Proteggere i dati in VPC
Per assicurarti di poter gestire in sicurezza i tuoi dati quando utilizzi IBM Cloud® Virtual Private Cloud, è importante conoscere esattamente quali dati sono archiviati e crittografati e come puoi eliminare eventuali dati personali archiviati. La crittografia dei dati con le tue chiavi root è disponibile utilizzando un servizio di gestione delle chiavi (KMS) supportato.
VPN for VPC non memorizza alcun dato del cliente diverso da quanto richiesto per configurare gateway, connessioni e politiche VPN. I dati trasmessi tramite un gateway VPN non sono criptati da IBM. I dati relativi alle tue specifiche configurazioni di VPN e politiche sono crittografati in transito e inattivi. I dati di configurazione VPN vengono cancellati su richiesta tramite API o interfaccia utente.
Come i tuoi dati vengono archiviati e crittografati in VPC
Tutti i volumi Block Storage sono crittografati per impostazione predefinita con la crittografia gestita IBM. IBM®-le chiavi gestite vengono generate e archiviate in modo sicuro in un vault Block Storage supportato da Consul e gestito dalle operazioni IBM Cloud®.
Per maggiore sicurezza e controllo, puoi proteggere i tuoi dati con le tue chiavi root (chiamate anche chiave root del cliente o CRK). Questa funzione è comunemente chiamata BYOK (Bring Your Own Key). Le chiavi root crittografano le chiavi che proteggano i dati. Puoi importare le tue chiavi root in Key Protect o Hyper Protect Crypto Serviceso fare in modo che il servizio di gestione delle chiavi ne crei uno per te.
KMS memorizza la tua chiave e la rende disponibile durante la crittografia di volume e immagine personalizzata. Key Protect fornisce la conformità a FIPS 140-2 Level 3. Hyper Protect Crypto Services offre il più alto livello di sicurezza con conformità FIPS 140-2 Level 4. Il tuo materiale chiave è protetto in transito (quando è trasportato) e a riposo (quando è immagazzinato).
La crittografia gestita dal Cliente è disponibile per immagini personalizzate, volumi di avvio e volumi di dati. Quando viene eseguito il provisioning di un'istanza da una immagine personalizzata crittografata, il volume di avvio viene crittografato utilizzando la chiave root dell'immagine. È anche possibile scegliere una chiave root diversa. I volumi di dati vengono codificati utilizzando le chiavi root quando esegui il provisioning di un'istanza del server virtuale o quando crei un volume autonomo.
Le immagini e i volumi vengono spesso indicati come crittografati con una chiave root quando, di fatto, viene utilizzata la crittografia envelopeIl processo di crittografare i dati con una chiave di crittografia dei dati e poi crittografare la chiave con una chiave root che può essere completamente gestita.. Internamente, ogni immagine o volume viene crittografato con una data encryption key(DEK)Una chiave di crittografia utilizzata per crittografare i dati archiviati in un'applicazione., che è una tecnologia QEMU open source utilizzata dall'infrastruttura IBM Cloud VPC di generazione 2. Una passphrase LUKS, detta anche chiave di codifica della chiave, codifica la DEK. La passphrase LUKS viene quindi crittografata con una chiave root, creando quella che viene chiamata una DEK impacchettata (WDEK). Per ulteriori informazioni sulla tecnologia di crittografia a chiave IBM Cloud VPC, vedere Tecnologia di crittografiaIBM Cloud VPC Generation 2.
Ad esempio, se esegui il provisioning di due volumi utilizzando la stessa chiave root, vengono generate passphrase univoche per ogni volume, che vengono quindi crittografate con la chiave root. La crittografia envelope fornisce una maggiore protezione per i dati e assicura che la chiave root possa essere ruotata senza dover crittografare nuovamente i dati. Per ulteriori informazioni sulla crittografia envelope, vedi Protezione dei dati sensibili in VPC.
Tutta l'interazione con VPN for VPC è crittografata. Ad esempio, quando utilizzi un'API o interagisci con il servizio tramite la console per configurare i gateway VPN e le connessioni VPN, tutte queste interazioni sono crittografate end - to - end. Allo stesso modo, gli elementi di dati relativi alla configurazione sono crittografati sia in transito che a riposo. Nessun dato personale o sensibile viene memorizzato, elaborato o trasmesso. I dati inattivi vengono memorizzati in un database crittografato.
Una volta eseguito il provisioning di VPN for VPC e create le connessioni di rete, la crittografia dei dati che scegli di trasmettere attraverso la rete è di tua responsabilità.
Crittografia e isolamento dei dati di storage dell'istanza
Il disco o i dischi di archiviazione dell'istanza, che sono collegati all'istanza del server virtuale, non possono essere condivisi con altri server virtuali e non possono essere utilizzati da altri server virtuali in futuro. Si tratta di un utilizzo monouso, a collegamento singolo, per il server virtuale che ha richiesto l'archiviazione dell'istanza.
I dati di archiviazione dell'istanza sono protetti con la codifica su disco. I dischi fisici utilizzati per l'archiviazione dell'istanza sono crittografati automaticamente con il forte standard di crittografia AES-256. I dati vengono decodificati automaticamente quando la propria istanza accede ai dati. Quando la tua istanza viene arrestata o eliminata, lo spazio di archiviazione sottostante viene cancellato e non recuperabile. A quel momento, i dati non sono recuperabili.
I dati vengono codificati automaticamente sul supporto fisico a livello di unità. Tuttavia, le chiavi gestite dal cliente non sono supportate per l'archiviazione dell'istanza. Per i dati sensibili, si consiglia vivamente agli utenti di utilizzare la crittografia del file system basata sul software come LUKS per Linux® o BitLocker per Windows ®. Questa tecnologia consente agli utenti finali di crittografare interamente l'istanza e può fornire ulteriore protezione per i dati sensibili in transito tra le istanze e i supporti dell'unità fisica. Alcuni sistemi operativi forniscono anche algoritmi di crittografia certificati FIPS che possono essere utilizzati. Vedi Codifica dei dispositivi a blocchi utilizzando LUKS per un esempio di come codificare su Red Hat Enterprise Linux® ; tuttavia, fai riferimento alla documentazione del sistema operativo o alle informazioni specifiche su come codificare ciascun dispositivo.
Proteggere i dati sensibili in VPC
Key Protect o Hyper Protect Crypto Services forniscono un livello superiore di protezione denominato crittografia envelope.
La crittografia envelope codifica una chiave di crittografia con un'altra chiave di crittografia. Una DEK crittografa i tuoi dati effettivi. Il DEK non viene mai memorizzato. Piuttosto, è crittografato da una chiave di crittografia. La passphrase LUKS viene quindi codificata da una chiave root, che crea un WDEK. Per decodificare i dati, la WDEK viene decodificata in modo da poter accedere ai dati memorizzati sul volume. Questo processo è possibile solo accedendo alla chiave root memorizzata nella tua istanza KMS. Le chiavi root nelle istanze Hyper Protect Crypto Services sono protette anche dalla chiave master HSM(hardware security module)Un dispositivo fisico che fornisce archiviazione delle chiavi, gestione delle chiavi e crittografia su richiesta come un servizio gestito..
Controlli l'accesso alle tue chiavi root archiviate in istanze KMS in IBM Cloud® utilizzando IBM Cloud® Identity and Access Management (IAM). Concedi l'accesso a un servizio per utilizzare le chiavi. Puoi anche revocare l'accesso in qualsiasi momento, ad esempio, se sospetti che le tue chiavi siano compromesse o elimina le tue chiavi root.
VPN for VPC: le chiavi precondivise fornite dal cliente vengono crittografate prima di essere memorizzate nel database. Tutti gli altri gateway VPN di dati e la configurazione della normativa VPN sono crittografati a livello di database.
Informazioni sulle chiavi gestite dal cliente
Per i volumi Block Storage e le immagini crittografate, puoi ruotare le chiavi root per una maggiore sicurezza. Quando si ruota una chiave root per pianificazione o su richiesta, il materiale della chiave originale viene sostituito. La vecchia chiave rimane attiva per decodificare le risorse esistenti, ma non può essere utilizzata per codificare quelle nuove. Per ulteriori informazioni, consulta Key rotation for VPC resources.
Considera le implicazioni regionali e interregionali quando scegli di utilizzare la crittografia gestita dal cliente. Per ulteriori informazioni, vedi Considerazioni regionali e interregionali.
Con Key Protect o Hyper Protect Crypto Services puoi creare, importare e gestire le tue chiavi root. Puoi assegnare le politiche di accesso alle chiavi, assegnare utenti o ID servizio alle chiavi o fornire l'accesso alla chiave solo a uno specifico servizio. Le prime 20 chiavi sono senza costo.
Informazioni su immagini e volumi crittografati gestiti dal cliente
Con la codifica gestita dal cliente, esegui il provisioning delle chiavi root per proteggere le tue risorse crittografate nel cloud. Le chiavi root vengono utilizzate come chiavi di wrapping della chiave che codificano le chiavi di crittografia che proteggono i tuoi dati. Decidi se importare le tue chiavi root esistenti o fare in modo che un KMS supportato ne crei una per te.
Ai volumi Block Storage viene assegnata una chiave di cifratura dei dati univoca generata dall'hypervisor dell'istanza. La chiave di crittografia dei dati per ogni volume è crittografata con una passphrase LUKS univoca generata da KMS, che viene quindi crittografata dalla chiave root e memorizzata nel KMS.
Le immagini personalizzate sono crittografate dalla tua passphrase LUKS che crei utilizzando QEMU. Dopo che l'immagine è crittografata, impacchettate la passphrase con il vostro CRK memorizzato nel KMS. Per ulteriori informazioni, vedi Immagini personalizzate crittografate.
Abilitazione delle chiavi gestite dal cliente per VPC
Vedi la seguente procedura per la creazione di volumi di avvio e di dati Block Storage con la crittografia gestita dal cliente
Lavorare con chiavi gestite dal cliente per VPC
Per ulteriori informazioni sulla gestione della crittografia dei dati, vedi Gestione della crittografia dei dati e la sezione sulla revoca temporanea dell'accesso rimuovendo l'autorizzazione del servizio a una chiave root.
La crittografia del link tra il carico di lavoro di un cliente esterno a IBM Cloude un carico di lavoro interno a IBM Cloudè responsabilità del cliente. Vedi Crittografia in Conformità a normative e sicurezza.
Eliminazione di dati in VPC
Eliminazione delle chiavi root
Per ulteriori informazioni sull'eliminazione delle chiavi root, vedi Eliminazione delle chiavi root.
Eliminazione di un volume dell' Block Storage
Per ulteriori informazioni sull'eliminazione dei volumi di installazione ( Block Storage ), consultare le domande frequenti(FAQ)per Block Storage for VPC.
Eliminazione di una immagine personalizzata
Per ulteriori informazioni sull'eliminazione delle immagini personalizzate da IBM Cloud VPC, vedi Gestione di immagini personalizzate. Tieni presente tutte le istanze del server virtuale di cui hai eseguito il provisioning con un'immagine personalizzata. Per rimuovere tutti i dati associati a un'immagine personalizzata specifica, assicurati di eliminare anche tutte le istanze di cui è stato eseguito il provisioning dall'immagine personalizzata, insieme a volumi di avvio associati.
Quando vuoi eliminare un'immagine personalizzata IBM Cloud VPC che fa parte di un'offerta del catalogo privata, devi prima rimuovere tale immagine dalla versione associata nell'offerta del catalogo privato. Puoi quindi eliminare l'immagine personalizzata da IBM Cloud VPC. Per eliminare l'immagine personalizzata dal catalogo privato, vedi Obsoleto di un prodotto privato.
Eliminazione di istanze VPC
Per ulteriori informazioni sull'eliminazione di un VPC e delle relative risorse associate, vedi Eliminazione di un VPC.
La politica di conservazione dei dati di VPC descrive per quanto tempo i tuoi dati vengono conservati dopo che hai cancellato il servizio. La politica di conservazione dei dati è inclusa nella descrizione del servizio IBM Cloud® Virtual Private Cloud, che puoi trovare nei Termini e avvisi di IBM Cloud.
Le configurazioni della VPN e della normativa VPN vengono eliminate su richiesta tramite l'API o l'interfaccia utente.
Ripristino dei dati cancellati per VPC
Puoi ripristinare le chiavi root eliminate che hai importato nel KMS entro 30 giorni dall'eliminazione. Per ulteriori informazioni, consultare Ripristino delle chiavi root eliminate.
VPN for VPC non supporta il ripristino di dati eliminati.
Eliminazione di tutti i dati VPC
Per cancellare tutti i dati persistenti che IBM Cloud VPC memorizza, scegli una delle seguenti opzioni.
La rimozione delle informazioni personali e sensibili richiede anche la cancellazione di tutte le risorse di IBM Cloud VPC. Assicurati di eseguire il backup dei dati prima di procedere.
- Aprire un caso di supporto all' IBM Cloud. Contatta il supporto IBM per rimuovere le informazioni personali e sensibili da IBM Cloud VPC. Per ulteriori informazioni, vedi Utilizzo del Centro di supporto.
- Termina la tua sottoscrizione IBM Cloud. Dopo aver terminato la tua sottoscrizione IBM Cloud, IBM Cloud VPC elimina tutte le risorse di servizio che hai creato, che includono tutti i dati persistenti associati a queste risorse.