Avantages du chiffrement géré par le client

Le chiffrement géré par le client présente plusieurs avantages par rapport au chiffrement géré par IBM.

Vous contrôlez vos clés :

• Comme vous apportez vos propres clés (BYOK) au cloud, vous contrôlez le chiffrement de vos volumes Block Storage for VPC, de vos partages de fichiers et de vos images personnalisées.
• Vous autorisez le service IBM VPC à utiliser vos clés racine pour chiffrer vos données. Vous pouvez révoquer l'accès à tout moment pour n'importe quelle raison.
• Vos données sont protégées pendant leur transfert du système de stockage vers l'hyperviseur et l'hôte dans le VPC, et au repos dans Block Storage for VPC et File Storage for VPC.

Chiffrement des volumes d'amorçage et de données :

• Vos données Block Storage for VPC sont toujours chiffrées avec vos propres clés au repos et en mouvement.
• Chaque volume d'amorçage et de données est chiffré au repos avec une clé de chiffrement principale unique. Si la clé est compromise, aucun autre volume Block Storage for VPC n'est touché car la clé compromise ne protège qu'un seul volume.
• Les volumes d'amorçage primaires créés à partir d'images de stock Linux ou Windows sont chiffrés par défaut avec le chiffrement géré par IBM. Si vous créez une instance à partir d'une image de stock et que vous spécifiez le chiffrement géré par le client pour les volumes de données, les données écrites sur ces volumes sont protégées par le chiffrement géré par le client.
• Vous contrôlez le nombre et l'utilisation des clés racine pour appliquer le chiffrement d'enveloppe au niveau du volume. Par exemple, vous pouvez choisir de chiffrer votre volume d'amorçage avec une clé racine et les volumes de données avec une clé racine différente.
• Les instantanés créés à partir des volumes d'amorçage et de données héritent du chiffrement géré par le client du volume source.

Chiffrement des partages de fichiers :

• Les données de partage de fichiers sont toujours chiffrées avec vos propres clés au repos.

• Vous contrôlez le nombre et l'utilisation des clés racine à utiliser pour le chiffrement d'enveloppe au niveau des partages de fichiers. En d'autres termes, vous pouvez choisir de chiffrer tous vos partages de fichiers avec la même clé racine ou chaque partage de fichiers avec des clés différentes. Vous pouvez également chiffrer certains partages de fichiers avec une clé racine et d'autres avec des clés racine différentes. Vous disposez d'une flexibilité complète pour implémenter l'utilisation de vos clés racine en fonction de vos besoins individuels en matière de sécurité.

• Gérez les clés racine de vos partages de fichiers en effectuant la rotation des clés, ou en désactivant ou en supprimant des clés. Vous pouvez restaurer les clés supprimées dans les 30 jours suivant leur suppression.

Chiffrement de vos images personnalisées :

• Vous pouvez chiffrer manuellement une image en créant une copie chiffrée à l'aide de QEMU.
• Vous pouvez créer des images personnalisées chiffrées à partir de volumes d'amorçage chiffrés. Pour plus d'informations, voir A propos des images personnalisées chiffrées.

Excellentes performances :

• Le cryptage géré par le client utilise le cryptage de l'hyperviseur sur l'infrastructure VPC, ce qui offre d'excellentes performances d'E/S cryptées sur Block Storage for VPC pour vos instances de serveurs virtuels.
• Grâce à l'infrastructure VPC, vous pouvez créer et démarrer 1 000 instances avec des volumes de démarrage cryptés gérés par le client en quelques minutes.
• L'hyperviseur gérant le chiffrement et le déchiffrement, le système d'exploitation invité n'a pas besoin de modifier les données. Le système d'exploitation invité ne sait pas que le chiffrement est effectué.

Choix du service de gestion des clés :

• Vous choisissez le service de gestion de clés(KMS) que vous souhaitez utiliser. Vous pouvez sélectionner Key Protect, un service KMS public à service partagé conforme à la norme FIPS 140-2 L3, ou le service Hyper Protect Crypto Services plus sécurisé, conforme à la norme FIPS 140-2 L4.
• L'instance KMS qui contient votre clé racine peut résider en dehors de la région où se trouve le volume crypté. Toutefois, pour des performances et une sécurité optimales, utilisez des clés dans la même région que les volumes Block Storage for VPC.

Rotation des clés et suivi des audits :

• Vous pouvez effectuer une rotation manuelle de vos clés racine à l'aide de l'API ou de l'interface de commande, ou définir une politique de rotation pour effectuer une rotation automatique de vos clés. La rotation des clés remplace le matériel cryptographique d'origine de la clé racine et génère un nouveau matériel. Pour plus d'informations, voir Rotation des clés des ressources VPC.

• Le chiffrement géré par le client fournit des enregistrements d'audit pour l'utilisation de la clé racine. Les événements sont générés et collectés automatiquement sur IBM Cloud Logs.

Technologie de chiffrement VPC IBM Cloud

Le chiffrement est géré par la technologie d'hyperviseur de IBM Cloud VPC pour vos instances. Cette fonction offre un niveau de sécurité plus élevé que les solutions qui n'assurent que le chiffrement des nœuds de stockage au repos. Les données sont toujours cryptées à l'aide d'un cryptage d'enveloppe sur le site IBM Cloud.

Les images stockées et personnalisées utilisent le format de fichier QCOW2 (QEMU Copy On Write Version 2). Le format de chiffrement LUKS sécurise les fichiers au format QCOW2. IBM Cloud utilise la suite de chiffrement AES-256 et les options de mode de chiffrement XTS avec LUKS. Cette combinaison offre un niveau de sécurité bien plus élevé que l'AES-CBC, ainsi qu'une meilleure gestion des phrases de passe pour la rotation des clés, et offre des options de remplacement des clés en cas de compromission de ces dernières.

Au total, quatre clés protègent vos données :

• Une clé gérée parIBM chiffre vos données dans le système de stockage dorsal. Le chiffrement géré par IBMsur le système de stockage est toujours appliqué, même lorsque vous utilisez le chiffrement géré par le client. Cette clé protège vos données en transit et au repos.

  Le chiffrement de la liaison réseau entre votre charge de travail à l'extérieur de IBM Cloud et une charge de travail à l'intérieur de IBM Cloud est de votre responsabilité. Pour plus d'informations, voir Chiffrement dans Contrôle de sécurité et de conformité.

• Une clé de chiffrement de données (DEK) chiffre les données dans le fichier QCOW2 et sécurise les clusters de données par blocs sur le disque virtuel. La clé DEK est gérée par la technologie open source QEMU et générée automatiquement lorsqu'un fichier QCOW2 est créé.

  Pour les volumes Block Storage for VPC créés à partir d'images de stock, le DEK est généré par QEMU fonctionnant sur les hyperviseurs KVM fournis par IBM. Pour les volumes Block Storage for VPC créés à partir d'images personnalisées, ils sont générés par QEMU qui s'exécute sur votre noeud sur site. La clé DEK (AES-256) est chiffrée avec une phrase passe LUKS et stockée sous sa forme chiffrée dans le fichier QCOW2.

• Une phrase de passe LUKS (également appelée "clé de cryptage") permet de crypter et de décrypter la DEK. Cette clé est gérée par l'infrastructure VPC de génération 2 et est chiffrée par votre clé racine. Il est stocké en tant que métadonnées associées au volume Block Storage for VPC qui contient le fichier QCOW2.

• Une clé racine client qui chiffre les phrases passe de volume, de partage et d'image personnalisée avec le chiffrement d'enveloppe, qui crée une clé DEK ou WDEK encapsulée. Les clés racine sont gérées par le client à partir d'instances KMS (Key Protect ou Hyper Protect Crypto Services) et stockées et gérées de manière sécurisée dans l'instance KMS. La clé racine désencapsule (déchiffre) également la clé WDEK, pour que vous puissiez accéder à vos données chiffrées.

Services de gestion de clés pris en charge

Deux services de gestion de clés IBM (KMS) sont disponibles pour un chiffrement géré par le client : Key Protect et Hyper Protect Crypto Services (disponible dans certaines régions). Ces services utilisent une API de fournisseur de clés commune pour fournir une approche cohérente pour la gestion de vos clés de chiffrement.

Le tableau 1 décrit ces services :

Vous pouvez voir Key Protect décrit comme étant BYOK, "bring your own key" et Hyper Protect Crypto Services comme étant KYOK, ou "keep your own key". Key Protect et Hyper Protect Crypto Services sont des services similaires.

Chiffrement d'enveloppe

Les clés racine servent de clés d'encapsulage de clé et sont une composante importante du chiffrement d'enveloppe. Avec le chiffrement de l'enveloppe, les clés racine chiffrent les mots de passe composés LUKS (également appelées clés de chiffrement de données) qui, à leur tour, protègent les clés de chiffrement de données (DEK) qui chiffrent vos données sur le disque virtuel. La figure 1 illustre ce processus.

Les deux Key Protect et Hyper Protect Crypto Services fournir un cryptage d'enveloppe. Les clés racine des instances de service Hyper Protect Crypto Services sont également protégées par la clé principale d'un module de sécurité matériel (HSM). Le service KMS stocke votre clé et la rend disponible lors du chiffrement de volumes et d'images personnalisées. Vous gérez également vos clés dans le service KMS.

Les volumes de stockage par blocs et les partages de fichiers bénéficient d'une clé de chiffrement principale unique générée par l'hyperviseur hôte de l'instance. Cette clé est chiffrée par une phrase passe et encapsulée (chiffrée) par la clé racine, pour créer une clé DEK ou WDEK encapsulée. La clé WDEK est stockée sous forme de métadonnées avec le volume ou l'image et n'est pas disponible dans les interfaces VPC.

Les images personnalisées sont chiffrées par votre propre phrase de passe LUKS que vous créez à l'aide de QEMU. Une fois que l'image est chiffrée, la phrase d'authentification est enveloppée dans la clé racine stockée dans le système de gestion des clés (KMS).

Pour plus d'informations sur le chiffrement des enveloppes, voir la documentation suivante :

• Key Protect- Protection des données avec le chiffrement d'enveloppe
• Hyper Protect Crypto Services- Protection de vos données avec le chiffrement d'enveloppe

Considérations régionales et interrégionales sur les clés racine

Lorsque vous utilisez le chiffrement géré par le client pour les volumes, les partages de fichiers et les images personnalisées, vous pouvez conserver vos clés racine dans la même région que vos ressources ou dans une région différente (interrégional).

Les clés interrégionales offrent une plus grande disponibilité des clés avec le compromis d'un temps d'attente légèrement supérieur. Vous pouvez créer et gérer des clés racine dans une région et les appliquer aux ressources d'une autre région. Les clés interrégionales sont disponibles dans toutes les régions.

Pour des performances optimales et plus de sécurité, utilisez des clés racine qui se trouvent dans la même région que vos ressources chiffrées. Le service régional utilise des points d'extrémité privés dans plusieurs zones de disponibilité. Si une zone spécifique n'est pas disponible, vous pouvez continuer à accéder à vos clés racine et à vos ressources cryptées à partir d'une autre zone.

Lorsque vous utilisez des clés racine qui se trouvent dans la même région ou dans des régions différentes, l'intégralité du trafic réseau est dirigé vers un point d'extrémité privé. En d'autres termes, vos clés chiffrent et déchiffrent les ressources sur un réseau privé inaccessible à l'internet. Pour plus d'informations sur les points de terminaison privés, voir Sécuriser l'accès aux services en utilisant des points de terminaison de service. Vous pouvez voir une liste des points de terminaison privés dans la console en allant dans la liste des ressources > Sécurité et en cliquant sur une instance Key Protect ou Hyper Protect Crypto Services. Dans le menu de gauche, sélectionnez Endpoints.

Procédure générale de configuration du chiffrement géré par le client

La mise en place d'un chiffrement géré par le client pour vos volumes Block Storage for VPC implique plusieurs étapes.

1. Générez votre propre clé racine. Vous pouvez utiliser votre module HSM sur site. Vous pouvez également créer votre clé racine en utilisant un module HSM IBM Cloud ou Hyper Protect Crypto Services.

   Les centres de données IBM Cloud fournissent un HSM dédié pour créer et protéger vos clés. Avec Hyper Protect Crypto Services, vous pouvez prendre le contrôle de vos clés de chiffrement de données de cloud et du module de sécurité matérielle du cloud.

2. Mettez à disposition le service de gestion des clés (KMS) qui répond le mieux à vos besoins.

3. Utilisez votre KMS pour importer en toute sécurité votre clé racine dans le service cloud. Pour une sécurité renforcée, créez un jeton d'importation dans votre KMS pour chiffrer et importer des clés racine dans le service.

4. Depuis IBM Cloud® Identity and Access Management (IAM), autorisez le service entre Cloud Block Storage (service source) et votre KMS (service cible). Pour les images personnalisées, autorisez également entre Image Service for VPC (service source) et IBM Cloud Object Storage (service cible).

5. L'infrastructure IBM Cloud VPC utilise votre clé racine pour sécuriser les données en encapsulant les phrases de passe des volumes ou des images personnalisées. Pour les images personnalisées, la clé racine contient la phrase d'authentification avant que vous n'importiez le fichier d'image personnalisée dans le nuage. Pour plus d'informations, voir A propos des images personnalisées chiffrées.

6. Gérez vos clés dans votre KMS. Par exemple, vous pouvez désactiver votre clé racine pour suspendre ses opérations de chiffrement et de déchiffrement. Vous pouvez également effectuer une rotation de vos clés racine gérées par le client. La rotation des clés racine permet de déployer une nouvelle clé sur les ressources protégées par l'ancienne clé.

Diagrammes de flux de la spécification du chiffrement géré par le client des volumes

Vous pouvez spécifier le chiffrement géré par le client lorsque vous créez des volumes Block Storage for VPC lors de la mise à disposition d'instance. Vous pouvez également le spécifier lorsque vous créez un volume autonome.

La figure 1 illustre la procédure de création d'un volume de données avec le chiffrement géré par le client lors de la mise à disposition des instances. Le volume est automatiquement associé à l'instance.

La figure 2 montre la procédure à suivre pour créer un volume autonome et l'attacher ultérieurement à une instance.

A propos des images personnalisées chiffrées

Vous pouvez créer une image personnalisée QCOW2 qui satisfait la configuration requise pour l'infrastructure IBM Cloud VPC et la chiffrer à l'aide de votre propre phrase passe LUKS et de votre propre clé racine. Une fois que vous avez chiffré l'image personnalisée avec votre propre phrase passe, téléchargez-la dans IBM Cloud Object Storage.

Pour importer une image personnalisée dans IBM Cloud VPC, commencez par configurer une instance de service de gestion de clés (KMS) Key Protect ou Hyper Protect Crypto Services. Dans l'instance KMS, vous créez une clé racine pour encapsuler (chiffrer) la phrase passe. L'encapsulation de la phrase passe génère une clé DEK encapsulée (WDEK). Cette clé WDEK protège la phrase passe lors de l'importation, afin que vos données soient sécurisées. (La phrase de passe est stockée de manière cryptée dans le service d'image et n'est déballée que lorsqu'un serveur virtuel utilisant l'image cryptée est démarré)

Avec les autorisations IAM requises, vous pouvez importer l'image chiffrée à partir de IBM Cloud Object Storage. Vous importez l'image dans le VPC et spécifiez le nom de la ressource en nuage (CRN) pour votre clé racine qui est stockée dans le KMS. Vous spécifiez également le texte chiffré de votre clé WDEK, qui correspond à la phrase passe que vous utilisez pour chiffrer votre image, encapsulée par la clé racine.

Lorsque vous effectuez une importation à l'aide de l'API ou de l'interface utilisateur, vous fournissez un seul fichier d'image de démarrage QCOW2 d'une taille comprise entre 10 et 250 Go. Ce fichier est privé pour le compte dans lequel il est importé. La région dans laquelle vous importez l'image chiffrée est celle dans laquelle vous créez des instances de serveur virtuel à partir de cette image. L'image cryptée s'affiche avec d'autres images personnalisées que vous avez le droit d'utiliser. Dans la console, une icône de cadenas à côté du nom indique qu'il s'agit d'une image personnalisée cryptée.

Si vous importez une image chiffrée dont la taille de disque virtuel n'est pas exactement de 100 Go et que vous l'utilisez pour mettre à disposition une instance, puis que vous tentez de créer une image personnalisée à partir du volume d'amorçage de cette instance, l'appel POST /images va renvoyer une erreur.

Lorsque vous provisionnez une instance de serveur virtuel avec l'image cryptée, aucune autre information de cryptage n'est nécessaire. La clé de chiffrement de données encapsulée (WDEK) et la clé racine sont stockées sous forme de métadonnées avec l'image. La clé WDEK permet d'accéder à l'image chiffrée au démarrage d'une instance de serveur virtuel qui utilise l'image chiffrée.

Lors de la mise à disposition, les données du volume d'amorçage de l'instance sont également chiffrées à l'aide de la clé racine que l'image personnalisée utilise avec la phrase passe générée. Vous pouvez également fournir une autre clé racine pour le volume d'amorçage.

Une fois l'instance de serveur virtuel créée, vous pouvez visualiser l'image personnalisée et voir la clé racine CRN. Vous pouvez également effectuer une rotation de la clé racine et être informé par le KMS lorsque votre image cryptée WDEK est automatiquement ré-encapsulée (re-chiffrée).

Tous les volumes secondaires que vous créez et attachez à partir de l'image personnalisée chiffrée utilisent une phrase d'authentification différente de celle de l'image personnalisée de base. En option, vous pouvez fournir une clé racine différente pour les volumes secondaires créés lors du provisionnement de l'instance.

Pour plus d'informations sur la création d'images personnalisées, voir Création d'une image personnalisée chiffrée. Consultez également les informations relatives à la création d'une image personnaliséeLinux et d'une image personnalisée Windows.

Diagramme de flux de la spécification du chiffrement géré par le client des images personnalisées

La figure 3 montre la procédure de cryptage des images personnalisées avec vos propres clés de cryptage.