Verschlüsselung auf Spaltenebene Enterprise basiert auf CLE (Column Level Encryption) und verwendet Key Management Framework und dessen vollständige Unterstützung für Schlüsselverwaltungsfunktionen. Verschlüsselung auf Spaltenebene Enterprise bietet Schlüsselschutz und Schlüssellebenszyklusverwaltung für die Feldverschlüsselung auf Anwendungsebene. Alle Schlüssel werden durch eine Key-Wrapping-Hierarchie geschützt, die letztendlich in FIPS 140-2-L3 Hardware Security Modules (HSM) verwurzelt ist.

Verschlüsselung auf Spaltenebene Enterprise gibt Ihnen die Möglichkeit zu verwalten, wie unterstützte Felder gemäß NIST 800-57- Praktiken verschlüsselt und entschlüsselt werden. Außerdem wird die aktuellste Version der Verschlüsselung auf Feldebene verwendet, einschließlich der Integration für ordnungsgemäßen Schlüsselschutz und ordnungsgemäße Verwaltung.

Insbesondere verwendet Verschlüsselung auf Spaltenebene Enterprise die Verschlüsselungsmodule KMF, wodurch Sie mehr Kontrolle über die serverseitige Verschlüsselung haben. KMF stellt mithilfe der Schlüsselhierarchie und der Umschlagverschlüsselung einen ordnungsgemäßen Schutz des Datenverschlüsselungsschlüssels sicher. Ihre Instanz verschlüsselt Daten durch kryptografische Module, die Sie konfigurieren. Sie können eine Zugriffsrichtlinie für jedes Modul erstellen, dann kryptografische Spezifikationen und Zugriffsrichtlinien konfigurieren und die Steuerung der Lebenszyklusverwaltung für Schlüssel steuern.

Verschlüsselung auf Spaltenebene Enterprise unterstützt Modulzugriffsrichtlinien basierend auf:

Verschlüsselungsbegriffe

Begriff	Beschreibung
	Unterstützung für Schlüsselverwaltung Von grundlegender Bedeutung für Verschlüsselung auf Spaltenebene Enterprise ist das Key Management Framework (KMF). Erhalten Sie die folgenden Fähigkeiten: Schlüssel-Lebenszyklusverwaltung. Schlüsselrotation. Details siehe Schlüssel rotieren. Schlüsselschutz und Schlüsselgenerierung mit FIPS 140-2-L3 Hardware Security Modules (HSMs). Trennung von Rollen und Aufgaben. Die sichere Übertragung von Datenverschlüsselungsschlüsseln zwischen Instanzen, z. B. Produktions- und Nicht-Produktionsinstanzen. Vom Kunden bereitgestellte Schlüssel (CSK) mit Schlüsselumschließung. Nicht deterministische Verschlüsselung. Massenverschlüsselung/-entschlüsselung. Audit des Schlüsselzugriffs/-nutzung. Details siehe Key Management Framework verstehen.
	Unterstützung für vom Kunden bereitgestellte Schlüssel Einer der größten Vorteile von Verschlüsselung auf Spaltenebene Enterprise besteht darin, dass Sie Ihre eigenen Schlüssel für die Verschlüsselung verwenden können. Administratoren haben die Möglichkeit, die von ServiceNow bereitgestellten Schlüssel oder Ihre eigenen vom Kunden bereitgestellten Schlüssel (CSK) für die Verschlüsselung auf dem Now Platform®zu verwenden. Sie können auch den Schlüssellebenszyklus verwalten und entscheiden, wann die Schlüssel widerrufen, rotiert und deaktiviert werden sollen. Nachdem Sie vom Kunden bereitgestellte Schlüssel aktiviert und ein kryptografisches Modul erstellt haben, laden Sie ein Token und einen öffentlichen flüchtigen Schlüssel herunter. Sie verwenden das Token und den öffentlichen Schlüssel, um Ihren Schlüssel zu umschließen, und laden ihn dann in die Instanz hoch. Informationen zur Verwendung von vom Kunden bereitgestellten Schlüsseln finden Sie unter Konfigurieren Sie die Feldverschlüsselungseinstellungen, um den Schlüsseltyp auszuwählen und Konfigurieren Sie Eigenschaften für vom Kunden bereitgestellte Schlüssel.
	Unterstützung für Feldverschlüsselung und Anhangverschlüsselung Sowohl die Feldverschlüsselung als auch die Anhangverschlüsselung verwenden kryptografische Module und Zugriffsrichtlinien über verschlüsselte Feldkonfigurationen. Das Formular „Verschlüsselte Feldkonfiguration“ wird verwendet, um einen Verschlüsselungstyp für die Spalten- oder Anhangverschlüsselung auszuwählen. Weitere Informationen und unterstützte Feldtypen finden Sie unter Legen Sie verschlüsselte Feldkonfigurationen fest.
	Unterstützung für nicht deterministische Verschlüsselung Verschlüsselung auf Spaltenebene Enterprise unterstützt die nicht deterministische Verschlüsselung für mehr Sicherheit. Wenn das System dieselben Daten mehr als einmal verschlüsselt, sind die Geheimtexte jedes Mal unterschiedlich. Nicht deterministische Verschlüsselung ist mit AES-Verschlüsselung mit Cipher Block Chaining (CBC) verfügbar. Sie können diese Funktion über die Option „Gleichstellungserhaltung“ in der Phase „Algorithmusdefinition“ der kryptografischen Spezifikation aktivieren. Erstellen Sie eine kryptografische Spezifikation für ein Krypto-Modul, definieren Sie einen Algorithmus für die Verschlüsselung, und generieren Sie den Schlüssel. Unter Erstellen Sie ein kryptografisches Modul erfahren Sie, wie Sie die für Verschlüsselungsvorgänge verwendeten Mechanismen definieren und wie Sie die nicht deterministische Verschlüsselung aktivieren.
	Ressourcenaustausch Verschlüsselung auf Spaltenebene Enterprise verschlüsselt Instanz zu Instanz auf sichere Weise mithilfe der kryptografischen APIs von KMF, um Vertraulichkeit, Integrität, Authentifizierung und Nicht-Zurückweisung zu gewährleisten. Ressourcenaustausch ist eine Funktion von KMF, mit der Sie Ressourcen zwischen Instanzen auf sichere Weise austauschen können. Details siehe Key Management Framework Ressourcenaustausch.

Unterstützung für zusätzliche Module und Modulzugriffsrichtlinien

Die Standardversion von Verschlüsselung auf Spaltenebene ist auf fünf Module und Modulzugriffsrichtlinien (MAP) beschränkt. Verschlüsselung auf Spaltenebene Enterprise unterstützt eine größere Anzahl von Modulen und MAPs.

Unterstützte Feldinformationen

Anhangsverschlüsselung

Standardmäßige Anhangverschlüsselung

Bei Kunden, die die Verschlüsselung auf Spaltenebene verwenden, werden Anhänge in Tabellen mit dem aktiven EFC-Typ (Encrypted Field Configuration) Attachmentstandardmäßig verschlüsselt.

Diese durch die EFC-Konfiguration definierte Standardverschlüsselung bedeutet, dass Administratoren nicht manuell deklarieren müssen, dass ein Anhang beim Hochladen für diese Tabellen verschlüsselt werden soll.

Deaktivieren der Standardverschlüsselung

Wenn Sie nicht möchten, dass Anhänge basierend auf der EFC-Konfiguration standardmäßig verschlüsselt werden, können Sie diese Option deaktivieren, indem Sie sich an den ServiceNow -Support wenden.

Um diese Funktion zu deaktivieren, erstellen Sie einen Supportfall mit ServiceNow -Support, und fügen Sie diese Anweisung in einen Kommentar zum Falldatensatz ein:

„Ich [Name des Kunden] verstehe, dass ich ServiceNow bitte, eine empfohlene Best Practice für Sicherheit für Anhänge zu deaktivieren, und dass [Kundenunternehmen] zusätzliche Risiken im Zusammenhang mit der Konfiguration und Verwendung unverschlüsselter Anhänge in der Anwendung ServiceNow ] übernimmt. “

API-Unterstützung

Verschlüsselung auf Spaltenebene Enterprise aktualisiert die APIs setDisplayValue() und setValue(), sodass sie verschlüsselte Daten für verschlüsselte Felder einfügen können. Außerdem können getDisplayValue() und getValue() Klartextwerte zurückgeben.

Das folgende Skript veranschaulicht diese API-Änderungen, wenn die Kurzbeschreibung des Incidents verschlüsselt wird:

var gr = new GlideRecord('incident'); //creates a new incident
gr.setValue('short_description','test123'); //sets the value to test123
var sys_ID = gr.insert(); //inserts the record in the Incident table.
gs.info(gr.getValue('short_description')); //displays the unencrypted value

Wenn Sie getValue() verwenden, um verschlüsselten Text abzurufen, gibt Ihr Skript den Geheimtext nicht mehr zurück. Ihr Skript gibt den Nur-Text zurück, vorausgesetzt, der Benutzer hat Zugriff auf das kryptografische Modul. Wenn der Benutzer keinen Zugriff auf das kryptografische Modul hat, gibt getValue() den Geheimtext zurück.