保护 VPC 中的数据
为了确保您在使用 IBM Cloud® Virtual Private Cloud 时能够安全地管理您的数据,请务必了解哪些数据被存储和加密,以及如何删除任何存储的个人数据。 通过使用受支持的密钥管理服务 (KMS),可以使用您自己的根密钥进行数据加密。
VPN for VPC 不会存储除配置 VPN 网关,连接和策略所需的数据以外的任何客户数据。 IBM不会对通过 VPN 网关传输的数据进行加密。 有关特定 VPN 和策略配置的数据在传输和静态时进行加密。 将根据您的请求通过 API 或用户界面删除 VPN 配置数据。
您的数据在VPC中是如何存储和加密的
缺省情况下,所有 Block Storage 卷都使用 IBM管理的加密进行加密。IBM®管理的密钥将生成并安全地存储在由 Consul 支持并由 IBM Cloud® 操作维护的 Block Storage 保险库文件中。
为了获得更多的安全性和控制,您可以使用自己的根密钥 (也称为客户根密钥或 CRK) 来保护数据。 此功能通常称为“自带密钥”或 "BYOK"。 根密钥对保护数据的密钥进行加密。 您可以将根密钥导入到 Key Protect 或 Hyper Protect Crypto Services,或者让密钥管理服务为您创建一个密钥管理服务。
KMS 存储密钥并使其在卷和定制映像加密期间可用。Key Protect 提供 FIPS 140-2 级别 3 合规性。 Hyper Protect Crypto Services 提供最高级别的安全性,符合 FIPS 140-2 级别 4。 您的密钥材料在运输 (运输时) 和静态 (存储时) 受到保护。
客户管理的加密可用于定制映像,引导卷和数据卷。 从已加密的定制映像供应实例时,将使用映像的根密钥对其引导卷进行加密。 您还可以选择其他根密钥。 在供应虚拟服务器实例或创建独立卷时,将使用根密钥对数据卷进行加密。
实际上,使用 包络加密使用数据加密密钥加密数据,然后使用可完全管理的根密钥对该密钥进行加密的过程。 时,通常将映像和卷称为使用根密钥进行加密。 在内部,每个映像或卷都使用 数据加密密钥(DEK)用于加密存储在应用程序中的数据的密钥。进行加密,这是由 IBM Cloud VPC Generation 2 基础结构使用的开放式源代码 QEMU 技术。 LUKS 口令 (也称为 密钥加密密钥) 对 DEK 进行加密。 然后使用根密钥对 LUKS 口令进行加密,从而创建称为包装 DEK (WDEK) 的内容。 有关IBM Cloud VPC密钥加密技术的更多信息,请参阅 IBM Cloud VPC第 2 代加密技术。
例如,如果使用同一根密钥供应两个卷,那么将为每个卷生成唯一口令,然后使用根密钥对其进行加密。 包络加密为您的数据提供了更多保护,并确保可以旋转根密钥,而不必对数据进行重新加密。 有关包络加密的更多信息,请参阅 保护 VPC 中的敏感数据。
您与 VPN for VPC 的所有交互都已加密。 例如,当您使用 API 或通过控制台与服务进行交互以配置 VPN 网关和 VPN 连接时,所有此类交互都是端到端加密的。 同样,与配置相关的数据元素将在传输和静态时进行加密。 不存储,处理或传输任何个人或敏感数据。 静态数据存储在加密数据库中。
供应 VPN for VPC 并创建网络连接后,您负责对选择在网络中传输的数据进行加密。
实例存储数据隔离和加密
连接到虚拟服务器实例的实例存储磁盘不能与任何其他虚拟服务器共享,将来也不能由任何其他虚拟服务器访问。 它们是一次性使用 (单连接) 用于请求实例存储器的虚拟服务器。
实例存储数据通过磁盘加密进行保护。 用于实例存储器的物理磁盘使用强 AES-256 加密标准进行自加密。 当您的实例访问数据时,将自动对数据进行解密。 当您的实例被关闭或删除时,底层存储空间将被擦除且不可恢复。 此时,数据不可恢复。
数据在驱动器级别的物理介质上自动加密。 但是,实例存储器不支持客户管理的密钥。 对于敏感数据,强烈建议用户使用基于软件的文件系统加密,例如 LUKS for Linux® 或 BitLocker for Windows ®。此技术允许最终用户完全在实例内进行加密,并且可以为实例与物理驱动器介质之间的敏感数据传输提供额外保护。 某些操作系统还提供了 FIPS 认证的加密算法,也可以使用这些算法。 有关如何在 Red Hat Enterprise Linux® 上进行加密的示例,请参阅 使用 LUKS 对块设备进行加密,但是请参阅操作系统文档或有关如何对每个设备进行加密的特定信息。
保护 VPC 中的敏感数据
Key Protect 或 Hyper Protect Crypto Services 提供称为包络加密的更高级别的保护。
包络加密 使用另一个加密密钥对一个加密密钥进行加密。 DEK 会对实际数据进行加密。 从不存储 DEK。 而是通过密钥加密密钥进行加密。 然后,使用根密钥对 LUKS 口令进行加密,这将创建 WDEK。 要解密数据,将对 WDEK 进行解包,以便您可以访问存储在卷上的数据。 此过程只能通过访问存储在 KMS 实例中的根密钥来实现。 Hyper Protect Crypto Services 实例中的根密钥也受 硬件安全模块(HSM)一种物理设备,用于提供随需应变加密、密钥管理和密钥存储作为受管服务。 主密钥保护。
您可以使用 IBM Cloud® Identity and Access Management (IAM) 来控制对存储在 IBM Cloud® 中的 KMS 实例中的根密钥的访问。 授予对服务的访问权以使用密钥。 您还可以随时撤销访问权,例如,如果您怀疑密钥可能受到损害,或者 删除根密钥。
VPN for VPC: 客户提供的预共享密钥在存储在数据库中之前已加密。 所有其他数据 VPN 网关和 VPN 策略配置在数据库级别进行静态加密。
关于客户管理的密钥
对于 Block Storage 卷和加密映像,您可以轮换根密钥以提高安全性。 按调度或按需轮换根密钥时,将替换原始密钥资料。 旧密钥保持活动状态以解密现有资源,但无法用于加密新资源。 有关更多信息,请参阅 VPC 资源的密钥轮换。
选择使用客户管理的加密时,请考虑区域和跨区域影响。 有关更多信息,请参阅 区域和跨区域注意事项。
通过 Key Protect 或 Hyper Protect Crypto Services,您可以创建,导入和管理根密钥。 您可以为密钥指定访问策略,向密钥分配用户或服务标识,或者仅向特定服务授予密钥访问权。 前 20 个密钥是无成本的。
关于客户管理的加密卷和映像
通过客户管理的加密,您可以供应根密钥来保护云中的加密资源。 根密钥充当密钥包装密钥,用于对保护数据的加密密钥进行加密。 您可以决定是导入现有根密钥,还是让受支持的 KMS 为您创建根密钥。
将为 Block Storage 卷分配由实例的主机管理程序生成的唯一数据加密密钥。 每个卷的数据加密密钥使用唯一的 KMS 生成的 LUKS 口令进行加密,然后通过根密钥进行加密并存储在 KMS 中。
定制映像由您使用 QEMU 创建的自己的 LUKS 口令进行加密。 对映像进行加密后,使用存储在 KMS 中的 CRK 来打包口令。 有关更多信息,请参阅 加密的定制映像。
为 VPC 启用客户管理的密钥
请参阅以下过程,以使用客户管理的加密创建 Block Storage 引导和数据卷
使用客户管理的 VPC 密钥
有关管理数据加密的更多信息,请参阅 管理数据加密 以及有关通过 除去对根密钥的服务授权 临时撤销访问权的部分。
客户负责对 IBM Cloud外部的客户工作负载与 IBM Cloud内部的工作负载之间的链接进行加密。 请参阅 安全性和法规合规性 中的 加密。
在 VPC 中删除数据
删除根密钥
有关删除根密钥的更多信息,请参阅 删除根密钥。
删除一个 Block Storage 卷
有关删除 Block Storage 卷的更多信息,请参阅 Block Storage for VPC 的常见问题解答。
删除定制映像
有关从 IBM Cloud VPC中删除定制映像的更多信息,请参阅 管理定制映像。 请注意使用定制映像供应的任何虚拟服务器实例。 要除去与特定定制映像相关联的所有数据,请确保还删除从该定制映像供应的任何实例以及相关联的引导卷。
当您要删除属于专用目录产品的 IBM Cloud VPC 定制映像时,必须首先从专用目录产品的关联版本中除去该映像。 然后,可以从 IBM Cloud VPC中删除定制映像。 要从专用目录中删除定制映像,请参阅 废弃专用产品。
删除 VPC 实例
有关删除 VPC 及其关联资源的更多信息,请参阅 删除 VPC。
VPC数据保留政策描述了在您删除服务后,您的数据将被保留多长时间。 数据保留时间策略包含在 IBM Cloud® Virtual Private Cloud 服务描述中,您可以在 IBM Cloud 条款和声明 中找到该服务描述。
将根据请求通过 API 或用户界面删除 VPN 和 VPN 策略配置。
复原 VPC 的已删除数据
您可以在删除后 30 天内复原导入到 KMS 的已删除根密钥。 有关更多信息,请参阅 复原已删除的根密钥。
VPN for VPC 不支持复原已删除的数据。
正在删除所有 VPC 数据
要删除 IBM Cloud VPC 存储的所有持久数据,请选择下列其中一个选项。
除去个人信息和敏感信息还需要删除所有 IBM Cloud VPC 资源。 在继续操作前,请务必备份数据。
- 打开 IBM Cloud 支持案例。 请联系 IBM 支持人员,以从 IBM Cloud VPC中除去您的个人信息和敏感信息。 有关更多信息,请参阅使用支持中心。
- 结束 IBM Cloud 预订。 在结束 IBM Cloud 预订之后,IBM Cloud VPC 将删除您创建的所有服务资源,其中包括与这些资源关联的所有持久数据。