Hyper Protect Crypto Services

IBM CloudHyper Protect Crypto Services (HPCS) 是一种支持自备密钥 (KYOK) 的密钥管理服务 (KMS)。 HPCS 可通过 Enterprise PKCS#11(EP11) 访问，但 VMware vSphere 加密仅支持使用 KMIP 标准的密钥管理系统 (KMS)。 因此，KMIP 适配器需要充当 vCenter 服务器设备和 HPCS 之间的适配器。

IBM Cloud HPCS 由经过 FIPS 140-2 4 级认证的硬件安全模块（HSM）提供支持。 从高层来看，IBM HPCS 由以下部分组成。

• 加密单元--代表硬件 HSM 和相应软件栈的单一单元，两者都专用于单一租户。
• 服务实例 - 加密单元集群，作为单一逻辑实体运行，以提供冗余和可扩展性。 建议每个HPCS实例至少有两个加密单元，以提供高可用性（HA）。

HPCS 是适用于多区域（MZR）架构的高可用性解决方案。 跨区域HA在某些地区提供，覆盖范围不断扩大。

VMware 实例的KMIP通过访问实例的 IBM Cloud Identity and Access Management （IAM）服务ID授权给 Hyper Protect Crypto Services 实例。 服务ID必须至少具有平台查看器访问权限和服务管理器访问权限，才能访问密钥管理器实例。 KMIP for VMware 在密钥管理器实例中使用客户根密钥（CRK），并将代表 VMware 生成的所有KEK以打包的形式存储在密钥管理器实例中。

要通过专用网络访问 VMware 的 KMIP，需要使用云服务端点。 在设置过程中，VMware vCenter 和 ESXi 会与部署的 KMIP 实例建立信任。 VMware vCenter 和 ESXi 在创建与密钥管理服务器 (KMS) 的连接时，使用 VMware vCenter 中的证书对 KMIP 适配器实例进行身份验证。 公共证书被安装到 KMIP 中，用于识别允许连接的 vCenter 客户端。 每个客户机都有权使用存储在该 KMIP for VMware 实例中的所有密钥。

Hyper Protect Crypto Services 用于 vSphere 加密 - 无第三方

下图显示了与 HPCS/KMIP 集成的典型 vSphere 加密设置：

Hyper Protect Crypto Services 用于 vSphere 加密 - SaaS 提供商用例

有了 HPCS，SaaS提供商和SaaS消费者可以将其关键工作负载转移到具有最高安全级别的IBM Cloud，以防止未经授权访问其受监管数据。 SaaS提供商和SaaS消费者都能完全控制各自的密钥和云中的受监管数据，包括IBM在内的任何人都无法访问受监管数据。 此外，没有任何一个人可以访问全部密钥，如有需要，还可以部署多个加密单元管理员。

SaaS 提供商负责为其 Hyper Protect Crypto Services 和 VMware 实例部署和管理 KMIP。 虚拟化管理员在 vCenter 中创建 KMS 群集配置。 为保护 SaaS 消费者和 SaaS 提供商的受监管数据，建议他们使用独立的 HPCS 实例和根密钥。 双键法兼顾了利益相关者的权利和责任。

HPCS 流量

查看以下信息，了解订购和初始化 KMIP 的逐步过程：

• VMware Solutions KMIP 注意事项
• 提供 HPCS 的文件

相关链接

• IBM Cloud合规计划