Die Zeiten unternehmenskritische und sensible Daten nur noch aus Gründen der Compliance zu verschlüsseln sind definitiv vorbei! Seit Wochen und Monaten hören wir unentwegt von erfolgreichen Hackerangriffen auf eine Vielzahl von Unternehmen und öffentliche Einrichtungen, nicht nur in DACH sondern weltweit!
Bereits seit Herbst 2017 - mit Einführung der z14 und der Verfügbarkeit von z/OS V2R3 - bietet die IBM mit Pervasive Encryption (PE) Funktionen in zSystems Hardware und Software die Möglichkeit, Unternehmensdaten transparent für Anwendungen und auch ohne spürbare, negative Auswirkungen auf Service Level Agreements (SLAs) zu verschlüsseln. Dabei ist die PE Komponente 'Dataset Encryption' die Funktion, mit der z.B. Db2 z/OS Datenbanken sicher und hochperformant durch Verschlüsselung geschützt werden können.
Zum Verschlüsseln der Daten werden so genannte 'Operational Keys' verwendet. Je nach Größe der zSystems Umgebung und der Anzahl von schützenswerten, sensiblen und unternehmenskritschen Daten benötigt man schnell eine zwei- oder sogar dreistellige Anzahl an 'Operational Keys'. Das Betriebssystem z/OS selbst bietet mit dem Integrated Cryptographic Service Facility (ICSF) ein einfaches "Bordmittel" zu Generierung dieser Schlüssel.
Die
Frage, welche sich dann spätestens beim produktivem Einsatz stellt:
Benötige ich zum Managen dieser Schlüssel einen Enterprise Key Manager wie EKMF Web?
EKMF Web bietet ein zentralisiertes Schlüsselverwaltungssystem für das gesamte Unternehmen auf der Grundlage von IBM HSMs (Crypto-Express Karten) und unterstützt den gesamten Lebenszyklus der Schlüsselverwaltung. Die sichere Schlüsselgenerierung erfolgt innerhalb der IBM FIPS 140-2 Level 4 zertifizierten Crypto-Express Karten auf IBM zSystems.
Das Herzstück von EKMF Web ist die zentrale 'key repository'. Neben der sichereren Verwahrung der 'Operational Keys' sind hier z.B. auch Metadaten wie der Aktivierungszeitraum, die Nutzung, das Expiration Datum und vieles mehr geschützt gespeichert. So bietet EKMF Web bei Verlust von Schlüsselmaterial einen 'Single-point für backup and recovery'. Funktionen wie 'dual control', Key Templates, das Dataset Dashbord, rollen-basierte Zugriffskontrolle oder auch ein Audit Log unterstützen beim erfolgreichen Rollout und produktivem Betrieb von 'Dataset Encryption'.
Neben dem sicheren Generieren und Verwalten der Pervasive Encryption 'Operational Keys' bietet EKMF Web weitere Key Management Highlights:1. Cloud Key Management Die Fähigkeit zur sicheren Schlüsselverwaltung wie Bring Your Own Key (BYOK) für AWS KMS, Microsoft Azure Vault und IBM Cloud Key Protect+ HPCS.
(Google Cloud auf der Roadmap)
2. zKey Integration zKey ermöglicht die Verwaltung der dm-crypt-Schlüssel eines einzelnen zLinux-Systems. Wenn Sie mehrere zLinux-Systeme betreiben, können Sie die zKey Repositories aller Systeme von nur einer zentralen EKMF Web Key Management Instanz aus verwalten. zKey unterstützt eine Plugin-Schnittstelle für die Schlüsselverwaltung, welche EKMF Web nutzt.
3. GKLM Integration
GKLM zentralisiert und automatisiert den Schlüsselverwaltungsprozess für selbstverschlüsselnde Speicher und Anwendungen. Ab GKLM 4.1.1 Container Edition - läuft unter z/CX - kann GKLM den GKLM Masterkey via EKMF Web API und ICSF im z/OS Cryptographic Key Dataset (CKDS) sicher hinterlegen. Dabei wird der GKLM Masterkey sicher in der Crypto-Express generiert.
4. externe RESTful APIs Unterstützung Einfaches, sicheres Erstellen und Verwalten von Schlüsseln über die externe EKMF Web RESTful-API Schnittstelle