Ventajas del cifrado gestionado por el cliente

El cifrado gestionado por el cliente tiene varias ventajas sobre el cifrado gestionado por IBM.

Control de las claves:

• Como usted lleva sus propias claves (BYOK) a la nube, controla el cifrado de sus volúmenes de Block Storage for VPC, archivos compartidos e imágenes personalizadas.
• Usted otorga al servicio de VPC de IBM acceso para utilizar sus claves raíz para importar sus datos. Puede revocar el acceso en cualquier momento por cualquier motivo.
• Los datos están protegidos mientras están en tránsito desde el sistema de almacenamiento al hipervisor y host dentro de la VPC, y en reposo en Block Storage for VPC y File Storage for VPC.

Cifrado de volúmenes de arranque y de datos:

• Los datos de Block Storage for VPC siempre se cifran con sus propias claves en reposo y en movimiento.
• Cada volumen de arranque y de datos se cifra en reposo con una clave de cifrado maestra exclusiva. Si la clave se ve comprometida, ningún otro volumen de Block Storage for VPC se verá afectado, ya que la clave comprometida sólo protege un único volumen.
• Los volúmenes de arranque primarios que se crean a partir de imágenes de stock de Linux o Windows se cifran por defecto con el cifrado gestionado de IBM. Si crea una instancia a partir de una imagen de stock y especifica el cifrado gestionado por el cliente para los volúmenes de datos, los datos que se escriban en esos volúmenes estarán protegidos por el cifrado gestionado por el cliente.
• Usted controla el número y el uso de claves raíz que se van a utilizar para el cifrado de sobre a nivel de volumen. Por ejemplo, puede optar por cifrar el volumen de arranque con una clave raíz y los volúmenes de datos con otra clave raíz.
• Las instantáneas que se crean a partir de volúmenes de arranque y de datos heredan el cifrado gestionado por el cliente del volumen de origen.

Cifrado de comparticiones de archivos:

• Los datos de compartición de archivos siempre se cifran con sus propias claves en reposo.

• Puede controlar el número y el uso de las claves raíz que se utilizan para el cifrado de sobres a nivel de comparticiones de archivos. Es decir, puede elegir cifrar todas las comparticiones de archivo con la misma clave raíz o cada compartición de archivos con claves diferentes. También puedes cifrar algunos archivos compartidos con una clave raíz y otros con claves raíz diferentes. Tiene total flexibilidad para implementar el uso de la clave raíz en función de sus necesidades de seguridad individuales.

• Para gestionar las claves raíz de las comparticiones de archivos, rote, inhabilite o suprima las claves. Puedes restaurar las claves borradas en los 30 días siguientes a su eliminación.

Cifrar las imágenes personalizadas:

• Puede cifrar manualmente una imagen creando una copia cifrada de la misma utilizando QEMU.
• Puede crear imágenes personalizadas cifradas a partir de volúmenes de arranque cifrados. Para obtener más información, consulte Acerca de las imágenes personalizadas cifradas.

Excelente rendimiento:

• El cifrado gestionado por el cliente utiliza el cifrado del hipervisor en la infraestructura VPC, lo que ofrece un excelente rendimiento de E/S cifrado Block Storage for VPC para sus instancias de servidor virtual.
• Con la infraestructura VPC, puede crear y poner en marcha 1.000 instancias con volúmenes de arranque cifrados gestionados por el cliente en cuestión de minutos.
• Dado que el hipervisor gestiona el cifrado y el descifrado, el sistema operativo invitado no tiene que modificar los datos. El sistema operativo invitado no tiene conocimiento de que se está produciendo el cifrado.

Elección del servicio de gestión de claves:

• Elija el servicio de gestión de claves(KMS ) que desea utilizar. Puede seleccionar Key Protect, un KMS multiarrendatario público conforme con FIPS 140-2 L3, o bien Hyper Protect Crypto Services más seguro, conforme con FIPS 140-2 L4.
• La instancia de KMS que contiene tu clave raíz puede residir fuera de la región donde existe el volumen cifrado. Sin embargo, para obtener un mejor rendimiento y seguridad, utilice claves en la misma región que los volúmenes Block Storage for VPC.

Rotación de claves y seguimiento de auditoría:

• Puedes rotar manualmente tus claves raíz con la API o desde la CLI, o configurar una política de rotación para rotar automáticamente tus claves. La rotación de las claves sustituye el material criptográfico original de la clave raíz y genera material nuevo. Para obtener más información, consulte Rotación de claves para recursos de VPC.

• El cifrado gestionado por el cliente proporciona registros de auditoría para el uso de claves raíz. Los eventos se generan y recogen automáticamente en IBM Cloud Logs.

IBM Cloud Tecnología de cifrado de VPC

El cifrado se gestiona mediante la tecnología de hipervisor de IBM Cloud VPC para sus instancias. Esta función ofrece un mayor nivel de seguridad que las soluciones que sólo proporcionan cifrado en reposo del nodo de almacenamiento. Los datos se encriptan siempre con cifrado de sobre dentro de IBM Cloud.

Las imágenes de stock y personalizadas utilizan el formato de archivo QEMU Copy On Write Versión 2 (QCOW2). El formato de cifrado LUKS protege los archivos de formato QCOW2. IBM Cloud utiliza la suite de cifrado AES-256 y las opciones de modalidad de cifrado XTS con LUKS. Esta combinación proporciona un nivel de seguridad mucho mayor que AES-CBC, junto con una mejor gestión de las frases de contraseña para la rotación de claves, y ofrece opciones de sustitución de claves si éstas se ven comprometidas.

En total, cuatro claves protegen los datos:

• Una clave gestionada porIBM cifra los datos en el sistema de almacenamiento de fondo. El cifrado gestionado por IBMen el sistema de almacenamiento siempre se aplica, incluso cuando se utiliza el cifrado gestionado por el cliente. Esta clave protege los datos tanto en tránsito como en reposo.

  El cifrado del enlace de red entre su carga de trabajo fuera de IBM Cloud y una carga de trabajo dentro de IBM Cloud es su responsabilidad. Para obtener más información, consulte el apartado sobre Cifrado en seguridad y conformidad normativa.

• Una clave de cifrado de datos (DEK) cifra los datos dentro del archivo QCOW2 y protege los clústeres de datos de bloque en el disco virtual. La DEK se gestiona mediante la tecnología QEMU de código abierto y se genera automáticamente cuando se crea un archivo QCOW2.

  Para los volúmenes de Block Storage for VPC que se crean a partir de imágenes de stock, el DEK lo genera QEMU ejecutándose en hipervisores KVM proporcionados por IBM. Para los volúmenes Block Storage for VPC que se crean a partir de imágenes personalizadas, lo genera QEMU que se ejecuta en el nodo local. La DEK (una clave AES-256) se cifra con una frase de contraseña de LUKS y se almacena cifrada en el archivo QCOW2.

• Una frase de contraseña LUKS (también llamada "clave de cifrado") cifra y descifra el DEK. Esta clave está gestionada por la infraestructura de generación 2 de VPC y está cifrada por la clave raíz. Se almacena como metadatos asociados con el volumen Block Storage for VPC que contiene el archivo QCOW2.

• Una clave raíz de cliente que cifra las frases de contraseña de volumen, compartición e imagen personalizada con cifrado de sobre, que crea una DEK o WDEK encapsulada. Las claves raíz se gestionan por el cliente desde instancias de KMS (Key Protect o Hyper Protect Crypto Services) y se almacenan y gestionan de forma segura dentro de la instancia de KMS. La clave raíz también desencapsula (descifra) la WDEK, proporcionando acceso a los datos cifrados.

Servicios de gestión de claves soportados

Hay dos servicios de gestión de claves (KMS) de IBM disponibles para el cifrado gestionado por el cliente, Key Protect y Hyper Protect Crypto Services (disponible en determinadas regiones). Estos servicios utilizan una API de proveedor de claves común para proporcionar un enfoque coherente a la gestión de las claves de cifrado.

La Tabla 1 describe estos servicios:

Es posible que vea que Key Protect se describe como BYOK, "bring your own key" y Hyper Protect Crypto Services como KYOK, o "keep your own key". Key Protect y Hyper Protect Crypto Services son servicios similares.

Cifrado de sobre

Las claves raíz actúan como claves para encapsular claves y constituyen una parte importante del cifrado de sobre. En el cifrado de sobre, las claves raíz cifran las frases de contraseña LUKS (también llamadas claves de cifrado de claves) que, a su vez, protegen las claves de cifrado de datos (DEK) que cifran los datos en el disco virtual. En la Figura 1 se ilustra este proceso.

Ambos Key Protect y Hyper Protect Crypto Services proporcionar cifrado de sobres. Las claves raíz de las instancias de servicio de Hyper Protect Crypto Services también están protegidas por una clave maestra del módulo de seguridad de hardware (HSM). El KMS almacena su clave y la hace disponible durante el cifrado de volumen y de imágenes personalizadas. También puede gestionar sus claves en el KMS.

A los volúmenes de almacenamiento en bloque y las comparticiones de archivos se les asigna una clave de cifrado maestra exclusiva generada por el hipervisor de host de la instancia. Esta clave se cifra mediante una frase de contraseña y se encapsula (se cifra) mediante la clave raíz, creando una DEK o WDEK encapsulada. La WDEK se almacena como metadatos con el volumen o la imagen, y no está disponible en las interfaces de VPC.

Las imágenes personalizadas se cifran con tu propia frase de contraseña LUKS que creas utilizando QEMU. Una vez cifrada la imagen, envuelva la frase de contraseña con su clave raíz almacenada en el KMS.

Para más información sobre el cifrado de sobres, consulte la siguiente documentación:

• Key Protect- Protección de datos con cifrado de sobre
• Hyper Protect Crypto Services- Protección de los datos con cifrado de sobre

Consideraciones regionales e interregionales sobre la clave raíz

Cuando utilizas el cifrado gestionado por el cliente para volúmenes, archivos compartidos e imágenes personalizadas, puedes mantener las claves raíz en la misma región que tus recursos o en una región diferente (cross-regional).

Las claves interregionales ofrecen más disponibilidad de clave a cambio de una latencia ligeramente superior. Puede crear y gestionar claves raíz en una región y aplicarlas a los recursos de otra región. Las claves entre regiones están disponibles en todas las regiones.

Para obtener un rendimiento y seguridad óptimos, utilice las claves raíz en la misma región que los recursos cifrados. El servicio regional utiliza puntos finales privados en varias zonas de disponibilidad. Si una zona específica no está disponible, puedes seguir accediendo a tus claves raíz y recursos encriptados desde otra zona.

Cuando se utilizan claves raíz en una región o entre regiones, todo el tráfico de red se dirige a un punto final privado. En otras palabras, sus claves cifran y descifran recursos a través de una red privada inaccesible a Internet. Para obtener más información sobre los puntos finales privados, consulte Acceso seguro a los servicios mediante el uso de puntos finales de servicio. Puede ver una lista de puntos finales privados en la consola yendo a la Lista de recursos > Seguridad y haciendo clic en una instancia de Key Protect o Hyper Protect Crypto Services. En el menú de la izquierda, seleccione Endpoints.

Procedimiento general para configurar el cifrado gestionado por el cliente

La configuración del cifrado gestionado por el cliente para sus volúmenes de Block Storage for VPC implica varios pasos.

1. Genere su propia clave raíz. Puede utilizar el HSM local. O puede crear la clave raíz utilizando un HSM de IBM Cloud o Hyper Protect Crypto Services.

   Los centros de datos de IBM Cloud proporcionan un HSM dedicado para crear y proteger las claves. Mediante Hyper Protect Crypto Services, puede tomar el control de las claves de cifrado de datos en la nube y del módulo de seguridad de hardware de nube.

2. Suministre el servicio de gestión de claves (KMS) que mejor se adapte a sus necesidades.

3. Utilice el KMS para importar de forma segura la clave raíz al servicio de nube. Para mayor seguridad, cree una señal de importación en el KMS para cifrar e importar claves raíz al servicio.

4. Desde IBM Cloud® Identity and Access Management (IAM), autorice el servicio entre Cloud Block Storage (servicio de origen) y su KMS (servicio de destino). Para imágenes personalizadas, autorice también entre Image Service for VPC (servicio de origen) y IBM Cloud Object Storage (servicio de destino).

5. La infraestructura de IBM Cloud VPC utiliza la clave raíz para proteger los datos encapsulando las frases de contraseña para los volúmenes o las imágenes personalizadas. Para las imágenes personalizadas, la clave raíz envuelve la frase de contraseña antes de importar el archivo de imagen personalizada a la nube. Para obtener más información, consulte Acerca de las imágenes personalizadas cifradas.

6. Gestione las claves en el KMS. Por ejemplo, puede inhabilitar la clave raíz para suspender sus operaciones de cifrado y descifrado. También puede rotar las claves raíz gestionadas por el cliente. Al rotar sus claves raíz, puede desplegar una nueva clave a través de los recursos que estaban protegidos por la clave antigua.

Diagramas de flujo para especificar el cifrado gestionado por el cliente para volúmenes

Puede especificar el cifrado gestionado por el cliente al crear Block Storage for VPC volúmenes durante el suministro de instancias. También puedes especificarlo al crear un volumen independiente.

En la Figura 1 se muestra el procedimiento para crear un volumen de datos con el cifrado gestionado por el cliente durante el suministro de la instancia. El volumen se conecta automáticamente a la instancia.

La Figura 2 muestra el procedimiento para crear un volumen independiente y adjuntarlo posteriormente a una instancia.

Acerca de las imágenes personalizadas cifradas

Puede crear una imagen personalizada QCOW2 que cumpla los requisitos de la infraestructura de IBM Cloud VPC y cifrarla utilizando su propia frase de contraseña LUKS y la clave raíz. Después de cifrar la imagen personalizada con su propia frase de contraseña, debe cargarla a IBM Cloud Object Storage.

Para importar una imagen personalizada cifrada a IBM Cloud VPC, empiece por configurar una instancia de servicio de gestión de claves (KMS), ya sea Key Protect o Hyper Protect Crypto Services. En la instancia de KMS, puede crear una clave raíz para encapsular (cifrar) la frase de contraseña. El encapsulado de la frase de contraseña genera una DEK encapsulada (WDEK). La WDEK protege la frase de contraseña en el momento de la importación, y mantiene los datos seguros. (La frase de contraseña se almacena encriptada en el servicio de imagen y sólo se desenvuelve cuando se inicia un servidor virtual que utiliza la imagen encriptada)

Una vez establecidas las autorizaciones IAM necesarias, puede importar la imagen cifrada desde IBM Cloud Object Storage. Se importa la imagen a la VPC y se especifica el nombre del recurso en la nube (CRN) para la clave raíz almacenada en el KMS. También debe especificar el texto cifrado para la WDEK, que es la frase de contraseña que utiliza para cifrar la imagen, encapsulada por la clave raíz.

Al importar con la API o la interfaz de usuario, se suministra un único archivo de imagen de arranque QCOW2 que puede tener entre 10 GB y 250 GB. Este archivo es privado para la cuenta a la que se importa. La región donde se importa la imagen cifrada es la región donde se crean instancias de servidor virtual a partir de esa imagen. La imagen cifrada se muestra junto con otras imágenes personalizadas que tienes permiso para utilizar. en la consola, un icono de candado junto al nombre indica que se trata de una imagen personalizada cifrada.

Si importa una imagen cifrada que no tiene exactamente un tamaño de disco virtual de 100 GB y la utiliza para suministrar una instancia y, a continuación, intenta crear una imagen personalizada a partir del volumen de arranque de dicha instancia, la llamada POST /images devolverá un error.

Cuando se aprovisiona una instancia de servidor virtual con la imagen cifrada, no se necesita ninguna otra información de cifrado. La WDEK y el CRN de la clave raíz se almacenan como metadatos con la imagen. La WDEK se utiliza para acceder a la imagen cifrada cuando se inicia una instancia de servidor virtual que utiliza la imagen cifrada.

En el momento del suministro, los datos del volumen de arranque de la instancia también se cifran utilizando la misma clave raíz que utiliza la imagen personalizada, junto con una frase de contraseña generada. Opcionalmente, puede proporcionar una clave raíz distinta para el volumen de arranque.

Una vez creada la instancia de servidor virtual, puede ver la imagen personalizada y el CRN de la clave raíz. También puedes rotar la clave raíz y ser notificado por el KMS cuando tu imagen encriptada WDEK sea automáticamente re-encriptada (re-encrypted).

Cualquier volumen secundario que crees y adjuntes desde la imagen personalizada encriptada utiliza una frase de contraseña diferente a la de la imagen personalizada base. Opcionalmente, puede proporcionar una clave raíz diferente para los volúmenes secundarios que se creen durante el aprovisionamiento de instancias.

Para obtener más información sobre cómo crear imágenes personalizadas, consulte Creación de una imagen personalizada cifrada. Asimismo, consulte la información para crear una imagen personalizada de Linux y una imagen personalizada de Windows.

Diagrama de flujo para especificar el cifrado gestionado por el cliente para imágenes personalizadas

La figura 3 muestra el procedimiento para cifrar imágenes personalizadas con tus propias claves de cifrado.