IBM Cloud Docs
Chiffrement

Chiffrement

Fin de la commercialisation: À partir du 31 octobre 2025, les nouveaux déploiements des offres VMware Solutions ne seront plus disponibles pour les nouveaux clients. Les clients existants peuvent toujours utiliser et développer leurs charges de travail actives VMware® sur IBM Cloud®. Pour plus d'informations, voir Fin de la commercialisation pour VMware sur IBM Cloud.

Fin de la commercialisation: Depuis le 17 juillet 2025, les nouveaux déploiements d'instances VMware Regulated Workloads ne sont plus disponibles pour les nouveaux clients. Si vous êtes un client existant, vous pouvez toujours ajouter ou supprimer des clusters, ajouter ou supprimer VMware ESXi™ servers or NFS storage, et ajouter ou supprimer des services pour vos instances Regulated Workloads existantes. En tant que client existant, vous pouvez également consulter ou supprimer vos instances Regulated Workloads.

IBM Cloud® pour VMware®Regulated Workloads s'appuie sur VMware vSphere® le chiffrement pour sécuriser les machines virtuelles de gestion et de production au repos ou en transit. vSphere Le chiffrement s'applique à tous les types de VMware stockage, y compris vSAN le stockage. Grâce à la solution vSphere de chiffrement, VMware vCenter Server® et vos VMware vSphere hôtes ESXi™ se connectent à un serveur de gestion des clés pour obtenir les clés de chiffrement requises. Ces clés permettent de protéger les disques de machine virtuelle individuels, conformément à vos règles de stockage de machine virtuelle.

Puisque le chiffrement vSphere opère au niveau du disque de machine virtuelle, il permet donc d'éviter l'exposition des données réglementées en cas de perte des unités de disque physique ou des disques de machine virtuelle. Beaucoup de technologies de sauvegarde et de réplication ne peuvent pas sauvegarder ou répliquer de façon efficace si la machine virtuelle est chiffrée. De plus, vSphere le cryptage n'est pas compatible avec VMware vMotion, cross-vCenter HCX™ ou HPE Zerto Software. Toutefois, avec une configuration correcte, Veeam Backup and Replication est compatible avec le chiffrement vSphere.

Hyper Protect Crypto Services

IBM Cloud Hyper Protect Crypto Services (HPCS) est un service de gestion de clés (KMS) qui prend en charge la fonction Garder votre propre clé (KYOK). HPCS est accessible via Enterprise PKCS#11(EP11), mais vSphere le chiffrement ne prend en charge qu'un système de gestion des clés (KMS) utilisant la norme KMIP. Par conséquent, l'adaptateur KMIP est requis pour agir en tant qu'adaptateur entre le dispositif vCenter Server et HPCS.

IBM Cloud HPCS est sauvegardé par un module de sécurité matérielle certifié FIPS 140-2 niveau 4 (HSM). Globalement, le service IBM HPCS est constitué des composants suivants :

  • Unité de chiffrement - unité particulière qui représente un élément matériel, le module HSM, et la pile de logiciels correspondante, les deux étant dédiés à un service exclusif.
  • Instance de service - cluster d'unités de chiffrement, qui fonctionne comme une seule entité logique pour assurer la redondance et l'évolutivité. Il est recommandé d'avoir au moins deux unités cryptographiques par instance HPCS afin d'assurer une haute disponibilité (HA).

HPCS est une solution hautement disponible pour l'architecture multizone Region (MZR). La HA interrégionale est disponible dans certaines zones géographiques et son empreinte ne cesse de s'étendre.

L'instance KMIP for VMware est autorisée pour l'instance Hyper Protect Crypto Services à l'aide d'un ID service IBM Cloud Identity and Access Management (IAM) qui a accès à l'instance. Cet ID de service doit avoir au minimum un droit d'affichage de plateforme et un droit de gestionnaire de service à l'instance de gestionnaire de clés. KMIP for VMware, qui utilise la clé CRK (Customer Root Key) dans l'instance de gestionnaire de clés, stocke toutes les clés KEK générées pour le compte de VMware, au format encapsulé, dans cette instance.

Pour accéder à KMIP for VMware sur le réseau privé, des noeuds finaux de service IBM Cloud sont utilisés. Lors de la configuration, VMware vCenter et ESXi établissent une relation de confiance avec l'instance KMIP déployée. VMware vCenter et ESXi s'authentifient auprès de l'instance d'adaptateur KMIP en utilisant des certificats dans VMware vCenter quand la connexion au serveur KMS (Key Management Server) est créée. Le certificat public est installé dans KMIP pour identifier le ou les clients vCenter autorisés à se connecter. Chaque client est autorisé sur toutes les clés stockées dans cette instance KMIP for VMware.

Hyper Protect Crypto Services pour le chiffrement vSphere - pas de tiers

La figure suivante présente une configuration de chiffrement vSphere classique avec l'intégration HPCS/KMIP :

vSphere cryptage avec Hyper Protect Crypto Services
vSphere cryptage avec Hyper Protect Crypto Services- aucun tiers

Hyper Protect Crypto Services pour le chiffrement vSphere - cas d'utilisation du fournisseur de SaaS

Avec HPCS, SaaS les fournisseurs et SaaS les consommateurs peuvent transférer leurs charges de travail critiques vers IBM Cloud un niveau de sécurité maximal afin d'empêcher tout accès non autorisé à leurs données réglementées. Les fournisseurs et consommateurs SaaS gardent le contrôle total sur leurs clés et leurs données réglementées respectives dans le cloud et personne, même chez IBM, n'a accès à ces données. De plus, aucune personne n'a accès à la clé complète et, si nécessaire, plusieurs administrateurs d'unité de chiffrement peuvent être déployés.

vSphere cryptage avec cryptage avec pour les fournisseurs Hyper Protect Crypto Services
vSphere Hyper Protect Crypto Services SaaS

Le SaaS fournisseur est responsable du déploiement et de la gestion à la fois Hyper Protect Crypto Services de et du KMIP pour VMware instance pour leur Regulated Workloads instance. L'administrateur de virtualisation crée la configuration de cluster KMS dans vCenter. Pour protéger les données réglementées du consommateur et du fournisseur SaaS, il est recommandé d'utiliser des instances HPCS et des clés racine indépendantes. L'approche à deux clés équilibre à la fois les droits et les responsabilités des parties prenantes.

Aperçu de Dual HPCS
Aperçu de Dual HPCS

HPCS - Vue du fournisseur indépendant de logiciels (ISV)

Le SaaS fournisseur initialise son matériel de clé racine dans le HPCS qui est fourni dans le cadre du Regulated Workloads déploiement. Cette clé, qui s'intègre à la plateforme de gestion, est utilisée avec le chiffrement vSphere, le chiffrement vSAN ou tout autre outil utilisé pour chiffrer les composants de plateforme.

HPCS - Vue des institutions financières

Le consommateur SaaS gère sa propre instance HPCS indépendante et introduit son propre matériel de clé racine. Cette clé est essentielle à la sécurité des données réglementées du consommateur SaaS. Elle permet de générer des clés "descendantes" pour chaque fournisseur SaaS individuel impliqué.

Les clés qui sont fournies par le consommateur SaaS sont utilisées pour protéger les données réglementées du consommateur SaaS.

Flux HPCS

Prenez connaissance des informations suivantes relatives au processus détaillé de commande et d'initialisation de KMIP :