关于 Key Protect
IBM® Key Protect for IBM Cloud® 是一种全服务加密解决方案,允许使用最新包络加密技术 (利用 FIPS 140-2 级别 3 认证的基于云的硬件安全模块) 来保护数据并将其存储在 IBM Cloud 中。
敏感数据不应存储在任何未加密的云提供者上 (即 "明文")。 但就像任何加密方法一样,追溯到几千年前创建的最早已知密码文本,重要的不仅仅是对信息进行加密,使其无法轻松解码,而是保护用于对其进行加密和解密的密码 (因为拥有密码与拥有数据一样好)。
该解决方案是一个类似于 Key Protect的密钥管理系统,它通过加密数据加密密钥 (DEK) 来确保数据安全,这些数据加密密钥使用 IBM 通过不可穿透的 HSM 管理的根密钥对明文数据进行加密。 在这种被称为“包络加密”的系统中,解密数据的过程意味着首先“解包”已加密的 DEK (打开其包络,换言之),然后使用 DEK 对数据进行解密。
有关包络加密工作的更多信息,请查看 使用包络加密保护数据。
不确定哪个 IBM Cloud 安全性适合您的用例? 请查看 哪个数据安全服务最适合我? 以获取更多信息。
Key Protect 提供的内容
- 将加密密钥引入云: 通过将对称密钥从内部密钥管理基础结构安全地导出到 IBM Cloud来完全控制和加强密钥管理实践。
- 强大的安全性:使用经 FIPS 140-2 3 级认证的硬件安全模块(HSM)提供和存储密钥。 利用 IBM Cloud Identity and Access Management(IAM)角色 对密钥进行细粒度访问控制。 有关更多信息,请查看 了解使用 Key Protect的责任。
- 控制和可见性:使用 IBM Cloud Logs 衡量用户和应用程序如何与 Key Protect 互动。 更多信息,请查阅 IBM Cloud Logs.
- 简化计费:通过单一视图跟踪所有账户的订购和信贷支出。 要了解有关密钥,密钥版本和定价的更多信息,请查看 定价。
- 自主管理加密:创建或导入根密钥和标准密钥,保护你的数据。
- 灵活性: IBM Cloud 上或外部的应用程序可与 Key Protect API 集成。Key Protect 可与各种 IBM 数据库,存储,容器和采集服务轻松集成。 更多信息,请查看 整合服务。
- 内置保护:已删除的密钥及其加密数据永远无法恢复。 使用 UI、CLI 或 API 管理用户角色和密钥状态,并设置用于用例的轮换调度。
- 独立于应用程序:生成、存储、检索和管理密钥与应用程序逻辑无关。
- 密钥管理互操作性协议(KMIP) 支持,经 VMWare认证,可直接与通过 KMIP KMS 服务器接受加密的任何服务或平台集成。 其他 KMS 需要第三方 KMIP 服务器支持,而对 KMIP 的支持则由 Key Protect 集成和管理。 而且,由于 KMIP 对称密钥只 作为单个密钥版本收费,因此您只需为您使用的密钥付费。
使用 Key Protect 的原因
以下是一些常见场景,用于说明如何使用 Key Protect 来解决在生产中大规模运营的企业所面临的问题。
| 场景 | 理由 |
|---|---|
| 您需要创建和管理经 FIPS 140-2 级别 3 验证的硬件支持的加密密钥。 | 您可以使用 **Key Protect 通过将多租户服务与共享硬件配合使用来生成和导入加密密钥。 |
| 作为一家大公司的 IT 管理员,您需要对许多不同服务产品的加密密钥进行集成、跟踪和轮换。 | Key Protect 界面可以简化对多个加密服务的管理。 借助该服务,您可以在一个集中的位置对加密密钥进行管理和排序,也可以按项目分隔密钥并将其存储在不同的 IBM Cloud 空间中。 |
| 作为开发者,您要将已有的应用程序(例如,自加密存储器)集成到 Key Protect。 | 在 IBM Cloud 内部或外部的应用程序可以与 Key Protect API 集成。 您可以将自己的现有密钥用于应用程序,并将其导入到 Key Protect中。 |
| 您的开发团队有严格的政策,您需要一种生成和轮换密钥的方法。 | 借助 Key Protect, 可快速从 IBM Cloud 硬件安全模块 (HSM) 生成密钥。 当需要替换密钥时,无论是使用 Key Protect 创建密钥还是导入密钥,您都可以 按需轮换密钥 或 为密钥设置轮换策略 以满足持续的安全需求。 |
| 您是必须遵守数据保护监管规定的某个行业(如金融或法律)的安全管理员。 您需要授予受控的密钥访问权,同时不能破坏密钥所保护的数据。 | 有了这项服务,你可以通过 分配不同的 IAM 角色 来控制用户管理密钥的访问权限。 例如,对于需要查看密钥创建信息而不需要查看密钥资料的用户,您可以授予只读访问权。 同样,如果需要,可以仅向用户分配单个密钥的“管理者”角色。 |
| 您希望在将数据移入云中时执行包络加密。 为此,您需要提供自己的主加密密钥,以便可以管理和保护用于加密静态数据的其他密钥。 | 通过 Key Protect,您可以 使用高度安全的根密钥合并(加密)数据加密密钥,并在需要时解包该密钥。 可以自带根密钥,也可以在服务中创建根密钥。 |
Key Protect 是基于云的密钥管理系统,提供最佳的成本,安全性和规模。 如果您要查找支持客户控制的基于云的专用密钥管理解决方案 IBM Cloud Hyper Protect Crypto Services 与 Key Protect 集成,以针对 IBM Cloud启用“保留自己的密钥”(KYOK),因此您的组织对其数据具有更多控制和权限。 请查看 Hyper Protect Crypto Services 产品详细信息页面 以了解更多信息。
Key Protect 的工作原理
IBM Key Protect 通过与 IAM 角色保持一致,可帮助您管理整个组织的加密密钥。IBM Cloud
IT 或安全管理员可能需要对实例,密钥或密钥环的高级许可权,而其他用户 (包括审计员) 可能不需要这些许可权。 因此,Key Protect 映射到已建立的 IAM 角色,以允许每个用户根据需要进行细颗粒度访问。 有关更多信息,请查看 管理用户和访问权。
下图显示了管理者,读者和写程序的缺省 IAM 角色如何与服务中管理的密钥进行交互。
虽然可以向特定用户分配特定资源的特定角色 (在实例级别具有 "读者" 角色的用户可能是特定密钥或密钥环的 "管理者"),但通常:
- 读者 可以访问有关密钥的信息。
- 写程序 可以将密钥与与 Key Protect 集成的应用程序或服务配合使用
- 管理员 创建密钥并控制其生命周期 (除了能够执行 "读者" 和 "写入者" 可以执行的所有操作外)。
体系结构概述
Key Protect 使用 Galois/Counter Mode (AES GCM) 中的高级加密标准算法来打包和解包 DEK。 未导入的 CRK 是使用 256 位密钥材料创建的。 导入的 CRK 可以具有 128 位,192 位或 256 位密钥资料。
以下体系结构图显示 Key Protect 组件如何工作以保护敏感数据和密钥。
访问 Key Protect 服务需要通过 HTTPS。 所有通信都使用传输层安全性 (TLS) 协议对传输中的数据进行加密。 如需了解有关TLS和 Key Protect 支持的密码的更多信息,请查看 数据加密。
| 组件 | 描述 |
|---|---|
| Key Protect REST API | Key Protect REST API 通过 IBM Cloud 服务来驱动加密密钥创建和管理。 |
| IBM-可管理硬件安全模块 | IBM Cloud 数据中心提供保护密钥的硬件。 硬件安全模块(HSM)是一种防篡改硬件设备,用于存储和使用加密密钥材料,而不会将密钥暴露在加密边界之外。 所有加密操作 (例如密钥创建和密钥轮换) 都在 HSM 内执行。 IBM 定期轮换 HSM 的主密钥,提供额外的安全层。 |
| 客户管理的加密密钥 | 根密钥是使用 包络加密 保护数据加密密钥的对称密钥。 根密钥永远不会离开 HSM 的边界。 |
| 专用密钥存储器 | 密钥元数据存储在 Key Protect 的高度持久专用存储器中,该存储器使用额外的应用程序层加密进行静态加密。 |
| 细颗粒度访问控制 | Key Protect 利用 IBM Cloud IAM 角色来确保可以在实例,密钥和密钥环级别为用户分配相应的访问权。 |