利用机密计算技术在 IBM Z 和 LinuxONE 上安全地构建、部署和管理包含敏感数据的 Linux 工作负载
保护关键的 Linux 工作负载
IBM® Hyper Protect Virtual Servers 提供了一个机密计算环境,通过利用 IBM Secure Execution for Linux 来保护敏感的 Linux® 工作负载免受内部和外部威胁影响。可进行本地部署或作为 IBM Cloud® 中托管产品使用的 IBM Cloud® Hyper Protect Virtual Servers 支持高度安全的部署、可信的访问控制以及跨混合多云环境的无缝运营。
开发人员可以在可信执行环境中构建应用程序,该环境始终保持敏感数据的加密和隔离。
管理员可以使用加密合同和证明来验证应用程序来源和完整性,以实现安全的零信任部署。
运营团队无需访问敏感数据即可管理工作负载,从而降低内部风险并加强数据隐私。
通过一致的安全策略和容器注册表支持在本地和云环境中运行受保护的工作负载。
功能
这个防篡改环境旨在以高级别的安全性运行数字资产工作负载(例如密钥管理、智能合约、钱包和区块链节点)。
作为 IBM® Digital Assets Platform 的底层基础架构,它提供硬件强制隔离和加密功能,使敏感数据获得私密性和安全性,即使内部人员或云管理员也必须按流程访问。这种内置保护可帮助托管方和发布方在受监管的环境中放心运作。
自带可信的容器注册表,如 IBM Cloud® Container Registry、Docker Hub 等。简化开发和 CI/CD,同时在可信执行环境中保持应用程序和环境元数据的机密性。
使用仅在可信执行环境 (TEE) 内生成的加密密码,通过 Linux® 统一密钥设置保护磁盘级数据。这可确保即使在安全环境之外复制或泄露磁盘映像,数据也始终受到保护。
使开发人员、管理员和操作员能够通过使用加密合同来安全地协同工作,使每项贡献保持私密。数据和代码受到保护,甚至免受其他协作者的影响。
这种方法建立在零信任原则之上,分离职责和访问权限,同时确保部署完整性。审计员角色可以通过签名的加密证明来验证最终状态,确保互信而不暴露敏感细节。
这个防篡改环境旨在以高级别的安全性运行数字资产工作负载(例如密钥管理、智能合约、钱包和区块链节点)。
作为 IBM® Digital Assets Platform 的底层基础架构,它提供硬件强制隔离和加密功能,使敏感数据获得私密性和安全性,即使内部人员或云管理员也必须按流程访问。这种内置保护可帮助托管方和发布方在受监管的环境中放心运作。
自带可信的容器注册表,如 IBM Cloud® Container Registry、Docker Hub 等。简化开发和 CI/CD,同时在可信执行环境中保持应用程序和环境元数据的机密性。
使用仅在可信执行环境 (TEE) 内生成的加密密码,通过 Linux® 统一密钥设置保护磁盘级数据。这可确保即使在安全环境之外复制或泄露磁盘映像,数据也始终受到保护。
使开发人员、管理员和操作员能够通过使用加密合同来安全地协同工作,使每项贡献保持私密。数据和代码受到保护,甚至免受其他协作者的影响。
这种方法建立在零信任原则之上,分离职责和访问权限,同时确保部署完整性。审计员角色可以通过签名的加密证明来验证最终状态,确保互信而不暴露敏感细节。
资源
相关产品
探索 IBM 机密计算产品组合中的其他产品。
旨在解决当前数字资产冷存储产品的局限性。在 IBM Z® 或 IBM LinuxONE 上可用。Hyper Protect Virtual Servers 是先决条件。
单租户混合云密钥管理服务。统一密钥编排是 Hyper Protect Crypto Services 的一部分,支持跨多云环境进行密钥编排。
通过在防篡改环境中对可信容器映像进行可审计的部署,获得 IBM Cloud Virtual Private Cloud (VPC) 中基于 Linux 的虚拟服务器的完整权限。
借助 IBM Hyper Protect Container Runtime 和 Hyper Protect Confidential Containers 保护敏感数据从开发到部署以及在应用程序的整个使用过程中的安全。