哪种数据安全服务最适合我?
通过 IBM Cloud,您可以从各种私钥管理和数据保护产品中进行选择,以帮助您保护敏感数据并集中私钥。
例如,请考虑以下场景以及它们如何映射到 IBM Cloud中的私钥管理产品和数据保护产品。
用例
下表列出了可用于 IBM Cloud 以保护数据的不同产品。
场景 | 要使用的内容 |
---|---|
您需要创建和管理经 FIPS 140-2 级别 3 验证的硬件支持的加密密钥。 | 您可以使用 Key Protect 通过将多租户服务与共享硬件配合使用来生成和导入加密密钥。 |
作为 DevOps 团队贡献者,您需要为服务和应用程序创建,租赁和管理 API 密钥,凭证,数据库配置和其他私钥。 | 通过 Secrets Manager,您可以在专用实例中管理各种类型的私钥。 |
您需要为部署生成,更新和管理 SSL/TLS 证书。 | 您还可以在 Secrets Manager 的专用实例中管理 SSL/TLS 证书和专用密钥。 |
您希望使用加密密钥保护的数据对于贵公司非常有价值,或者您需要遵守某些数据保护法规。 为此,您希望对密钥具有完全和互斥控制,甚至排除从 IBM Cloud 管理员到主密钥的访问权。 因此,您希望利用在安全相关可调度单元组中运行的专用密钥管理服务以及专用 FIPS 140-2 级别 4 硬件安全模块作为支持您完全控制的服务。 | 通过 Hyper Protect Crypto Services,您可以使用自己的密钥 (KYOK) 专用硬件在单租户服务中管理加密密钥。 |
您拥有多云架构,并希望高效且安全地增强所有云中的数据安全态势。 | Hyper Protect Crypto Services with Unified Key Orchestrator 允许您以统一且高度安全的方式跨 IBM Cloud (BYOK 和 KYOK),AWS (BYOK),GCP (BYOK) 和 Azure (BYOK) 管理密钥。 |
每个数据保护服务的主要功能是什么?
在规划数据保护策略时,要考虑的服务之间的一些差异包括工作负载所需的数据隔离级别。
对于更高级别的安全性和控制,您的业务可能受益于单租户产品提供的数据隔离,例如 Secrets Manager 或 Hyper Protect Crypto Services。 您还可以决定多租户服务 (例如 Key Protect) 的降低成本和可伸缩性优势更适合您的需求。 下表列出了每个服务的关键功能。
Key Protect | Secrets Manager | Hyper Protect Crypto Services | |
---|---|---|---|
私钥类型 | 对称加密密钥 | 任意私钥 IAM 凭证 密钥值私钥 SSL/TLS 证书 用户凭证 |
对称加密密钥 |
多租户[1] | |||
单租户[2] | |||
HSM 支持[3] | |||
在安全相关可调度单元组[4] 中运行 | |||
客户机初始化和控制的 HSM |
这些服务可以一起使用吗?
需要。 对于许多使用案例,使用多种服务来完全保护您的数据非常重要。 有关涵盖安全服务的可部署架构的更多信息,请查看 什么是云安全?
我该如何开始?
每个服务都支持轻量套餐或免费试用,可用于免费试用其服务功能。 首先从 IBM Cloud 目录创建服务实例。