使用密钥服务器进行加密
密钥服务器是一个集中式系统,用于生成和管理系统使用的加密密钥。 在拥有众多系统的环境中,密钥服务器是理想之选,因为密钥服务器无需物理访问系统,即可通过网络自动向系统发送密钥。
某些密钥服务器支持在多个密钥服务器之间复制密钥。 如果支持多个密钥服务器,那么最多可以指定 4 个密钥服务器,这些密钥服务器通过公共网络或单独的专用网络连接到系统。
系统支持密钥管理互操作性协议 (KMIP) ,这是加密存储数据和管理密钥的标准。
- IBM® Security Guardium® Key Lifecycle Manager 关键服务器
- 通用 KMIP 密钥服务器
- Thales CipherTrust Manager 密钥服务器
- 金雅拓 SafeNet KeySecure 密钥服务器
- Fortanix DSM 密钥服务器
- Utimaco ESKM 密钥服务器
- Entrust CSP Vault 密钥服务器
必须将系统上定义的其中一个密钥服务器指定为主密钥服务器。 系统使用主密钥服务器在再加密操作期间创建新的加密密钥。 系统上定义的所有密钥服务器都用于在需要时访存当前加密密钥。 使用密钥服务器来管理系统的主密钥时,将在每个定义的密钥服务器上存储主密钥的副本。 主密钥是由密钥服务器生成的 256 位 AES 密钥。
- 联机: 密钥服务器可访问,并且能够向系统中的所有节点提供当前加密密钥
- 已降级: 密钥服务器可访问,并且能够仅向系统中的某些节点提供当前加密密钥
- 脱机: 密钥服务器不可访问,无法向系统中的任何节点提供当前加密密钥
将密钥服务器与 IBM Security Guardium Key Lifecycle Manager 配合使用
- IBM Security Guardium Key Lifecycle Manager 密钥服务器会指定一个主密钥服务器,此主密钥服务器最多可定义三个辅助密钥服务器(也称为克隆)。 这些附加密钥服务器在向系统传递密钥时支持更多路径。 但是,在再加密操作期间,仅使用主密钥服务器的路径。 对系统进行再加密后,不使用辅助密钥服务器,直到主密钥服务器将新密钥复制到这些辅助密钥服务器为止。 必须先完成复制,然后才能在系统上使用密钥。 您可以调度自动复制或通过 IBM Security Guardium Key Lifecycle Manager 手动完成。 在复制期间,密钥服务器不可用于分发密钥或接受新密钥。 在 IBM Security Guardium Key Lifecycle Manager 上完成复制所需的总时间取决于配置为克隆的密钥服务器的数量。 如果手动触发复制,那么 IBM Security Guardium Key Lifecycle Manager 会在复制完成时发出一条完成消息。 在系统上使用密钥之前,请验证所有密钥服务器均包含复制的密钥和证书信息。
- 密钥服务器也可以配置使用多个主密钥服务器,且每个密钥服务器都可创建新的加密密钥。 在此情况下,可将任何服务器设置为主密钥服务器。 主密钥服务器是在创建任何新的密钥服务器加密密钥时系统使用的密钥服务器。 如果在 IBM Security GuardiumKey Lifecycle Manager 上启用了多个主服务器,那么会立即将密钥复制到配置中的其他密钥服务器。
有关受支持版本的更多信息,请参阅 IBM Documentation 中关于 IBM Security Guardium Key Lifecycle Manager 的信息。
在系统上为 IBM Security Guardium Key Lifecycle Manager 密钥服务器创建密钥服务器对象时,除名称、IP 地址、端口和证书信息外,还必须创建一个设备组。 设备组是安全凭证的集合(包含密钥和密钥组),允许以受限方式对较大池中设备的子集进行管理。 如果使用的是缺省设置,那么必须在密钥服务器上将系统定义到 SPECTRUM_VIRT 设备组中。 如果 SPECTRUM_VIRT 设备组不存在于密钥服务器上,则必须根据 GPFS 设备系列来创建。 如果要配置多个密钥服务器,那么必须在主密钥服务器和所有其他密钥服务器上定义 SPECTRUM_VIRT 设备组。 如果您正在配置 IBM Security Guardium Key Lifecycle Manager 5.0 或更高版本,则需要在 FlashSystem 下为指定的设备组(例如, SPECTRUM_VIRT )创建目录。 该目录必须基于 GPFS 目录。
如果要使用 IBM Security Guardium Key Lifecycle Manager 来创建和管理密钥,请确保您正在使用 V 2.7.0 或更高版本。 如果使用的是 V2.7,那么系统将支持一个主密钥服务器和多个辅助密钥服务器。 在密钥服务器之间完成复制之前,密钥不可用。 如果使用 V3.0 或更高版本,那么系统将支持多个主密钥服务器,这些服务器会自动将密钥复制到所有已配置的密钥服务器。
使用通用 KMIP 密钥服务器
加密密钥服务器创建和管理由系统使用的加密密钥。 在包含多个系统的环境中,密钥服务器远程分发密钥,而无需实际访问系统。
系统最多支持 4 个密钥服务器。 如果系统正在访问多个密钥服务器,那么这些服务器必须属于同一密钥服务器集群。
将密钥服务器与 Thales CipherTrust Manager 和 Gemalto SafeNet KeySecure 配合使用
- Thales CipherTrust Manager 和 KeySecure 密钥服务器使用主动/主动模型,其中使用多个密钥服务器来提供冗余。 在这些配置中,必须将一个密钥服务器指定为主密钥服务器。 主密钥服务器是在创建任何新的加密密钥时系统使用的密钥服务器。 系统会将该密钥立即复制到集群中的其他密钥服务器。 系统上定义的所有密钥服务器都可用于检索密钥。 虽然可以配置单个密钥服务器实例,但建议使用两个密钥服务器,以确保当其中一个密钥服务器宕机时密钥的可用性。
- 系统最多支持 4 个密钥服务器。 如果系统正在访问多个密钥服务器,那么这些服务器必须属于同一密钥服务器集群。
如果您要使用 Gemalto SafeNet KeySecure 密钥服务器来创建和管理密钥,那么请确定系统是否需要用户名和密码向 KeySecure 密钥服务器进行认证。 如果计划使用用户名和密码来向这些密钥服务器认证系统,那么必须在密钥服务器管理界面中配置用于认证的用户凭证。 对于 V8.10 和更高版本的 KeySecure,管理员可以配置用户名和密码,以在连接时对系统进行认证。 在 V KeySecure 8.10之前,密码的使用是可选的。
如果要使用 Thales CipherTrust Manager 密钥服务器来创建和管理密钥,请确定系统是否需要用户名和密码向 CipherTrust Manager 密钥服务器进行认证。 如果计划使用用户名和密码来向这些密钥服务器认证系统,那么必须在密钥服务器管理界面中配置用于认证的用户凭证。 配置后,可以从界面中选择您的用户名。 有关迁移密钥服务器的更多信息,请参阅从金雅拓 SafeNet KeySecure 迁移到 Thales CipherTrust Manager 密钥服务器。