Daten in VPC schützen
Um Ihre Daten mit IBM Cloud® Virtual Private Cloud sicher zu verwalten, müssen Sie wissen, welche Daten gespeichert und verschlüsselt werden. Sie müssen auch wissen, wie Sie gespeicherte personenbezogene Daten löschen können. Die Datenverschlüsselung mit Ihren eigenen Root-Schlüsseln ist über einen unterstützten Schlüsselverwaltungsdienst (KMS) möglich.
Veraltet Die Hyper Protect Crypto Services sind veraltet. Kunden können bestehende Instanzen bis zum 20. März 2027 nutzen. Weitere Informationen finden Sie unter Abschaffung von IBM Cloud Hyper Protect Crypto Services. Um den Schutz aufrechtzuerhalten, sollten Sie in Erwägung ziehen, Ihre vorhandenen Verschlüsselungsschlüssel auf eine Dedicated Key Protect-Instanz zu migrieren. Weitere Informationen finden Sie in der Migrationsanleitung.
VPN for VPC speichert keine anderen Kundendaten außer denen, die zur Konfiguration von VPN-Gateways, Verbindungen und Richtlinien erforderlich sind. Daten, die über ein VPN-Gateway übertragen werden, werden von IBM nicht verschlüsselt. Daten zu Ihren jeweiligen VPN- und Richtlinienkonfigurationen werden bei der Übertragung und im Ruhezustand verschlüsselt. VPN-Konfigurationsdaten werden auf Ihren Wunsch hin über die API oder in der Konsole gelöscht.
So werden Ihre Daten in VPC gespeichert und verschlüsselt
Alle Blockspeicherdatenträger werden standardmäßig mit von IBMverwalteter Verschlüsselung verschlüsselt. Von IBM®verwaltete Schlüssel werden generiert und sicher in einer Blockspeichervault gespeichert, die von Consul unterstützt und von IBM Cloud®-Operationen verwaltet wird.
Für mehr Sicherheit und Kontrolle können Sie Ihre Daten mit eigenen Root Keys (auch Customer Root Key oder CRK genannt) schützen. Diese Funktion wird gemeinhin als 'Bring Your Own Key' oder BYOK bezeichnet. Rootschlüssel sorgen für die Verschlüsselung der Schlüssel, die Ihre Daten schützen. Sie können Ihre Rootschlüssel in Key Protect oder Hyper Protect Crypto Services importieren oder von einem der beiden Schlüsselmanagementservices einen Schlüssel für Sie erstellen lassen.
Key Protect bietet zwei Bereitstellungsoptionen, um unterschiedliche Sicherheits- und Compliance-Anforderungen zu erfüllen:
- Standard (mehrmandantenfähig): Eine kostengünstige Lösung mit FIPS 140-2 Level 3-Konformität und gemeinsam genutzter HSM-Infrastruktur. IBM verwaltet die HSM-Hauptschlüssel.
- Dediziert (Einzelmieter): Erhöhte Sicherheit durch Einhaltung von FIPS 140-3 Level 4 (zur Zertifizierung eingereicht), dedizierte HSM-Partitionen und vollständige Workload-Isolierung. Sie besitzen und verwalten Ihre eigenen Hauptschlüssel und haben keinen IBM Administrator-Zugang.
Weitere Informationen zur Wahl zwischen Standard und Dedicated finden Sie unter Über Standard und Dedicated Key Protect.
Der KMS speichert Ihren Schlüssel und stellt ihn während der Verschlüsselung von Datenträgern und angepassten Images zur Verfügung. Key Protect bietet Konformität mit FIPS 140-2 Level 3. Hyper Protect Crypto Services bietet mit Stufe 4 des Sicherheitsstandards FIPS 140-2 die höchste Sicherheitsstufe. Ihre Schlüsselinformationen sind sowohl bei der Übertragung (d. h. beim Transport) als auch im Ruhezustand (d. h. im gespeicherten Zustand) geschützt.
Eine vom Kunden verwaltete Verschlüsselung ist für angepasste Images, Bootdatenträger und Datenträger verfügbar. Wenn eine Instanz mithilfe eines verschlüsselten angepassten Image bereitgestellt wird, wird der zugehörige Bootdatenträger anhand des Image-Rootschlüssels verschlüsselt. Sie können auch einen anderen Rootschlüssel auswählen. Datenträger für Daten werden unter Verwendung von Rootschlüsseln verschlüsselt, wenn Sie eine virtuelle Serverinstanz bereitstellen oder einen eigenständigen Datenträger erstellen.
Bilder und Datenträger werden mit Hilfe der UmschlagverschlüsselungDer Prozess des Verschlüsselns von Daten mit einem Datenverschlüsselungsschlüssel und anschließendem Verschlüsseln des Schlüssels mit einem Rootschlüssel, der vollständig verwaltet werden kann. verschlüsselt, bei der Ihre Daten durch mehrere Schichten von Verschlüsselungsschlüsseln geschützt werden. Weitere Informationen über die Verschlüsselungstechnologie und die Schlüsselhierarchie finden Sie unter Über die Datenverschlüsselung für VPC.
Die gesamte Interaktion mit VPN for VPC erfolgt verschlüsselt. Wenn Sie zum Beispiel eine API verwenden oder über die Konsole mit dem Dienst interagieren, um VPN-Gateways und VPN-Verbindungen zu konfigurieren, werden alle diese Interaktionen Ende-zu-Ende verschlüsselt. Ebenso werden die Datenelemente, die sich auf Ihre Konfiguration beziehen, bei der Übertragung und im Ruhezustand verschlüsselt. Es werden keine personenbezogenen oder sensiblen Daten gespeichert, verarbeitet oder übertragen. Ruhende Daten werden in einer verschlüsselten Datenbank gespeichert.
Nachdem VPN for VPC bereitgestellt worden ist und die Netzverbindungen erstellt worden sind, liegt die Verschlüsselung der Daten, die Sie zur Übertragung über das Netz auswählen, in Ihrer Verantwortung.
Instanzspeicherdatenisolation und -verschlüsselung
Die Speicherplatte(n) der Instanz, die an die virtuelle Serverinstanz angeschlossen sind, können nicht mit anderen virtuellen Servern gemeinsam genutzt werden. Auf die Speicherplatte(n) der Instanz kann in Zukunft kein anderer virtueller Server mehr zugreifen. Die Festplatten werden nur einmalig für den virtuellen Server verwendet, der den Instance-Speicher angefordert hat.
Instanzspeicher wird durch Verschlüsselung auf dem Datenträger geschützt. Die physischen Festplatten, die für die Instanzspeicherung verwendet werden, sind mit dem starken Verschlüsselungsstandard AES-256 selbstverschlüsselnd. Wenn Ihre Instanz die Daten abruft, werden sie automatisch entschlüsselt. Wenn Ihre Instanz heruntergefahren oder gelöscht wird, wird der zugrunde liegende Speicherplatz gelöscht und kann nicht wiederhergestellt werden. Nach diesem Vorgang können die Daten nicht mehr wiederhergestellt werden.
Auf den physischen Medien werden die Daten automatisch auf Laufwerksebene verschlüsselt. Vom Kunden verwaltete Schlüssel werden jedoch nicht für den Instanzspeicher unterstützt. Für sensible Daten wird dringend empfohlen, eine softwarebasierte Dateisystemverschlüsselung wie LUKS für Linux® oder BitLocker für Windows® zu verwenden. Diese Technologie ermöglicht die vollständige Verschlüsselung innerhalb der Instanz und kann einen zusätzlichen Schutz für sensible Daten bieten, die zwischen den Instanzen und den physischen Laufwerken übertragen werden. Einige Betriebssysteme bieten auch FIPS-zertifizierte Verschlüsselungsalgorithmen, die ebenfalls verwendet werden können. Ein Beispiel für die Verschlüsselung auf Red Hat Enterprise Linux® finden Sie unter Verschlüsselung von Blockgeräten mit LUKS. Spezifische Informationen zur Verschlüsselung der einzelnen Geräte finden Sie in der Dokumentation des Betriebssystems.
Sensible Daten in VPC schützen
Key Protect oder Hyper Protect Crypto Services bieten ein höheres Maß an Schutz, das als Umschlagverschlüsselung bezeichnet wird, bei der ein Verschlüsselungscode mit einem anderen Verschlüsselungscode verschlüsselt wird. Dieser mehrschichtige Ansatz stellt sicher, dass Ihre Daten durch mehrere Schlüssel geschützt sind und nur Sie den Zugriff auf die Stammschlüssel kontrollieren.
Sie kontrollieren den Zugriff auf Ihre Root-Schlüssel, die in den KMS-Instanzen innerhalb von IBM Cloud® gespeichert sind, indem Sie IBM Cloud® Identity and Access Management (IAM) verwenden. Sie erteilen einem Service den Verwendungszugriff auf Ihre Schlüssel. Sie können den Zugang auch jederzeit widerrufen, wenn Sie z. B. den Verdacht haben, dass Ihre Schlüssel missbraucht werden könnten. Weitere Informationen zur Verwaltung Ihrer Verschlüsselungsschlüssel finden Sie unter Verwalten der Datenverschlüsselung.
VPN for VPC: Die vom Kunden bereitgestellten Preshared Keys werden verschlüsselt, bevor sie in der Datenbank gespeichert werden. Alle sonstigen Konfigurationsdaten von VPN-Gateways und VPN-Richtlinien werden im Ruhezustand auf Datenbankebene verschlüsselt.
Informationen zu den vom Kunden verwalteten Schlüsseln
Mit Key Protect oder Hyper Protect Crypto Services können Sie Ihre Root-Schlüssel erstellen, importieren und verwalten. Key Protect ist in zwei Bereitstellungsoptionen verfügbar:
- Standard: Ein mandantenfähiger Service mit FIPS 140-2 Level 3-Konformität, geeignet für die meisten Arbeitslasten, die eine vom Kunden verwaltete Verschlüsselung erfordern.
- Dediziert: Ein Single-Tenant-Service mit FIPS 140-3 Level 4-Konformität (zur Zertifizierung eingereicht), der vollständige Kontrolle über die Verschlüsselungsschlüssel ohne IBM Administratorzugriff bietet.
Sie können den Schlüsseln Zugriffsrichtlinien zuordnen, den Schlüsseln Benutzer oder Service-IDs zuordnen oder den Schlüsselzugriff nur einem bestimmten Service erteilen. Preisinformationen finden Sie unter Preise für Key Protect.
Sie können Ihre Root-Schlüssel für mehr Sicherheit rotieren. Weitere Informationen finden Sie unter Schlüsselrotation für VPC-Ressourcen.
Berücksichtigen Sie regionale und regionsübergreifende Auswirkungen, wenn Sie sich für die vom Kunden verwaltete Verschlüsselung entscheiden. Weitere Informationen finden Sie unter Regionale und überregionale Überlegungen.
Informationen zu vom Kunden verwalteten verschlüsselten Datenträgern und Images
Bei der vom Kunden verwalteten Verschlüsselung stellen Sie Rootschlüssel bereit, um Ihre verschlüsselten Ressourcen in der Cloud zu schützen. Rootschlüssel dienen als Key-Wrapping-Schlüssel, mit denen die Verschlüsselungsschlüssel, die Ihre Daten schützen, verschlüsselt werden. Es liegt in Ihrer Entscheidung, ob Sie Ihre bestehenden Rootschlüssel importieren möchten oder ob Sie über einen unterstützten Schlüsselmanagementservice (KMS) einen Schlüssel erstellen lassen.
Den Block Storage Volumes wird ein eindeutiger Datenverschlüsselungsschlüssel zugewiesen, der vom Host-Hypervisor der Instanz generiert wird. Der Datenverschlüsselungsschlüssel für die einzelnen Datenträger wird mit einer eindeutigen von KMS generierten LUKS-Kennphrase verschlüsselt, die anschließend mit dem Rootschlüssel verschlüsselt und im Schlüsselmanagementservice (KMS) gespeichert wird.
Benutzerdefinierte Images werden durch Ihre eigene LUKS-Passphrase verschlüsselt, die Sie mit QEMU erstellen. Nach der Verschlüsselung des Image führen Sie ein Wrapping der Kennphrase mit Ihrem CRK durch, der im KMS gespeichert ist. Weitere Informationen hierzu finden Sie unter Verschlüsselte angepasste Images.
Vom Kunden verwaltete Schlüssel für VPC
Siehe die folgende Prozedur zum Erstellen von Block Storage-Boot-und -Datenträgern mit vom Kunden verwalteter Verschlüsselung.
- Blockspeicherdatenträger mit vom Kunden verwalteter Verschlüsselung erstellen
- File Storage-Freigaben mit kundenverwalteter Verschlüsselung erstellen
Wenn Sie Key Protect Dedicated wählen, müssen Sie Ihre Instanz zunächst über die CLI initialisieren, bevor Sie sie zur Verschlüsselung von VPC-Ressourcen verwenden können. Weitere Informationen finden Sie unter Initialisierung von Dedicated Key Protect.
Mit vom Kunden verwalteten Schlüsseln für VPC arbeiten
Weitere Informationen zum Verwalten der Datenverschlüsselung finden Sie unter Verwalten der Datenverschlüsselung und im Abschnitt zum vorübergehenden Entzug des Zugriffs durch Entfernen der Dienstberechtigung für einen Root-Schlüssel.
Die Verschlüsselung der Verknüpfung zwischen einer Workload des Kunden außerhalb von IBM Cloud und einer Workload, die sich innerhalb von IBM Cloud befindet, ist Aufgabe des Kunden. Siehe Verschlüsselung in Sicherheit und Einhaltung gesetzlicher Bestimmungen.
Daten in VPC löschen
Rootschlüssel löschen
Wenn Sie einen Root-Schlüssel löschen, werden alle Ressourcen, die durch ihn geschützt sind, unbrauchbar. Sie haben eine Frist von 30 Tagen, um importierte Stammschlüssel wiederherzustellen. Weitere Informationen finden Sie unter Verwalten der Datenverschlüsselung.
Löschen von Block Storage Volumes
Weitere Informationen zum Löschen von Block Storage-Volumes finden Sie in den FAQs für Block Storage for VPC.
Löschen von benutzerdefinierten Bildern
Weitere Informationen zum Löschen von angepassten Images aus IBM Cloud VPCfinden Sie in Angepasste Images verwalten. Berücksichtigen Sie hierbei alle virtuellen Serverinstanzen, die Sie mit einem angepassten Image bereitgestellt haben. Damit alle Daten entfernt werden, die einem bestimmten angepassten Image zugeordnet sind, müssen Sie sicherstellen, dass Sie auch alle Instanzen, die mit diesem angepassten Image bereitgestellt wurden, sowie die zugehörigen Bootdatenträger löschen.
Wenn Sie ein IBM Cloud VPC benutzerdefiniertes Bild löschen möchten, das Teil eines privaten Katalogangebots ist, müssen Sie dieses Bild zunächst aus der zugehörigen Version im privaten Katalogangebot entfernen. Anschließend können Sie das benutzerdefinierte Bild aus löschen IBM Cloud VPC. Informationen zum Löschen des angepassten Image aus dem privaten Katalog finden Sie unter Unterstützung für ein privates Produkt einstellen.
VPC-Instanzen löschen
Weitere Informationen zum Löschen einer VPC und der zugehörigen Ressourcen finden Sie unter Löschen einer VPC.
Die Datenaufbewahrungsrichtlinie von VPC beschreibt, über welchen Zeitraum Ihre Daten noch gespeichert werden, nachdem Sie den Service gelöscht haben. Diese Datenaufbewahrungsrichtlinie ist in der Servicebeschreibung von IBM Cloud® Virtual Private Cloud enthalten, die Sie im Abschnitt IBM Cloud - Bedingungen und Bemerkungen finden können.
Die Konfigurationen von VPNs sowie von VPN-Richtlinien werden auf Anfrage über die Anwendungsprogrammierschnittstelle (API) oder die Benutzerschnittstelle (UI) gelöscht.
Gelöschte Daten für VPC wiederherstellen
Gelöschte Rootschlüssel, die von Ihnen in das Schlüsselmanagementsystem (KMS) importiert wurden, können innerhalb von 30 Tagen ab dem Zeitpunkt ihrer Löschung wiederhergestellt werden. Weitere Informationen hierzu finden Sie unter Gelöschte Rootschlüssel wiederherstellen.
VPN for VPC unterstützt die Wiederherstellung gestützter Daten nicht.
Alle VPC-Daten löschen
Wenn Sie die Gesamtheit aller als persistent definierten und von IBM Cloud VPC gespeicherten Daten löschen wollen, wählen Sie eine der nachfolgend genannten Optionen aus.
Damit Ihre personenbezogenen und sensiblen Informationen entfernt werden können, muss die Gesamtheit Ihrer IBM Cloud VPC-Ressourcen ebenfalls gelöscht werden. Sichern Sie zuvor unbedingt Ihre Daten mittels Backup, bevor Sie fortfahren.
- Öffnen Sie einen IBM Cloud Support-Fall. Wenden Sie sich an den IBM Support, wenn Ihre personenbezogenen und sensiblen Informationen aus IBM Cloud VPC entfernt werden sollen. Weitere Informationen finden Sie im Abschnitt zur Verwendung des Support Centers.
- Beenden Sie Ihr IBM Cloud-Abonnement. Nachdem Sie Ihr Abonnement von IBM Cloud beendet haben, löscht IBM Cloud VPC alle Serviceressourcen, die Sie erstellt haben. Dies bezieht auch alle als persistent definierten Daten ein, die diesen Ressourcen zugeordnet sind.