Verschlüsselung auf Spaltenebene Enterprise

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 6 Minuten Lesedauer

    • Verschlüsselung auf Spaltenebene Enterprise Verwendet Key Management Framework( KMF), damit Sie anpassen und verwalten können, wie Felder und Anhänge in Ihrer Instanz verschlüsselt und entschlüsselt werden. Zur Verwendung ist ein Abonnement erforderlich Verschlüsselung auf Spaltenebene Enterprise.

    Wichtig:

    Beginnend mit Zurich Freigeben, Verschlüsselung auf Spaltenebene(CLE) und Verschlüsselung auf Spaltenebene Enterprise(BEREINIGT) wird auf zukünftige Veraltung vorbereitet. Sie werden ausgeblendet und in neuen Instanzen nicht mehr aktiviert, werden jedoch weiterhin unterstützt. Feldverschlüsselung Und Feldverschlüsselung Enterprise Stellen Sie die neueste Experience für diese Funktionalität bereit.

    Weitere Informationen finden Sie im Verwerfungsprozess [ KB0867184 ] artikel in der Now Support-Knowledge Base.

    Verschlüsselung auf Spaltenebene Enterprise Ist mit begründet Verschlüsselung auf Spaltenebene Und verwendet Key Management Framework Und seine volle Unterstützung wichtiger Verwaltungsfunktionen. Verschlüsselung auf Spaltenebene Enterprise Bietet Schlüsselschutz und Schlüssellebenszyklusmanagement für die Feldverschlüsselung auf Anwendungsebene. Alle Schlüssel werden mit einer Schlüsselhierarchie geschützt, die letztendlich in FIPS (Federal Information Processing Standards) 140-2-L3 Hardware Security Modules (HSM) verwurzelt ist.

    Wichtig:
    Dieses Thema behandelt die Enterprise-Version von Verschlüsselung auf Spaltenebene. Für Informationen zur Standardversion von Verschlüsselung auf Spaltenebene, Oder Informationen zu den Unterschieden zwischen den beiden Versionen finden Sie unter Feldverschlüsselung erkunden.

    Feldverschlüsselung Enterprise Ermöglicht Ihnen, zu verwalten, wie unterstützte Felder gemäß verschlüsselt und entschlüsselt werden NIST 800-57 Praktiken. Außerdem wird die aktuellste Version der Verschlüsselung auf Feldebene verwendet, einschließlich Integration für ordnungsgemäßen Schutz und Verwaltung von Schlüsseln.

    Insbesondere Verschlüsselung auf Spaltenebene Enterprise Verwendet KMF Verschlüsselungsmodule, die Ihnen mehr Kontrolle über die serverseitige Verschlüsselung gewähren. KMF Verifiziert den ordnungsgemäßen Schutz von Datenverschlüsselungsschlüsseln mithilfe der Schlüsselhierarchie und der Umschlagverschlüsselung. Ihre Instanz verschlüsselt Daten über von Ihnen konfigurierte kryptografische Module. Sie können eine Zugriffsrichtlinie für jedes Modul erstellen, dann kryptografische Spezifikationen und Zugriffsrichtlinien konfigurieren und die Steuerung des Lebenszyklus-Managements von Schlüsseln steuern.

    Verschlüsselung auf Spaltenebene Enterprise Unterstützt Modulzugriffsrichtlinien basierend auf:

    • Umfang
    • Rolle
    • Skript
    • Ressourcenaustausch
    • Systemanwender
    Weitere Informationen finden Sie unter Create a module access policy.
    Hinweis:
    Um Details zu den unterstützten Funktionen von zu erhalten Verschlüsselung auf Spaltenebene Und wie Sie aktualisieren und abonnieren Verschlüsselung auf Spaltenebene Enterprise Berechtigung siehe Abonnementpaket für Verschlüsselung und Schlüsselverwaltung.

    Verschlüsselungsbegriffe

    Termin Beschreibung
    Abbildung : 1. Schlüsselverwaltung
    Schlüsselverwaltung
    		Unterstützung für Schlüsselverwaltung

    Grundlegend zu Verschlüsselung auf Spaltenebene Enterprise Ist das Schlüsselverwaltungs-Framework (KMF).

    Sie erhalten die folgenden Fähigkeiten:
    • Schlüssel-Lebenszyklusmanagement.
    • Schlüsselrotation. Details siehe Schlüssel drehen.
    • Schlüsselschutz und Schlüsselgenerierung mit FIPS 140-2-L3-Hardwaresicherheitsmodulen (HSMs).
    • Trennung von Rollen und Aufgaben.
    • Die sichere Übertragung von Datenverschlüsselungsschlüsseln zwischen Instanzen, z. B. Produktions- und nicht-Produktionsinstanzen.
    • Vom Kunden bereitgestellte Schlüssel (CSK) mit Schlüsselumwicklung.
    • Nicht deterministische Verschlüsselung.
    • Massenverschlüsselung/-Entschlüsselung.
    • Audit des Schlüsselzugriffs/-Verwendung.

    Details siehe Referenz Für Schlüsselverwaltungs-Framework.
    Abbildung : 2. Vom Kunden bereitgestellter Schlüssel
    Vom Kunden bereitgestellter Schlüssel
    		Support für vom Kunden bereitgestellte Schlüssel

    Einer der größten Vorteile von Verschlüsselung auf Spaltenebene Enterprise Ist, dass Sie Ihre eigenen Schlüssel für die Verschlüsselung verwenden können. Administratoren haben die Wahl zur Verwendung ServiceNow Bereitgestellte Schlüssel oder Ihre eigenen vom Kunden bereitgestellten Schlüssel (CSK) für die Verschlüsselung auf ServiceNow AI Platform®.

    Sie können auch den Schlüssellebenszyklus verwalten und entscheiden, wann die Schlüssel widerrufen, rotiert und deaktiviert werden sollen. Nachdem Sie vom Kunden bereitgestellte Schlüssel aktiviert und ein kryptografisches Modul erstellt haben, laden Sie ein Token und einen öffentlichen flüchtigen Schlüssel herunter. Sie verwenden das Token und den öffentlichen Schlüssel, um Ihren Schlüssel einzuschließen und dann in die Instanz hochzuladen. Informationen zur Verwendung von vom Kunden bereitgestellten Schlüsseln finden Sie unter Konfigurieren Sie die Feldverschlüsselungseinstellungen, um den Schlüsseltyp auszuwählen Und Verwenden von vom Kunden bereitgestellten Schlüsseln mit Feldverschlüsselung Enterprise.
    Abbildung : 3. Verschlüsselung auf Spaltenebene
    		 Unterstützung für Feldverschlüsselung und Anhangsverschlüsselung

    Sowohl die Feldverschlüsselung als auch die Anhangsverschlüsselung verwenden kryptografische Module und Zugriffsrichtlinien über verschlüsselte Feldkonfigurationen. Das Formular „Konfiguration verschlüsselter Felder“ wird verwendet, um einen Verschlüsselungstyp von auszuwählen Spalte Oder Anhang Verschlüsselung. Siehe Legen Sie verschlüsselte Feldkonfigurationen fest Für weitere Informationen und unterstützte Feldtypen.
    Abbildung : 4. Nicht deterministische Verschlüsselung
    Nicht deterministische Verschlüsselung
    		Unterstützung für nicht deterministische Verschlüsselung

    Verschlüsselung auf Spaltenebene Enterprise Unterstützt Nicht deterministisch Verschlüsselung für verbesserte Sicherheit. Wenn das System dieselben Daten mehrmals verschlüsselt, unterscheiden sich die Chiffriertexte jedes Mal. Die nicht deterministische Verschlüsselung ist mit der AES-Verschlüsselung (Advanced Encryption Standard) mit Cipher Block Chaining (CBC) verfügbar.

    Sie können diese Funktion über die Option Gleichheitserhaltung in der Phase „Algorithmusdefinition“ der kryptografischen Spezifikation aktivieren. Erstellen Sie eine kryptografische Spezifikation für ein Krypto-Modul, definieren Sie einen Algorithmus für die Verschlüsselung, und generieren Sie den Schlüssel.

    Siehe Erstellen Sie ein kryptografisches Modul Zum Definieren der Mechanismen, die für kryptografische Vorgänge verwendet werden, und für weitere Informationen zum Aktivieren der nicht deterministischen Verschlüsselung.
    Abbildung : 5. Ressourcenaustausch

    Ressourcenaustausch Verschlüsselung auf Spaltenebene Enterprise Schlüsselinstanz für Instanz auf sichere Weise mithilfe von KMF Kryptografische APIs zur Bereitstellung von Vertraulichkeit, Integrität, Authentifizierung und Nichtablehnung. Ressourcenaustausch Ist ein KMF Funktion, mit der Sie Ressourcen zwischen Instanzen sicher austauschen können. Details siehe Ressourcenaustausch Für Schlüsselverwaltungs-Framework.
    Hinweis:
    Wenn Sie nicht aktivieren möchten Feldverschlüsselung Enterprise, Können Sie weiterhin verwenden Feldverschlüsselung. Siehe Verschlüsselung auf Spaltenebene erkunden Für Informationen.

    Feldverschlüsselung Enterprise Unterstützt lokale Kunden. Domänentrennung wird nicht unterstützt.

    Unterstützung für zusätzliche verschlüsselte Felder

    Die Standardversion von Verschlüsselung auf Spaltenebene Ist auf fünf verschlüsselte Spalten beschränkt. Verschlüsselung auf Spaltenebene Unterstützt eine unbegrenzte Anzahl verschlüsselter Spalten.

    Unterstützte Feldinformationen

    Die folgenden Feldtypen können verschlüsselt werden:
    • Anhänge
    • Datum
    • Datum/Uhrzeit
    • E-Mail
    • HTML
    • Journal
    • Journaleingabe
    • Journalliste
    • Telefon
    • Zeichenfolgentext
    • Übersetztes Feld
    • Übersetzte HTML
    • Übersetzter Text
    • URL

    Anhangsverschlüsselung

    Anhangsverschlüsselung standardmäßig

    Kunden verwenden Verschlüsselung auf Spaltenebene Anhänge werden standardmäßig in Tabellen verschlüsselt, die einen aktiven EFC-Typ (Encrypted Field Configuration) haben Attachment.

    Diese durch die EFC-Konfiguration definierte Standardverschlüsselung bedeutet, dass Administratoren nicht manuell deklarieren müssen, dass ein Anhang beim Hochladen für diese Tabellen verschlüsselt werden soll.

    Administratoren können Anwendern das Anhängen unverschlüsselter Dateien verhindern
    Details finden Sie unter Verhindern Sie, dass Anwender unverschlüsselte Dateien anhängen.
    Deaktivieren Sie die Standardverschlüsselung

    Wenn Anhänge nicht standardmäßig basierend auf der EFC-Konfiguration verschlüsselt werden sollen, können Sie diese Option deaktivieren, indem Sie sich an wenden ServiceNow Support.

    Um diese Funktion zu deaktivieren, erstellen Sie einen Supportfall mit ServiceNow Unterstützen und diese Anweisung in einen Kommentar zum Falldatensatz einfügen:

    „Ich [Kundenname] verstehe, dass ich Frage ServiceNow Deaktivieren einer empfohlenen Best Practice für Sicherheit für Anhänge, und die [Kundenunternehmen] zusätzliches Risiko im Zusammenhang mit der Konfiguration und Verwendung unverschlüsselter Anhänge in übernimmt ServiceNow Anwendung.“

    API-Unterstützung

    Verschlüsselung auf Spaltenebene Aktiviert die folgenden APIs.

    Hinweis:
    Das in der folgenden Tabelle beschriebene API-Verhalten stellt die Standardkonfiguration für das neueste Basissystempaket dar. Wenn Sie mit älteren Paketversionen arbeiten, können andere Funktionen auftreten.
    Tabelle : 1. Feldverschlüsselungs-APIs
    API Beschreibung Parameter Rückgabetyp
    ChangeEncryptionContext() Aktualisiert einen aktiven Verschlüsselungskontext (EC), der zum Verschlüsseln eines Anhangs verwendet wird.

    Wenn CLE mit dem CLE-Starter-Plugin mithilfe des KMF-Krypto-Moduls (cm) aktiviert ist, sucht die API das cm für die EC und verwendet es, um den Anhang zu verschlüsseln.

    Hinweis:
    Diese API ist nur im globalen Bereich verfügbar.
    • SourceTable: Name der Tabelle, die den Anhang enthält
    • Sourceid: System-ID des Tabellendatensatzes
    • AttachmentID: Die sys_attachment-Datensatzsystem-ID
    • NewEncryptionContextID: System-ID des neuen Kontexts.
    		 Boolean
    ChangeCryptoModule() Aktualisiert ein aktives Verschlüsselungsmodul, das zum Verschlüsseln eines Anhangs verwendet wird.
    Hinweis:
    Diese API ist nur im globalen Bereich verfügbar.
    • SourceTable: Name der Tabelle, die den Anhang enthält.
    • Sourceid: System-ID des Tabellendatensatzes
    • AttachmentID: Die sys_attachment-Datensatzsystem-ID
    • NewCryptoModuleId: System-ID des neuen Verschlüsselungsmoduls zum Verschlüsseln des Anhangs.
    		 Boolean
    DeableEncryption() Deaktivieren Sie die aktive Verschlüsselung für einen Anhang.
    • SourceTable: Name der Tabelle, die den Anhang enthält.
    • Sourceid: System-ID des Tabellendatensatzes
    • AttachmentID: Die sys_attachment-Datensatzsystem-ID
    		 Boolean
    GetDisplayValue() Gibt den Klartext-Anzeigewert eines verschlüsselten Felds zurück. Zeichenfolge
    GetValue() Gibt den Klartextwert eines abgedeckten Felds zurück, wenn glide_encryption.set_value_support_cle.disabled auf „falsch“ festgelegt ist (erfordert Modulzugriffsrichtlinie (MAP)).

    Gibt den verschlüsselten Wert eines verschlüsselten Felds zurück, wenn glide_encryption.set_value_support_cle.disabled auf „wahr“ festgelegt ist.

    		 Zeichenfolge
    SetDisplayWert() Fügt verschlüsselte Daten zu Anzeigezwecken in ein verschlüsseltes Feld ein.
    • Name: Feldname.
    • Wert: Feldwert.
    		 Boolean
    SetWert() Fügt verschlüsselte Daten in ein verschlüsseltes Feld ein, das von einer Systemeigenschaft gesteuert wird.

    Verschlüsselt Daten, wenn glide_encryption.set_value_support_cle.disabled auf „falsch“ festgelegt ist (ZUORDNUNG erforderlich); schreibt unverschlüsselte Daten, wenn „wahr“ festgelegt ist (keine ZUORDNUNG erforderlich), wenn „glide_encryption.set_value_support_cle.disabled“ auf „wahr“ festgelegt ist.

    • Name: Feldname.
    • Wert: Feldwert.
    		 Boolean

    Das folgende Skript veranschaulicht API-Änderungen, wenn die Kurzbeschreibung des Incidents verschlüsselt wird:

    
var gr = new GlideRecord('incident'); //creates a new incident
gr.setValue('short_description','test123'); //sets the value to test123
var sys_ID = gr.insert(); //inserts the record in the Incident table.
gs.info(gr.getValue('short_description')); //displays the unencrypted value

    Wenn das Plugin „Feldverschlüsselung“ installiert ist, glide_encryption.set_value_support_cle.disabled Ist standardmäßig auf „falsch“ festgelegt.

    Wenn Sie anrufen GetValue() In einem verschlüsselten Textfeld wird der nur-Text zurückgegeben, wenn Sie Zugriff auf das kryptografische Modul haben. Andernfalls wird entweder der verschlüsselte Text oder zurückgegeben Null .