IBM Z DACH - Group home

Benötigt Ihr Unternehmen zum sicheren Erstellen und Verwalten von 'Encryption Keys' einen Enterprise Key Manager wie EKMF Web ?

  
Die Zeiten unternehmenskritische und sensible Daten nur noch aus Gründen der Compliance zu verschlüsseln sind definitiv vorbei!  Seit Wochen und Monaten hören wir unentwegt von erfolgreichen Hackerangriffen auf eine Vielzahl von Unternehmen und öffentliche Einrichtungen, nicht nur in DACH sondern weltweit!

Bereits seit Herbst 2017 - mit Einführung der z14 und der Verfügbarkeit von z/OS V2R3 - bietet die IBM mit Pervasive Encryption (PE) Funktionen in zSystems Hardware und Software die Möglichkeit, Unternehmensdaten transparent für Anwendungen und auch ohne spürbare, negative Auswirkungen auf Service Level Agreements (SLAs) zu verschlüsseln. Dabei ist die PE Komponente 'Dataset Encryption' die Funktion, mit der z.B. Db2 z/OS Datenbanken sicher und hochperformant durch Verschlüsselung geschützt werden können.

Zum Verschlüsseln der Daten werden so genannte 'Operational Keys' verwendet. Je nach Größe der zSystems Umgebung und der Anzahl von schützenswerten, sensiblen und unternehmenskritschen Daten benötigt man schnell eine zwei- oder sogar dreistellige Anzahl an 'Operational Keys'. Das Betriebssystem z/OS selbst bietet mit dem Integrated Cryptographic Service Facility (ICSF) ein einfaches "Bordmittel" zu Generierung dieser Schlüssel.

Die Frage, welche sich dann spätestens beim produktivem Einsatz stellt:  Benötige ich zum Managen dieser Schlüssel einen Enterprise Key Manager wie EKMF Web?

Antwort:  Ja, wenn Sie etwas von den oben genannten Faktoren benötigen.

EKMF Web bietet ein zentralisiertes Schlüsselverwaltungssystem für das gesamte Unternehmen auf der Grundlage von IBM HSMs (Crypto-Express Karten) und unterstützt den gesamten Lebenszyklus der Schlüsselverwaltung. Die sichere Schlüsselgenerierung erfolgt innerhalb der IBM FIPS 140-2 Level 4 zertifizierten Crypto-Express Karten auf IBM zSystems.


Das Herzstück von EKMF Web ist die zentrale 'key repository'.  Neben der sichereren Verwahrung der 'Operational Keys' sind hier z.B. auch Metadaten wie der Aktivierungszeitraum, die Nutzung, das Expiration Datum und vieles mehr geschützt gespeichert. So bietet EKMF Web bei Verlust von Schlüsselmaterial einen 'Single-point für backup and recovery'.  Funktionen wie 'dual control', Key Templates, das Dataset Dashbord, rollen-basierte Zugriffskontrolle oder auch ein Audit Log unterstützen beim erfolgreichen Rollout und produktivem Betrieb von 'Dataset Encryption'.


Neben dem sicheren Generieren und Verwalten der Pervasive Encryption 'Operational Keys' bietet EKMF Web weitere Key Management Highlights:

1. Cloud Key Management 
    Die Fähigkeit zur sicheren Schlüsselverwaltung wie Bring Your Own Key (BYOK) für AWS KMS, Microsoft Azure Vault und IBM Cloud Key Protect+ HPCS.
   (Google Cloud auf der Roadmap)

2. zKey Integration
    zKey ermöglicht die Verwaltung der dm-crypt-Schlüssel eines einzelnen zLinux-Systems. Wenn Sie mehrere zLinux-Systeme betreiben, können Sie die zKey Repositories aller Systeme von nur einer zentralen EKMF Web Key Management Instanz aus verwalten. zKey unterstützt eine Plugin-Schnittstelle für die Schlüsselverwaltung, welche EKMF Web nutzt.   

3. GKLM Integration
    GKLM zentralisiert und automatisiert den Schlüsselverwaltungsprozess für selbstverschlüsselnde Speicher und Anwendungen. Ab GKLM 4.1.1 Container Edition - läuft  unter z/CX -  kann GKLM den GKLM Masterkey via EKMF Web API und ICSF im z/OS Cryptographic Key Dataset (CKDS) sicher hinterlegen. Dabei wird der GKLM Masterkey sicher in der Crypto-Express generiert.

4. externe RESTful APIs Unterstützung
     Einfaches, sicheres Erstellen und Verwalten von Schlüsseln über die externe EKMF Web RESTful-API Schnittstelle




Bei der Implementierung von Pervasive Encryption Funktionen wie 'Dataset Encryption' und deren Betrieb in der Produktion ist es sehr wichtig, dass ein robustes Schlüsselverwaltungssystem vorhanden ist. IBM bietet für diesen Zweck EKMF Web an, das Sie bei der Verwaltung von 'Operational Keys' für den Einsatz von 'Dataset Encryption und darüber hinaus von Cloud Keystores, Z Linux (zKEY) und GKLM unterstützt.

Für weitere Informationen wenden Sie sich jederzeit gerne an: 
thomas.wienert@de.ibm.com