimo standard di certificazione dei moduli di sicurezza hardware.
Partizioni HSM dedicate
Unità crittografiche esclusive per una maggiore sicurezza e isolamento del carico di lavoro.
Chiavi master gestite dall'utente
Pieno controllo sulla radice di fiducia che codifica l'intera gerarchia di chiavi di crittografia.
Amministratori personalizzati
Assegnare i propri amministratori HSM utilizzando chiavi di autenticazione con firma RSA.
Isolamento del workload
Completa separazione dagli altri inquilini con infrastruttura dedicata.
Maggiore conformità
Soddisfa i severi requisiti normativi in materia di sovranità e sicurezza dei dati.
Zero Trust
L'infrastruttura viene eseguita su Red Hat OpenShift Confidential Containers fortificati da enclavi sicure Intel TDX.

Tutte le operazioni esistenti sulle chiavi (ad esempio, creazioni, rotazioni e cancellazioni) sono disponibili nella console. Tuttavia, per inizializzare il servizio è necessario seguire le istruzioni dell'interfaccia utente (CLI) che si trovano in Initializing Dedicated Key Protect, creando un'istanza, le credenziali e una chiave master.

Concetti specifici dedicati

Dedicated Key Protect introduce diversi concetti unici:

Unità crittografiche
Una singola unità che rappresenta un HSM e un corrispondente stack software dedicato alla crittografia. Le unità crittografiche operative gestiscono le chiavi di crittografia ed eseguono operazioni crittografiche.
Chiavi di autenticazione della firma RSA
Gli amministratori usano chiavi di firma basate su RSA per firmare i comandi inviati alle unità crittografiche. La chiave privata crea le firme ed è memorizzata localmente in un file di chiave crittografato, mentre la chiave pubblica è installata nell'unità di crittografia per definire gli amministratori.
Chiave master (chiave master di backup HSM)
Una chiave simmetrica AES a 256 bit che cripta l'istanza del servizio per la memorizzazione delle chiavi. Con la chiave master si possiede la radice di fiducia che cripta l'intera gerarchia di chiavi di crittografia. L'eliminazione della chiave master comporta l'eliminazione di tutti i dati crittografati.
Parti della chiave master
Quando si inizializza utilizzando file di parti di chiave, una chiave master è composta da due o più parti di chiave master. Ogni parte è una chiave simmetrica AES a 256 bit che può essere posseduta da persone diverse per una maggiore sicurezza.

Confronto tra casi d'uso

Il diagramma seguente illustra i casi d'uso in cui è più appropriato l'utilizzo di Key Protect standard o dedicato. Il fattore principale nella scelta tra Standard e Dedicato è il livello di sicurezza e controllo che si desidera per i propri dati.

Il diagramma mostra i casi d'uso in cui Standard e Dedicato sono utili.
Figura 1. Casi d'uso per Standard e Dedicato Key Protect

Quando utilizzare lo Standard Key Protect

Standard Key Protect è ideale per:

  • Organizzazioni che richiedono la crittografia FIPS 140-2 di livello 3.
  • Implementazioni sensibili ai costi che possono utilizzare un'infrastruttura condivisa.
  • Requisiti per l'implementazione rapida.
  • Conformità agli standard e requisiti normativi.
  • Applicazioni che necessitano di funzionalità BYOK.
  • Integrazione con più servizi IBM Cloud.
  • Organizzazioni che si trovano a proprio agio con l'infrastruttura HSM gestita da IBM.

Quando usare il Dedicato Key Protect

Il sito dedicato Key Protect è ideale per:

  • Organizzazioni che richiedono la crittografia FIPS 140-3 di livello 4 (sottoposta a certificazione).
  • Conformità normativa rigorosa che richiede la sovranità dei dati.
  • Settori regolamentati con dati sensibili e requisiti di sicurezza rigorosi (finanza, sanità, pubblica amministrazione).
  • Organizzazioni che richiedono il pieno controllo della radice di fiducia per le chiavi e l'HSM.
  • Requisiti completi di isolamento del carico di lavoro.
  • Organizzazioni che devono eliminare i rischi di accesso privilegiato.
  • Scenari che richiedono l'assegnazione di un amministratore HSM personalizzato.
  • Organizzazioni che necessitano di un controllo completo sulla gerarchia delle chiavi di crittografia.

Scenari comuni

La tabella seguente mostra scenari comuni che spiegano come possono essere utilizzate entrambe le versioni di Key Protect:

Tabella 2. Confronto tra gli scenari per Standard e Dedicato Key Protect
Scenario Standard Dedicato
Generare e gestire chiavi di crittografia supportate da hardware certificato FIPS ✓ Certificazione FIPS 140-2 Livello 3 ✓ (Presentato al NIST per la certificazione FIPS 140-3 di livello 4)
L'amministratore IT deve integrare, monitorare e ruotare le chiavi di crittografia per più servizi
Lo sviluppatore vuole integrare applicazioni preesistenti con la gestione delle chiavi
Il team di sviluppo ha politiche rigorose che richiedono una rapida generazione e rotazione delle chiavi
L'amministratore della sicurezza ha bisogno di un accesso controllato senza compromettere la sicurezza dei dati
Eseguire la crittografia della busta con chiavi di crittografia master
Eliminare l'accesso dell'amministratore di IBM alle chiavi di crittografia
Richiedere partizioni HSM dedicate per la conformità alle normative
Necessità di un controllo completo sulle chiavi master HSM
Assegnare amministratori HSM personalizzati
Infrastruttura condivisa efficace dal punto di vista dei costi
Per i dati pubblici e interni, i carichi di lavoro del cloud come l'archiviazione a oggetti nel cloud, l'archiviazione fisica, l'archiviazione a blocchi, i file system e i database
Per i dati sensibili e riservati (PHI, PII, documenti finanziari), per l'archiviazione di database e oggetti, per i modelli e i dati dell'intelligenza artificiale e per la protezione dei dati in uso (informatica riservata) Consigliato

Panoramica sull'architettura

Sia il sito Key Protect standard che quello dedicato utilizzano componenti architettonici simili, con differenze fondamentali per quanto riguarda la locazione e il controllo.

Key Protect utilizza l'algoritmo Advanced Encryption Standard in modalità Galois/Counter (AES GCM ) per avvolgere e scartare i DEK. Le chiavi radice non importate vengono create con materiale a 256 bit. Le chiavi radice importate possono avere un materiale di 128, 192 o 256 bit.

L'accesso al servizio Key Protect avviene tramite il sito HTTPS. Tutte le comunicazioni utilizzano il protocollo Transport Layer Security ( TLS ) per criptare i dati in transito. Per ulteriori informazioni su TLS e sui cifrari supportati da Key Protect, consultare la sezione Crittografia dei dati.

Componenti architettonici comuni

Key Protect API REST
Il Key Protect REST API consente la creazione e la gestione delle chiavi di codifica attraverso i servizi IBM Cloud.
Moduli di sicurezza hardware
IBM Cloud i centri dati forniscono l'hardware per proteggere le chiavi. Gli HSM sono dispositivi hardware antimanomissione che archiviano ed utilizzano il materiale della chiave crittografico senza esporre le chiavi all'esterno di un confine crittografico.
Chiavi di crittografia gestite dal cliente
I tasti di root sono chiavi simmetriche che proteggono i tasti di crittografia dei dati con crittografia busta. I tasti di root non lasciano mai il limite dell'HSM.
Memoria chiave dedicata
I metadati chiave sono memorizzati in storage altamente duraturo, dedicato per Key Protect che viene crittografato a riposo con ulteriore crittografia a strati applicativi.
Controllo dell'accesso dettagliato
Key Protect leverages IBM Cloud ruoli IAM per garantire agli utenti un accesso appropriato all'istanza, chiave e livello di key ring.

Architettura specifica per lo standard

In Standard Key Protect:

  • Gli HSM sono condivisi tra più tenant in un'architettura multi-tenant.
  • IBM gestisce e ruota periodicamente le chiavi master dell'HSM, fornendo un ulteriore livello di sicurezza.
  • IBM gli amministratori hanno accesso operativo per gestire l'infrastruttura.

Architettura specifica dedicata

In Key Protect Dedicato:

  • Ogni cliente riceve partizioni HSM dedicate (unità crittografiche) per un completo isolamento del carico di lavoro.
  • I clienti gestiscono le proprie chiavi master di backup HSM, possedendo la root of trust.
  • I clienti assegnano i propri amministratori utilizzando chiavi di autenticazione con firma RSA.
  • Nessun accesso dell'amministratore di IBM alle chiavi di crittografia dei clienti o alle operazioni di crittografia.

Passi successivi