IBM Cloud Docs
Informazioni su Key Protect

Informazioni su Key Protect

IBM® Key Protect for IBM Cloud® è una soluzione di crittografia completa che consente di proteggere e memorizzare i dati in IBM Cloud utilizzando le più recenti tecniche di crittografia envelope che sfruttano i moduli di sicurezza hardware basati su cloud certificati FIPS 140-2 livello 3.

I dati sensibili non devono essere memorizzati su alcun provider cloud non crittografato (come "testo in chiaro", in altre parole). Ma proprio come con qualsiasi metodo di crittografia, tornando ai primi testi cifrati noti creati migliaia di anni fa, è importante non solo crittografare le informazioni in modo che non possano essere decodificate facilmente, ma proteggere i cifrari utilizzati per crittografarle e decrittografarle (dal momento che avere un cifrario è buono come avere i dati).

La soluzione è un sistema di gestione chiavi come Key Protect, che tiene al sicuro i dati crittografando i tasti di crittografia dei dati (DEKs) che crittografano i tuoi dati in chiaro con chiavi di root gestite da IBM tramite un HSM impenetrabile. In questo tipo di sistema, noto come "crittografia dell'involucro", il processo di decodifica dei dati significa prima "sbloccare" il DEK crittografato (aprendo la sua busta, in altre parole) e quindi utilizzando il DEK per decodificare i dati.

Per ulteriori informazioni sulle opere di crittografia dell'involucro, verificare Proteggere i dati con la crittografia dell'involucro.

Non sei sicuro che la sicurezza IBM Cloud sia corretta per il tuo caso d'uso? Consulta Quale servizio di sicurezza dei dati è il migliore per me? per ulteriori informazioni.

Cosa offre Key Protect

  • Porta le tue chiavi di codifica nel cloud: controlla completamente e rafforza le tue pratiche di gestione delle chiavi esportando in modo sicuro le chiavi simmetriche dalla tua infrastruttura di gestione delle chiavi interne in IBM Cloud.
  • Sicurezza robusta: Fornitura e memorizzazione delle chiavi tramite moduli di sicurezza hardware (HSM) certificati FIPS 140-2 di livello 3. Sfrutta i ruoli Identity and Access Management(IAM) IBM Cloud per fornire un controllo di accesso dettagliato alle tue chiavi. Per ulteriori informazioni, verificare Capire le proprie responsabilità con l'utilizzo di Key Protect.
  • Controllo e visibilità: Utilizzare IBM Cloud Logs per misurare il modo in cui gli utenti e le applicazioni interagiscono con Key Protect. Per ulteriori informazioni, consultare il sito IBM Cloud Logs.
  • Fatturazione semplificata: Tracciate le spese di abbonamento e di credito per tutti i conti da un'unica vista. Per ulteriori informazioni su chiavi, versioni chiave e prezzi, consulta Prezzi.
  • Crittografia autogestita: Creare o importare chiavi di accesso e chiavi standard per proteggere i dati.
  • Flessibilità: le applicazioni all'interno o all'esterno di IBM Cloud possono integrarsi con le API Key Protect. Key Protect si integra facilmente con una varietà di servizi di inserimento, contenitore, archiviazione e database IBM. Per ulteriori informazioni, controllare Integrare i servizi.
  • Protezione integrata: Le chiavi eliminate e i relativi dati crittografati non possono essere recuperati. Gestire i propri ruoli utente e stati delle chiavi e impostare una pianificazione di rotazione valida per il proprio caso di utilizzo servendosi dell'IU, della CLI o dell'API.
  • Indipendente dall'applicazione: Genera, memorizza, recupera e gestisce le chiavi indipendentemente dalla logica dell'applicazione.
  • Protocollo di interoperabilità per la gestione delle chiavi(KMIP) Il supporto, come certificato da VMWare, può essere integrato direttamente con qualsiasi servizio o piattaforma che accetti la crittografia tramite un server KMIP KMS. Laddove altri KMS richiedono il supporto di server KMIP di terze parti, il supporto per KMIP è integrato e gestito da Key Protect. E poiché le chiavi simmetriche KMIP vengono tariffate solo come versione a chiave singola, si paga solo quello che si usa.

Motivi per usare Key Protect

Ecco alcuni scenari comuni che spiegano come Key Protect possa essere utilizzato per risolvere i problemi affrontati dalle aziende che operano in scala nella produzione.

Motivi per usare Key Protect in vari scenari.
Scenari Motivi
È necessario creare e gestire le chiavi di codifica supportate dall'hardware convalidato FIPS 140-2 Livello 3. Puoi utilizzare **Key Protect per generare e importare le chiavi di cifratura utilizzando un servizio a più tenant con hardware condiviso.
In qualità di amministratore IT per una grande azienda, hai bisogno di integrare, tracciare e ruotare le chiavi di crittografia per molte offerte di servizio differenti. L'interfaccia Key Protect
semplifica la gestione di più servizi di codifica. Con il servizio, puoi gestire e ordinare le chiavi di crittografia in un'ubicazione centralizzata o puoi separarle per progetto e posizionarle in spazi IBM Cloud differenti.
In qualità di sviluppatore, vuoi integrare le tue applicazioni pre-esistenti, come l'archiviazione con crittografia automatica, in Key Protect. La applicazioni in o al di fuori di IBM Cloud possono
essere integrate con le API Key Protect. È possibile utilizzare i propri tasti esistenti per le vostre app e importarli in Key Protect.
Il vostro team di sviluppo ha politiche rigorose e avete bisogno di un modo per generare e ruotare le chiavi. Con Key Protect, puoi generare le chiavi rapidamente da un HSM (hardware security module) IBM Cloud. Quando è il momento di sostituire una chiave, che sia stata creata utilizzando Key Protect o importata, è possibile ruotare il tasto on-demand o impostare una politica di rotazione per la chiave per soddisfare le tue esigenze di sicurezza in corso.
Sei un amministratore della sicurezza di una azienda, come un leader finanziario o un avvocato, che deve
rispettare la governance su come vengono protetti i dati. Devi concedere l'accesso controllato alle chiavi
senza compromettere la sicurezza dei dati. Con il servizio, è possibile controllare l'accesso degli utenti alla gestione delle chiavi assegnando diversi ruoli IAM. Ad esempio,
puoi concedere l'accesso in sola lettura agli utenti che necessitano di visualizzare le informazioni sulla creazione delle chiavi senza
visualizzare il materiale della chiave. Allo stesso modo, agli utenti può essere assegnato il ruolo "Manager" su una sola chiave, se necessario.
Vuoi eseguire la crittografia envelope poiché sposti i dati nel cloud. Hai bisogno di utilizzare le tue chiavi di crittografia master in modo da poter gestire e proteggere le altre chiavi che codificano i tuoi dati inattivi. Con Key Protect, è possibile avvolgere(crittografare)i tasti di crittografia dei dati con un tasto root altamente sicuro e anche unavvolgere tale tasto quando necessario. Puoi portare le tue proprie chiavi root o crearle nel servizio.

Key Protect è un sistema di gestione delle chiavi basato sul cloud che fornisce il meglio in termini di costi, sicurezza e scalabilità. Se stai cercando una soluzione di gestione delle chiavi dedicata che supporta HSM basati su cloud e controllati dal cliente IBM Cloud Hyper Protect Crypto Services si integra con Key Protect per abilitare KYOK (Keep Your Own Keys) per IBM Cloud, in modo che la tua organizzazione abbia più controllo e autorità sui propri dati. Controlla la pagina dei dettagli dell'offertaHyper Protect Crypto Services per ulteriori informazioni.

Come funziona Key Protect

IBM Key Protect aiuta a gestire le chiavi di crittografia in tutta l'organizzazione, allineandosi ai ruoli IAM di IBM Cloud.

Un admin IT o di sicurezza potrebbe avere bisogno di autorizzazioni avanzate alla tua istanza, chiavi o anelli chiave che altri utenti, compresi i revisori, potrebbero non. Per questo motivo, Key Protect si associa a ruoli IAM consolidati per consentire l'accesso finalizzato ad ogni utente a seconda delle necessità. Per ulteriori informazioni, verificare Gestione utenti e accesso.

Il seguente diagramma mostra come i ruoli IAM predefiniti di manager, reader e writer possono interagire con le chiavi gestite nel servizio.

Il diagramma mostra gli stessi componenti descritti nel precedente elenco di definizioni.
Mostra come i diversi ruoli di accesso interagiscono con le chiavi.

Mentre un determinato utente può essere assegnato ruoli specifici su risorse specifiche (un utente con un ruolo "Reader" a livello di istanza potrebbe essere un "Gestore" di una particolare chiave o anello chiave), in generale:

  • Lettori possono accedere alle informazioni sulle chiavi.
  • Writers può utilizzare le chiavi con un'applicazione o un servizio integrato con Key Protect
  • Manager creano chiavi e controllano il loro ciclo di vita (oltre ad essere in grado di fare tutto quello che Readers e Writers possono fare).

Panoramica sull'architettura

Key Protect utilizza l'algoritmo Advanced Encryption Standard in modalità Galois / Counter (AES GCM) per impacchettare e spacchettare le DEK. I CRKs che non vengono importati vengono creati con 256 - bit di materiale chiave. I CRK importati possono essere di materiale chiave da 128, 192 o 256 - bit.

Il seguente diagramma di architettura mostra come i componenti Key Protect funzionano per proteggere i tuoi dati e chiavi sensibili.

Il diagramma mostra come Key Protect i componenti proteggono i dati e le chiavi sensibili
Key Protect

L'accesso al servizio Key Protect avviene tramite HTTPS. Tutta la comunicazione utilizza il protocollo TLS (Transport Layer Security) per cifrare i dati in transito. Per ulteriori informazioni su TLS e i codici supportati da Key Protect, consultare la sezione Crittografia dei dati.

componenti del servizioKey Protect
Componenti Descrizione
Key Protect API REST Il Key Protect REST API consente la creazione e la gestione delle chiavi di codifica attraverso i servizi IBM Cloud.
IBM-modulo di sicurezza hardware gestito IBM Cloud i centri dati forniscono l'hardware per proteggere le chiavi. I moduli di sicurezza hardware (HSM) sono dispositivi hardware resistenti alle manomissioni che memorizzano e utilizzano materiale per chiavi crittografiche senza esporre le chiavi al di fuori di un confine crittografico. Tutte le operazioni crittografiche, come la creazione chiave e la rotazione delle chiavi, vengono eseguite all'interno dell'HSM. IBM ruota periodicamente le chiavi principali dell'HSM, fornendo un ulteriore strato di sicurezza.
Chiavi di crittografia gestite dal cliente I tasti di root sono chiavi simmetriche che proteggono i tasti di crittografia dei dati con crittografia busta. I tasti di root non lasciano mai il limite dell'HSM.
Memoria chiave dedicata I metadati chiave sono memorizzati in storage altamente duraturo, dedicato per Key Protect che viene crittografato a riposo con ulteriore crittografia a strati applicativi.
Controllo dell'accesso dettagliato Key Protect leverages IBM Cloud ruoli IAM per garantire agli utenti un accesso appropriato all'istanza, chiave e livello di key ring.