Service für die Verwaltung externer Schlüssel

  • Freigeben Version: Australia
  • Aktualisiert 24. März 2026
  • 3 Minuten Lesedauer

    • Service für die Verwaltung externer Schlüssel( EKMS) Ermöglicht die Integration Feldverschlüsselung Mit Ihren eigenen externen Schlüsselverwaltungssystemen.

    Service für die Verwaltung externer Schlüssel( EKMS) Ermöglicht Ihnen die direkte Kontrolle über die Verschlüsselungsschlüssel, die Ihre Daten in schützen ServiceNow Plattform. Anstatt Schlüssel in der Infrastruktur zu speichern, können Sie sie in einem dedizierten Schlüsselverwaltungssystem generieren, speichern und verwalten. Dieser Ansatz ermöglicht es Ihnen, cloudbasierte Enterprise-Services einzuführen und gleichzeitig die Kontrolle über Ihre vertraulichen Daten zu behalten.

    Sie haben die Befugnis für wichtige Lebenszyklusvorgänge, einschließlich Generierung, Rotation und Widerruf, sodass Sie sofort auf Sicherheitsereignisse reagieren können. Dadurch können Sie Schlüssel aus Ihrem System entfernen und Ihre Daten kryptografisch unzugänglich machen.

    Unterstützte Anbieter

    Derzeit EKMS Für Feldverschlüsselung Unterstützt AWS-Schlüsselverwaltungsservice (AWS KMS). Zukünftige Releases enthalten Unterstützung für zusätzliche Schlüsselverwaltungsanbieter.

    Wichtige Einschränkungen

    • Nur eine EKMS Die Konfiguration kann pro Instanz erstellt werden.
    • Schlüssel für mehrere Regionen werden nicht unterstützt.
    • Der AWS-KMS-Schlüssel muss ein symmetrischer Schlüssel sein.

    Funktionsweise von EKMS

    EKMS Verwendet eine Schlüsselumwicklungskette, um Daten zu sichern. Eine visuelle Darstellung finden Sie im EKMS-Schlüsselumbruchdiagramm unten. Wenn EKMS konfiguriert ist:

    1. In Ihrer Instanz wird ein Schlüssel-Verschlüsselungsschlüssel (KEK) generiert. Für EKMS wird dieser Schlüssel als externer Schlüssel-Verschlüsselungsschlüssel (EKEK) bezeichnet.
    2. Das EKEK wird von einem internen Instanzstammschlüssel (Instanzschlüssel, IRK) umschlossen, der für Ihre Instanz eindeutig ist und sicher in einem von ServiceNow verwalteten Hardwaresicherheitsmodul (HSM) gespeichert ist.
    3. Das in IRK umschlossene EKEK wird dann erneut von Ihrem AWS-KMS-Schlüssel umschlossen, den Sie in AWS verwalten.
    4. Das umschlossene EKEK wird in der Tabelle „externe Instanzschlüssel“ gespeichert.
    5. Datenverschlüsselungsschlüssel (DEKs) für ein kryptografisches Modul werden vom EKEK eingeschlossen und in der Modulschlüsseltabelle gespeichert. Die DEKs sind es, was Ihre Felddaten verschlüsselt.
    6. Felddaten werden mit den DEKs des kryptografischen Moduls verschlüsselt.

    Service für die Verwaltung externer Schlüssel Diagramm

    Diese Architektur stellt sicher, dass Ihre Instanz nie direkten Zugriff zum Entschlüsseln der Daten ohne Zugriff auf den externen AWS-Schlüssel hat.

    Schlüsselstatussynchronisierung

    Der Hintergrundauftrag zur EKMS-Integritätsprüfung wird alle 30 Minuten ausgeführt, um den AWS-Schlüsselstatus mit Ihrer Instanz zu synchronisieren. Die Synchronisierung stellt sicher, dass Schlüsselstatusänderungen in AWS (aktiviert, deaktiviert, Löschung ausstehend, gelöscht) im Status des Schlüssels in der EKMS-Konfiguration widergespiegelt werden. Anwender mit der Rolle „Security_admin“ können diese Häufigkeit ändern, indem sie ändern Com.Glide.Encryption.ekms.Scheduler.Health_Check_interval Systemeigenschaft. Siehe Ändern Sie die Synchronisierungshäufigkeit .

    Wichtig:
    Von AWS gelöschte Schlüssel erfordern mindestens sieben Tage, bevor der Status „gelöscht“ angezeigt wird, da dies von AWS-Aufbewahrungsrichtlinien gesteuert wird.

    Integration mit Feldverschlüsselung Enterprise

    EKMS Integriert mit Feldverschlüsselung Enterprise( FEE) Durch kryptografische Module. Kryptografische Module verwenden Ihren externen AWS-KMS-Schlüssel, um Verschlüsselungsschlüssel einzuschließen, und verschlüsselte Feldkonfigurationen geben an, welche Daten verschlüsselt werden sollen.

    Zugriffssteuerung

    Modulzugriffsrichtlinien (Maps) bestimmen, welche Anwenderrollen verschlüsselte Daten in Klartext anzeigen können. Anwender ohne die richtigen Rollenzuweisungen können die geschützten Informationen nicht entschlüsseln und anzeigen, auch wenn sie Zugriff auf die Tabelle haben.

    Erste Schritte

    Konfigurieren Service für die Verwaltung externer Schlüssel

    Erstellen und verwalten Sie Schlüsselverwaltungskomponenten, um anzupassen und zu verwalten, wie kryptografische Vorgänge auf Ihrem ausgeführt werden ServiceNow Instanz.

    Aktionen für externen Schlüsselverwaltungsservice

    Verwenden EKMS Zum Verwalten , Widerrufen oder Rotieren von Schlüsseln, um vertrauliche Daten mit den neuesten Verschlüsselungsmaterialien und Lebenszyklusvorgängen zu sichern.

    Aktivierungsinformationen

    Zum Aktivieren von Service für die Verwaltung externer Schlüssel, Sie müssen zuerst ein Abonnement für eine der Plattformen erwerben Verschlüsselung Oder ServiceNow Vault.

    Die ServiceNow Plattform Verschlüsselung Abonnementpaket ist eine gewerbliche Gruppenberechtigung, die enthält Feldverschlüsselung Enterprise Und Cloud-Verschlüsselung.

    Feldverschlüsselung Enterprise Ist die unbegrenzte Lizenz von Feldverschlüsselung Starter. Feldverschlüsselung Enterprise Ist mit der Aktivierung des Plugins „com.Glide.field.Encryption.Enterprise“ verfügbar. Weitere Informationen finden Sie unter Abonnementpaket für Verschlüsselung und Schlüsselverwaltung .

    Sobald Sie installiert haben Feldverschlüsselung Enterprise Plugin installieren EKMS Plugin mit dem Namen „externe Schlüsselverwaltung für Plattformverschlüsselung“. Die Plugin-ID ist com.Glide.Encryption.external_KMS. Siehe Aktivieren Sie Den Externen Schlüsselverwaltungsservice Für weitere Informationen.