Vantagens da criptografia gerenciada pelo cliente

A criptografia gerenciada pelo cliente tem várias vantagens sobre a criptografia gerenciada pelo IBM.

Você controla suas chaves:

• Como você traz suas próprias chaves (BYOK) para a nuvem, você controla a criptografia de seus volumes Block Storage for VPC, compartilhamentos de arquivos e imagens personalizadas.
• Você concede ao serviço IBM VPC o acesso para usar suas chaves raiz na criptografia de seus dados. Você pode revogar o acesso a qualquer momento por qualquer motivo.
• Seus dados são protegidos enquanto em trânsito do sistema de armazenamento para o hypervisor e o host dentro da VPC e em repouso no Block Storage for VPC e no File Storage for VPC.

Criptografe volumes de inicialização e de dados:

• Seus dados do Block Storage for VPC são sempre criptografados com suas próprias chaves em repouso e em movimento.
• Cada volume de inicialização e de dados é criptografado em repouso com uma chave mestra de criptografia exclusiva. Se a chave for comprometida, nenhum outro volume do Block Storage for VPC será afetado, pois a chave comprometida protege apenas um único volume.
• Os volumes de inicialização primária criados a partir de imagens de estoque do Linux ou do Windows são criptografados por padrão com a criptografia gerenciada pelo IBM. Se você criar uma instância a partir de uma imagem de estoque e especificar a criptografia gerenciada pelo cliente para os volumes de dados, os dados gravados nesses volumes serão protegidos pela criptografia gerenciada pelo cliente.
• Você controla o número e o uso de chaves raiz a serem usadas para criptografia de envelope no nível de volume. Por exemplo, é possível optar por criptografar seu volume de inicialização com uma chave raiz e os volumes de dados com outra.
• Os instantâneos criados a partir de volumes de inicialização e de dados herdam a criptografia gerenciada pelo cliente do volume de origem.

Criptografar compartilhamentos de arquivo:

• Os dados de compartilhamento de arquivos são sempre criptografados com suas próprias chaves em repouso

• Você controla o número e o uso de chaves raiz para usar para criptografia de envelope no nível de compartilhamentos de arquivo. Ou seja, é possível optar por criptografar todos os compartilhamentos de arquivo com a mesma chave raiz ou cada compartilhamento de arquivo com chaves diferentes. Como alternativa, você pode criptografar alguns compartilhamentos de arquivos com uma chave raiz e outros com chaves raiz diferentes. Você tem flexibilidade completa para implementar seu uso de chave raiz com base em suas necessidades de segurança individuais.

• Gerencie as chaves raiz para seus compartilhamentos de arquivo girando, desativando ou excluindo chaves. Você pode restaurar as chaves excluídas em até 30 dias após a exclusão.

Criptografe suas imagens customizadas:

• É possível criptografar manualmente uma imagem criando uma cópia criptografada dela usando QEMU.
• É possível criar imagens customizadas criptografadas a partir de volumes de inicialização criptografados Para obter mais informações, consulte Sobre imagens customizadas criptografadas.

Excelente desempenho:

• A criptografia gerenciada pelo cliente usa a criptografia do hipervisor na infraestrutura de VPC, o que proporciona excelente desempenho de E/S criptografada Block Storage for VPC para suas instâncias de servidor virtual.
• Com a infraestrutura de VPC, você pode criar e iniciar 1.000 instâncias com volumes de inicialização criptografados gerenciados pelo cliente em questão de minutos.
• Como o hypervisor gerencia a criptografia e a decriptografia, o S.O. guest não precisa modificar os dados. O S.O. guest não tem conhecimento de que a criptografia está ocorrendo.

Escolha do serviço de gerenciamento de chaves:

• Você escolhe o serviço de gerenciamento de chaves(KMS) que deseja usar. É possível selecionar o Key Protect, um KMS multilocatário público compatível com o FIPS 140-2 L3 ou o Hyper Protect Crypto Services mais seguro, que é compatível com o FIPS 140-2 L4.
• A instância do KMS que contém sua chave raiz pode residir fora da região em que o volume criptografado existe. No entanto, para melhor desempenho e segurança, use chaves na mesma região que o Block Storage for VPC volumes.

Rotação de chave e rastreamento de auditoria:

• Você pode rotacionar manualmente as chaves raiz com a API ou com a CLI, ou configurar uma política de rotação para rotacionar automaticamente as chaves. As chaves rotativas substituem o material criptográfico original da chave raiz e geram um novo material. Para obter mais informações, consulte Rotação de chave para recursos da VPC.

• A criptografia gerenciada pelo cliente fornece registros de auditoria para o uso da chave raiz. Os eventos são gerados e coletados automaticamente em IBM Cloud Logs.

Tecnologia de criptografia do VPC IBM Cloud

A criptografia é gerenciada pela tecnologia de hipervisor do IBM Cloud VPC para suas instâncias. Esse recurso oferece um nível maior de segurança em relação às soluções que fornecem apenas criptografia de nó de armazenamento em repouso. Os dados são sempre criptografados com criptografia de envelope no site IBM Cloud.

Bancos de imagens e imagens customizadas usam o formato de arquivo QEMU Copy On Write Versão 2 (QCOW2). O formato de criptografia LUKS protege os arquivos de formato QCOW2. IBM Cloud usa o conjunto de cifras AES-256 e as opções de modo de cifras XTS com LUKS. Essa combinação oferece um nível de segurança muito maior do que o AES-CBC, além de um melhor gerenciamento de senhas para a rotação de chaves e oferece opções de substituição de chaves se elas forem comprometidas.

No total, quatro chaves protegem seus dados:

• Um Chave gerenciada pelo IBM: criptografa seus dados no sistema de armazenamento backend. A criptografia gerenciada pela IBMno sistema de armazenamento é sempre aplicada, mesmo quando você usa a criptografia gerenciada pelo cliente Essa chave protege seus dados enquanto em trânsito e enquanto em repouso.

  A criptografia do link de rede entre sua carga de trabalho fora do site IBM Cloud e uma carga de trabalho dentro do site IBM Cloud é de sua responsabilidade. Para obter mais informações, consulte Criptografia na segurança e na conformidade de regulamentação.

• Uma chave de criptografia de dados (DEK) criptografa dados no arquivo QCOW2 e protege os clusters de dados de bloco no disco virtual. O DEK é gerenciado pela tecnologia QEMU de software livre e gerado automaticamente quando um arquivo QCOW2 é criado.

  Para volumes Block Storage for VPC que são criados a partir de imagens de estoque, o DEK é gerado pelo QEMU em execução nos hipervisores KVM fornecidos pelo IBM. Para volumes Block Storage for VPC que são criados a partir de imagens customizadas, ele é gerado pelo QEMU que é executado em seu nó local. O DEK (uma chave AES-256) é criptografado com uma passphrase LUKS e armazenado criptografado no arquivo QCOW2.

• Uma frase-senha LUKS (também chamada de "chave de criptografia de chave") criptografa e descriptografa o DEK. Essa chave é gerenciada pela infraestrutura de VPC de geração 2 e é criptografada pela chave raiz. Ele é armazenado como metadados que estão associados ao volume Block Storage for VPC que contém o arquivo QCOW2.

• Uma chave raiz do cliente que criptografa passphrases de volume, compartilhamento e imagem customizada com criptografia de envelope, que cria um DEK ou WDEK agrupado. As chaves raiz são gerenciadas pelo cliente por meio de instâncias do KMS (Key Protect ou Hyper Protect Crypto Services) e armazenadas e gerenciadas com segurança na instância do KMS. A chave raiz também desagrupa (decriptografa) o WDEK, fornecendo acesso aos seus dados criptografados.

Serviços de gerenciamento de chave suportados.

Dois serviços de gerenciamento de chave IBM (KMS) estão disponíveis para a criptografia gerenciada pelo cliente, Key Protect e Hyper Protect Crypto Services (disponíveis em determinadas regiões). Esses serviços usam uma API de provedor de chave comum para fornecer uma abordagem consistente para o gerenciamento de suas chaves de criptografia.

A Tabela 1 descreve esses serviços:

Você pode ver Key Protect sendo descrito como BYOK, "trazer sua própria chave" e Hyper Protect Crypto Services como _KYOK_ou "manter sua própria chave". Key Protect e Hyper Protect Crypto Services são serviços semelhantes.

Criptografia de envelope

As chaves raiz servem como chaves de agrupamento de chaves e são uma parte importante da criptografia de envelope. Com a criptografia de envelope, as chaves raiz criptografam as passphrases LUKS (também chamadas de chaves de criptografia de chaves) que, por sua vez, protegem as chaves de criptografia de dados (DEKs) que criptografam seus dados no disco virtual. A figura 1 ilustra esse processo.

Ambos Key Protect e Hyper Protect Crypto Services fornecer criptografia de envelope. As chaves raiz nas instâncias de serviço do Hyper Protect Crypto Services também são protegidas por uma chave mestra de módulo de segurança de hardware (HSM). O KMS armazena sua chave e disponibiliza-a durante a criptografia de volume e de imagem customizada. Você também gerencia suas chaves no KMS.

Uma chave mestra de criptografia exclusiva gerada pelo hypervisor do host da instância é designada aos volumes de armazenamento de bloco e os compartilhamentos de arquivo são atribuídos. Essa chave é criptografada por uma passphrase e agrupada (criptografada) pela chave raiz, criando um DEK agrupado ou WDEK. O WDEK é armazenado como metadados com o volume ou a imagem e não está disponível nas interfaces de VPC.

As imagens personalizadas são criptografadas por sua própria senha LUKS, que você cria usando o QEMU. Depois que a imagem é criptografada, você envolve a frase secreta com sua chave raiz que está armazenada no KMS.

Para obter mais informações sobre a criptografia de envelope, consulte a documentação a seguir:

• Key Protect- Protegendo dados com criptografia de envelope
• Hyper Protect Crypto Services- Protegendo seus dados com criptografia de envelope

Considerações sobre chave raiz regional e regional cruzada

Ao usar a criptografia gerenciada pelo cliente para volumes, compartilhamentos de arquivos e imagens personalizadas, é possível manter as chaves raiz na mesma região que os recursos ou em uma região diferente (inter-regional).

As chaves regionais cruzadas oferecem mais disponibilidade de chave com a troca de latência um pouco mais alta. É possível criar e gerenciar chaves raiz em uma região e aplicá-las a recursos em outra região. As chaves entre regiões estão disponíveis em todas as regiões.

Para obter desempenho e segurança ideais, use chaves raiz na mesma região que seus recursos criptografados. O serviço regional usa terminais privados para diversas zonas de disponibilidade. Se uma zona específica não estiver disponível, você poderá continuar a acessar suas chaves raiz e recursos criptografados de outra zona.

Quando você usa chaves raiz regionalmente ou cruzadas regionalmente, todo o tráfego de rede é direcionado para um terminal privado. Em outras palavras, suas chaves criptografam e descriptografam recursos em uma rede privada inacessível à Internet. Para obter mais informações sobre endpoints privados, consulte Acesso seguro a serviços usando endpoints de serviço. Você pode ver uma lista de pontos de extremidade privados no console acessando a Lista de recursos > Segurança e clicando em uma instância de Key Protect ou Hyper Protect Crypto Services. No menu à esquerda, selecione Endpoints.

Procedimento geral para configurar a criptografia gerenciada pelo cliente

A configuração da criptografia gerenciada pelo cliente para seus volumes Block Storage for VPC envolve várias etapas.

1. Gerar sua própria chave raiz. É possível usar seu HSM local. Ou é possível criar sua chave raiz usando um IBM Cloud HSM ou Hyper Protect Crypto Services.

   Os data centers do IBM Cloud fornecem um HSM dedicado para criar e proteger suas chaves. Ao usar o Hyper Protect Crypto Services, é possível assumir o controle de suas chaves de criptografia de dados de nuvem e do módulo de segurança de hardware em nuvem.

2. Provisione o serviço de gerenciamento de chave (KMS) que melhor atenda às suas necessidades.

3. Use o seu KMS para importar de forma segura a sua chave raiz para o serviço de nuvem. Para segurança adicional, crie um token de importação em seu KMS para criptografar e importar chaves raiz para o serviço.

4. Em IBM Cloud® Identity and Access Management (IAM), autorize o serviço entre Cloud Block Storage (serviço de origem) e seu KMS (serviço de destino). Para imagens personalizadas, autorize também entre o Image Service for VPC (serviço de origem) e IBM Cloud Object Storage (serviço de destino).

5. A infraestrutura da VPC da IBM Cloud usa a sua chave raiz para proteger os dados, agrupando as passphrases para volumes ou imagens customizadas. Para imagens personalizadas, a chave raiz envolve a frase secreta antes de você importar o arquivo de imagem personalizada para a nuvem. Para obter mais informações, consulte Sobre imagens customizadas criptografadas.

6. Gerencie suas chaves em seu KMS. Por exemplo, é possível desativar a sua chave raiz para suspender suas operações de criptografia e decriptografia. Também é possível girar suas chaves raiz gerenciadas pelo cliente. Ao alternar suas chaves raiz, você pode implementar uma nova chave nos recursos que estavam protegidos pela chave antiga.

Diagramas de fluxo para especificação de criptografia gerenciada pelo cliente para volumes

É possível especificar a criptografia gerenciada pelo cliente ao criar volumes Block Storage for VPC durante o fornecimento da instância. Também é possível especificá-lo ao criar um volume autônomo.

A Figura 1 mostra o procedimento para a criação de um volume de dados com a criptografia gerenciada pelo cliente durante o fornecimento da instância. O volume é automaticamente anexado à instância.

A Figura 2 mostra o procedimento para criar um volume autônomo e anexá-lo a uma instância posteriormente.

Sobre imagens customizadas criptografadas

É possível criar uma imagem customizada QCOW2 que atenda aos requisitos para infraestrutura de IBM Cloud VPC e criptografá-la usando sua própria passphrase do LUKS e chave raiz. Depois de criptografar a imagem customizada com sua própria passphrase, você faz upload dela para o IBM Cloud Object Storage.

Para importar uma imagem customizada criptografada para IBM Cloud VPC, comece configurando uma instância de serviço de gerenciamento de chaves (KMS), Key Protect ou Hyper Protect Crypto Services. Na instância do KMS, você cria uma chave raiz para agrupar (criptografar) a passphrase. O agrupamento da passphrase produz um DEK agrupado (WDEK). O WDEK protege a passphrase no momento da importação, mantendo os seus dados seguros. (A frase secreta é armazenada criptografada no serviço de imagem e desacoplada somente quando um servidor virtual que usa a imagem criptografada é iniciado)

Com as autorizações de IAM necessárias em vigor, você pode importar a imagem criptografada de IBM Cloud Object Storage. Você importa a imagem para a VPC e especifica o nome do recurso de nuvem (CRN) para a chave raiz que está armazenada no KMS. Você também especifica o texto cifrado para o seu WDEK, que é a passphrase que você usa para criptografar a sua imagem, agrupada pela chave raiz.

Ao importar com a API ou a interface do usuário, você fornece um único arquivo de imagem de inicialização QCOW2 que pode ter de 10 GB a 250 GB. Esse arquivo é privado para a conta para a qual é importado. A região na qual você importa a imagem criptografada é a região na qual você cria instâncias de servidor virtual dessa imagem. A imagem criptografada é exibida com outras imagens personalizadas que você tem permissão para usar. No console, um ícone de cadeado ao lado do nome indica que se trata de uma imagem personalizada criptografada.

Se você importar uma imagem criptografada que não tenha exatamente o tamanho do disco virtual de 100 GB e usá-la para provisionar uma instância e, em seguida, tentar criar uma imagem customizada a partir do volume de inicialização dessa instância, a chamada POST /images retornará um erro..

Quando você provisiona uma instância de servidor virtual com a imagem criptografada, nenhuma outra informação de criptografia é necessária. O WDEK e o CRN da chave raiz são armazenados como metadados com a imagem. A WDEK é usada para acessar a imagem criptografada quando uma instância de servidor virtual que usa a imagem criptografada é iniciada.

No momento da provisão, os dados no volume de inicialização da instância também são criptografados usando a mesma chave raiz que a imagem customizada usa, além de uma passphrase gerada. Como alternativa, é possível fornecer uma chave raiz diferente para o volume de inicialização.

Depois que a instância do servidor virtual for criada, você poderá visualizar a imagem personalizada e ver a chave raiz CRN. Você também pode girar a chave raiz e ser notificado pelo KMS quando a imagem criptografada do WDEK for automaticamente reencapsulada (reencriptada).

Todos os volumes secundários que você criar e anexar a partir da imagem personalizada criptografada usarão uma senha diferente da imagem personalizada básica. Opcionalmente, você pode fornecer uma chave raiz diferente para volumes secundários que são criados durante o provisionamento da instância.

Para obter mais informações sobre a criação de imagens customizadas, consulte Criando uma imagem customizada criptografada. Além disso, consulte as informações para criar uma Linux e imagem customizada do Windows.

Fluxograma para a especificação de criptografia gerenciada pelo cliente para imagens customizadas

A Figura 3 mostra o procedimento para criptografar imagens personalizadas com suas próprias chaves de criptografia.