IBM Cloud Docs
Sobre Key Protect

Sobre Key Protect

O IBM® Key Protect for IBM Cloud® é uma solução de criptografia de serviço completo que permite que os dados fiquem protegidos e armazenados no IBM Cloud usando as mais recentes técnicas de criptografia de envelope que alavancam os módulos de segurança de hardware baseados em nuvem certificados pelo FIPS 140-2 Nível 3.

Os dados sensíveis não devem ser armazenados em nenhum provedor em nuvem não criptografado (em outras palavras, como "texto sem formatação"). Mas, assim como em qualquer método de criptografia, desde os primeiros textos cifrados conhecidos, criados há milhares de anos, é importante não apenas criptografar as informações para que não possam ser decodificadas facilmente, mas também proteger as cifras usadas para criptografar e descriptografar (já que ter uma cifra é tão bom quanto ter os dados).

A solução é um sistema de gerenciamento de chave como o Key Protect, que mantém os dados seguros, criptografando as chaves de criptografia de dados (DEKs) que criptografam seus dados em texto sem formatação com chaves raiz gerenciadas pela IBM por meio de um HSM impenetrável. Nesse tipo de sistema, conhecido como "criptografia de envelope", o processo de decriptografar os dados significa primeiro "desagrupar" a DEK criptografada (em outras palavras, abrir seu envelope) e, em seguida, usar a DEK para decriptografar os dados.

Para obter mais informações sobre o funcionamento da criptografia de envelope, confira Protegendo dados com a criptografia de envelope.

Não tem certeza de qual segurança do IBM Cloud é correta para seu caso de uso? Confira Qual serviço de segurança de dados é melhor para mim? para obter mais informações

O que o Key Protect oferece

  • Traga suas chaves de criptografia para a nuvem: controle totalmente e fortaleça suas práticas de gerenciamento de chaves exportando com segurança as chaves simétricas de sua infraestrutura de gerenciamento de chaves internas para o IBM Cloud
  • Segurança robusta: Provisione e armazene chaves usando módulos de segurança de hardware (HSMs) com certificação FIPS 140-2 Nível 3. Aproveite as funções Identity and Access Management(IAM) IBM Cloud para fornecer controle de acesso detalhado às suas chaves. Para obter mais informações, confira Entendendo suas responsabilidades com o uso do Key Protect.
  • Controle e visibilidade: Use o site IBM Cloud Logs para medir como os usuários e aplicativos interagem com o site Key Protect. Para obter mais informações, consulte IBM Cloud Logs.
  • Faturamento simplificado: Acompanhe os gastos com assinatura e crédito de todas as contas em uma única exibição. Para saber mais sobre chaves, versões de chave e precificação, consulte Precificação.
  • Criptografia autogerenciada: Crie ou importe chaves raiz e padrão para proteger seus dados.
  • Flexibilidade: os aplicativos no IBM Cloud ou fora dele podem se integrar com as APIs do Key Protect. Key Protect integra-se facilmente com uma variedade de serviços de banco de dados, armazenamento, contêiner e ingestão do IBM. Para obter mais informações, confira Integrando serviços.
  • Proteção integrada: As chaves excluídas e seus dados criptografados nunca poderão ser recuperados. Gerencie suas funções de usuário, estados de chaves e configure um planejamento de rotação que funcione para o seu caso de uso usando a UI, a CLI ou a API.
  • Independente de aplicativos: Gerar, armazenar, recuperar e gerenciar chaves independentemente da lógica do aplicativo.
  • O suporte ao protocolo de interoperabilidade de gerenciamento de chaves(KMIP), conforme certificado pela VMWare, pode ser integrado diretamente a qualquer serviço ou plataforma que aceite criptografia por meio de um servidor KMIP KMS. Quando outros KMS exigem suporte de servidor KMIP de terceiros, o suporte para KMIP é integrado e gerenciado por Key Protect. E como as chaves simétricas KMIP são cobradas apenas como uma versão de chave única, você paga apenas pelo que usar.

Razões para usar o Key Protect

Aqui estão alguns cenários comuns que explicam como Key Protect pode ser usado para resolver problemas enfrentados por empresas que operam em escala na produção.

Razões para usar Key Protect em vários cenários.
Cenários Razões do
É necessário criar e gerenciar chaves de criptografia suportadas por hardware validado pelo FIPS 140-2, Nível 3. Você pode usar ** Key Protect para gerar e importar chaves de criptografia usando um serviço multilocatário com hardware compartilhado.
Como um administrador de TI de uma grande empresa, você precisa integrar, controlar e alternar chaves para muitas ofertas de serviços diferentes. A interface do Key Protect simplifica o gerenciamento dos diversos serviços de criptografia. Com esse serviço, é possível gerenciar e classificar chaves de criptografia em um local centralizado ou separar as chaves por projeto e armazená-las em espaços diferentes do IBM Cloud.
Como um desenvolvedor, você deseja integrar seus aplicativos preexistentes, como armazenamento de autocriptografia, ao Key Protect. Apps dentro ou fora do IBM Cloud podem ser integrados às APIs do Key Protect. É possível usar suas próprias chaves existentes para os aplicativos e importá-las para o Key Protect.
Sua equipe de desenvolvimento tem políticas rígidas e você precisa de uma maneira de gerar e girar chaves. Com o Key Protect, é possível gerar chaves rapidamente por meio de um hardware security module (HSM) do IBM Cloud. Quando é hora de substituir uma chave, se foi criada usando o Key Protect ou importada, é possível girar a chave on-demand ou configurar uma política de rotação para a chave para atender às suas necessidades de segurança contínuas.
Você é um administrador de segurança em um segmento de mercado, como finanças ou jurídico, que deve aderir ao controle sobre como os dados são protegidos. É necessário conceder acesso controlado às chaves sem comprometer os dados que elas protegem. Com o serviço, é possível controlar o acesso do usuário para gerenciar chaves designando diferentes funções do IAM. Por exemplo, é possível conceder acesso somente leitura aos usuários que precisam visualizar informações sobre a criação da chave sem visualizar o material da chave. Da mesma forma, aos usuários pode ser designada a função "Gerenciador" apenas sobre uma única chave, se necessário.
Você deseja executar criptografia de envelope ao mover dados para a nuvem. É necessário trazer sua própria chave mestra de criptografia, para que seja possível gerenciar e proteger outras chaves que criptografam seus dados em repouso. Com o Key Protect, é possível agrupar (criptografar) suas chaves de criptografia de dados com uma chave raiz altamente segura e também desagrupar essa chave quando necessário. É possível trazer suas próprias chaves raiz ou criá-las no serviço.

O Key Protect é um sistema de gerenciamento de chave baseado em nuvem que fornece o melhor de custo, segurança e escala. Se estiver procurando uma solução dedicada de gerenciamento de chaves que ofereça suporte a HSMs controlados pelo cliente e baseados na nuvem, a solução IBM Cloud Hyper Protect Crypto Services integra-se com Key Protect para habilitar o Keep Your Own Keys (KYOK) para IBM Cloud, para que sua organização tenha mais controle e autoridade sobre seus dados. Confira a página de detalhes da oferta Hyper Protect Crypto Services para saber mais.

Como o Key Protect funciona

O IBM Key Protect ajuda a gerenciar chaves de criptografia em toda a sua organização, alinhando-se com funções do IAM do IBM Cloud.

Um administrador de TI ou de segurança pode precisar de permissões avançadas para sua instância, chaves ou conjuntos de chaves que outros usuários, incluindo auditores, podem não precisar. Por esta razão, o Key Protect é mapeado para funções do IAM estabelecidas para permitir o acesso de baixa granularidade para cada usuário, conforme necessário. Para obter mais informações, confira Gerenciando usuários e acessos.

O diagrama a seguir mostra como as funções padrão do IAM de gerenciador, leitor e gravador podem interagir com chaves que são gerenciadas no serviço.

O diagrama mostra os mesmos componentes descritos na lista de definições anterior.
Mostra como diferentes funções de acesso interagem com as chaves.

Embora a um determinado usuário possam ser designadas funções específicas, (um usuário com uma função "Leitor" no nível da instância pode ser um "Gerenciador" de uma determinada chave ou conjunto de chaves), em geral:

  • Leitores podem acessar informações sobre chaves.
  • Gravadores podem usar chaves com um aplicativo ou serviço integrado ao Key Protect
  • Gerenciadores criam chaves e controlam seu ciclo de vida (além de poder fazer tudo o que leitores e gravadores podem fazer).

Visão geral da arquitetura

O Key Protect usa o algoritmo Advanced Encryption Standard em Galois/Counter Mode (AES GCM) para agrupar e desagrupar DEKs. Os CRKs não importados são criados com um material de chave de 256 bits. Os CRKs importados podem ter material de chave de 128, 192 ou 256 bits.

O diagrama de arquitetura a seguir mostra como os componentes do Key Protect trabalham para proteger seus dados e chaves sensíveis.

O diagrama mostra como Key Protect os componentes protegem dados e chaves confidenciais
Key Protect

O acesso ao serviço Key Protect ocorre por meio de HTTPS. Toda a comunicação usa o protocolo Segurança da Camada de Transporte (TLS) para criptografar dados em trânsito. Para obter mais informações sobre TLS e as cifras suportadas pelo Key Protect, confira Criptografia de dados.

componentes do serviçoKey Protect
Componentes Descrição
API de REST do Key Protect A API de REST do Key Protect conduza a criação e o gerenciamento de chave de criptografia nos serviços da IBM Cloud.
Módulo de segurança de hardware gerenciado pela IBM Os data centers do IBM Cloud fornecem o hardware para proteger suas chaves. Os módulos de segurança de hardware (HSMs) são dispositivos de hardware resistentes a violações que armazenam e usam o material de chave criptográfica sem expor chaves fora de um limite criptográfico. Todas as operações criptográficas, como criação de chave e rotação de chave, são executadas dentro do HSM. Periodicamente, a IBM gira as chaves mestras do HSM, fornecendo uma camada extra de segurança.
Chaves de criptografia gerenciadas pelo cliente As chaves raiz são chaves simétricas que protegem chaves de criptografia de dados com a criptografia de envelope. As chaves raiz nunca saem dos limites do HSM.
Armazenamento dedicado de chave Os metadados de chave são mantidos no armazenamento dedicado altamente durável para o Key Protect que é criptografado em repouso com criptografia de camada de aplicativo adicional.
Controle de acesso de baixa granularidade O Key Protect alavanca funções do IAM do IBM Cloud para assegurar que possa ser designado o acesso apropriado aos usuários nos níveis de instância, de chave e do conjunto de chaves.