IBM Cloud Docs
哪种数据安全服务最适合我?

哪种数据安全服务最适合我?

通过 IBM Cloud,您可以从各种私钥管理和数据保护产品中进行选择,以帮助您保护敏感数据并集中私钥。

例如,请考虑以下场景以及它们如何映射到 IBM Cloud中的私钥管理产品和数据保护产品。

该图描述了私钥管理的三个用例以及它们如何映射到 IBM Cloud中的可用服务。 相关内容已在周围的文字中作了充分说明。
保密管理用例

用例

下表列出了可用于 IBM Cloud 以保护数据的不同产品。

保密管理和数据保护方案
场景 要使用的内容
您需要创建和管理经 FIPS 140-2 级别 3 验证的硬件支持的加密密钥。 您可以使用 Key Protect 通过将多租户服务与共享硬件配合使用来生成和导入加密密钥。
作为 DevOps 团队贡献者,您需要为服务和应用程序创建,租赁和管理 API 密钥,凭证,数据库配置和其他私钥。 通过 Secrets Manager,您可以在专用实例中管理各种类型的私钥。
您需要为部署生成,更新和管理 SSL/TLS 证书。 您还可以在 Secrets Manager 的专用实例中管理 SSL/TLS 证书和专用密钥。
您希望使用加密密钥保护的数据对于贵公司非常有价值,或者您需要遵守某些数据保护法规。 为此,您希望对密钥具有完全和互斥控制,甚至排除从 IBM Cloud 管理员到主密钥的访问权。 因此,您希望利用在安全相关可调度单元组中运行的专用密钥管理服务以及专用 FIPS 140-2 级别 4 硬件安全模块作为支持您完全控制的服务。 通过 Hyper Protect Crypto Services,您可以使用自己的密钥 (KYOK) 专用硬件在单租户服务中管理加密密钥。
您拥有多云架构,并希望高效且安全地增强所有云中的数据安全态势。 Hyper Protect Crypto Services with Unified Key Orchestrator 允许您以统一且高度安全的方式跨 IBM Cloud (BYOK 和 KYOK),AWS (BYOK),GCP (BYOK) 和 Azure (BYOK) 管理密钥。

每个数据保护服务的主要功能是什么?

在规划数据保护策略时,要考虑的服务之间的一些差异包括工作负载所需的数据隔离级别。

对于更高级别的安全性和控制,您的业务可能受益于单租户产品提供的数据隔离,例如 Secrets Manager 或 Hyper Protect Crypto Services。 您还可以决定多租户服务 (例如 Key Protect) 的降低成本和可伸缩性优势更适合您的需求。 下表列出了每个服务的关键功能。

数据保护服务IBM Cloud主要功能
该表比较了Secrets Manager、Certificate Manager、Key Protect 和Hyper Protect Crypto Services 的功能。 第一列列出了功能部件。 第一行包含表中服务的名称,后跟一行列出每个服务支持的私钥类型。 第三行使用复选标记来指示服务是否为多租户。 第四行使用复选标记来指示服务是否为单租户。 第五行使用复选标记来指示服务是否由硬件安全模块 (HSM) 支持。 第六行使用复选标记来表示服务是否在安全区域运行。 第七行使用复选标记来表明服务是否使用由客户初始化和控制的HSM。
Key Protect Secrets Manager Hyper Protect Crypto Services
私钥类型 对称加密密钥 任意私钥
IAM 凭证
密钥值私钥
SSL/TLS 证书
用户凭证
对称加密密钥
多租户[1] “勾选标记”图标
单租户[2] “勾选标记”图标 “勾选标记”图标
HSM 支持[3] “勾选标记”图标 “勾选标记”图标
在安全相关可调度单元组[4] 中运行 “勾选标记”图标
客户机初始化和控制的 HSM “勾选标记”图标

这些服务可以一起使用吗?

需要。 对于许多使用案例,使用多种服务来完全保护您的数据非常重要。 有关涵盖安全服务的可部署架构的更多信息,请查看 什么是云安全?

我该如何开始?

每个服务都支持轻量套餐或免费试用,可用于免费试用其服务功能。 首先从 IBM Cloud 目录创建服务实例。


  1. 多租户服务使用其软件 (及其底层数据库和硬件) 的单个实例来为多个租户提供服务。 了解更多信息↩︎

  2. 单租户服务为每个租户创建其软件 (及其底层数据库和硬件) 的专用实例。 ↩︎

  3. 由硬件安全模块 (HSM) 支持的服务使用防篡改,经 FIPS 验证的物理硬件作为其信任根,用于加密存储和处理加密密钥。 ↩︎

  4. 缓解内部和外部攻击向量,以获取对密钥的未经授权的访问。 ↩︎