Verschlüsselung auf Spaltenebene Enterprise wird mit Verschlüsselung auf Spaltenebene (CLE) benötigt und nutzt Key Management Framework und dessen vollständige Unterstützung für Schlüsselverwaltungsfunktionen. Verschlüsselung auf Spaltenebene Enterprise bietet Schlüsselschutz und Schlüssellebenszyklusverwaltung für die Feldverschlüsselung auf Anwendungsebene. Alle Schlüssel sind durch eine Key-Wrapping-Hierarchie geschützt, die letztendlich in FIPS 140-2-L3-Hardwaresicherheitsmodulen (HSM) basiert.

Verschlüsselung auf Spaltenebene Enterprise bietet Ihnen die Möglichkeit zu verwalten, wie unterstützte Felder gemäß den NIST 800-57- Praktiken verschlüsselt und entschlüsselt werden. Außerdem wird die neueste Version der Verschlüsselung auf Feldebene verwendet, einschließlich der Integration für ordnungsgemäßen Schlüsselschutz und ordnungsgemäße Verwaltung.

Verschlüsselung auf Spaltenebene Enterprise nutzt die Verschlüsselungsmodule KMF, um Ihnen mehr Kontrolle über die serverseitige Verschlüsselung zu geben. KMF stellt mithilfe von Schlüsselhierarchie und Umschlagverschlüsselung einen angemessenen Schutz für Datenverschlüsselungsschlüssel sicher. Ihre -Instanz verschlüsselt Daten über von Ihnen konfigurierte kryptografische Module. Sie können eine Zugriffsrichtlinie für jedes Modul erstellen und dann kryptografische Spezifikationen und Zugriffsrichtlinien konfigurieren sowie die Steuerung der Lebenszyklusverwaltung für Schlüssel steuern.

Verschlüsselung auf Spaltenebene Enterprise unterstützt Modulzugriffsrichtlinien basierend auf:

Verschlüsselungsbegriffe

Benennung	Beschreibung
	Unterstützung für -Schlüsselverwaltung Grundlage für Verschlüsselung auf Spaltenebene Enterprise ist das Key Management Framework (KMF). Erwerben Sie die folgenden Fähigkeiten: Schlüssel-Lebenszyklusmanagement. Schlüsselrotation. Details siehe Schlüssel rotieren. Schlüsselschutz und Schlüsselgenerierung mit FIPS 140-2-L3 Hardware Security Modules (HSMs). Trennung von Rollen und Aufgaben. Die sichere Übertragung von Datenverschlüsselungsschlüsseln zwischen Instanzen, z. B. Produktionsinstanzen und Instanzen außerhalb der Produktion. Vom Kunden bereitgestellte Schlüssel (CSK) mit Schlüsselumschließung. Nicht deterministische Verschlüsselung. Massenverschlüsselung/-entschlüsselung. Audit des Schlüsselzugriffs/der Schlüsselverwendung. Details siehe Key Management Framework.
	Unterstützung für vom Kunden bereitgestellte Schlüssel Einer der größten Vorteile von Verschlüsselung auf Spaltenebene Enterprise besteht darin, dass Sie Ihre eigenen Schlüssel für die Verschlüsselung verwenden können. Administratoren haben die Wahl, ob von ServiceNow bereitgestellte Schlüssel oder Ihre eigenen vom Kunden bereitgestellten Schlüssel (CSK) für die Verschlüsselung auf dem Now Platform®verwendet werden. Sie können auch den Schlüssellebenszyklus verwalten und entscheiden, wann die Schlüssel widerrufen, rotiert und deaktiviert werden sollen. Nachdem Sie vom Kunden bereitgestellte Schlüssel aktiviert und ein kryptografisches Modul erstellt haben, laden Sie ein Token und einen öffentlichen flüchtigen Schlüssel herunter. Sie verwenden das Token und den öffentlichen Schlüssel, um Ihren Schlüssel zu umschließen und dann in die Instanz hochzuladen. Informationen zur Verwendung von vom Kunden bereitgestellten Schlüsseln finden Sie unter Konfigurieren Sie die Feldverschlüsselungseinstellungen, um den Schlüsseltyp auszuwählen und Verwendung von vom Kunden bereitgestellten Schlüsseln mit Verschlüsselung auf Spaltenebene Enterprise.
	Unterstützung für Feldverschlüsselung und Anhangverschlüsselung Sowohl die Feldverschlüsselung als auch die Anhangsverschlüsselung verwenden kryptografische Module und Zugriffsrichtlinien über verschlüsselte Feldkonfigurationen. Das Formular „Konfiguration verschlüsselter Felder“ wird verwendet, um einen Verschlüsselungstyp der Spalten- oder Anhangsverschlüsselung auszuwählen. Weitere Informationen und unterstützte Feldtypen finden Sie unter Legen Sie Konfigurationen für verschlüsselte Felder fest.
	Unterstützung für nicht deterministische Verschlüsselung Verschlüsselung auf Spaltenebene Enterprise unterstützt die nicht deterministische Verschlüsselung, um die Sicherheit zu erhöhen. Wenn das System dieselben Daten mehrmals verschlüsselt, sind die Geheimtexte jedes Mal anders. Die nicht deterministische Verschlüsselung ist mit der AES-Verschlüsselung mit CIpher Block Chaining (CBC) verfügbar. Sie können diese Funktion über die Option „Gleichstellungserhaltung“ in der Phase „Algorithmusdefinition“ der kryptografischen Spezifikation aktivieren. Erstellen Sie eine kryptografische Spezifikation für ein Kryptomodul, definieren Sie einen Algorithmus für die Verschlüsselung und generieren Sie den Schlüssel. Unter Erstellen Sie ein kryptografisches Modul erfahren Sie, wie Sie die für kryptografische Vorgänge verwendeten Mechanismen definieren und weitere Informationen zum Aktivieren der nicht deterministische Verschlüsselung erhalten.
	Ressourcenaustausch Verschlüsselung auf Spaltenebene Enterprise verschlüsselt Instanz für Instanz auf sichere Weise mithilfe der kryptografischen APIs KMF, um Vertraulichkeit, Integrität, Authentifizierung und Nachweisbarkeit bereitzustellen. Ressourcenaustausch ist eine Funktion von KMF, mit der Sie auf sichere Weise Ressourcen zwischen Instanzen austauschen können. Details siehe Key Management Framework Resource Exchange.

Unterstützung für zusätzliche Module und Modulzugriffsrichtlinien

Die Standardversion von Verschlüsselung auf Spaltenebene ist auf fünf Module und Modulzugriffsrichtlinien (Module Access Policies, MAP) beschränkt. Verschlüsselung auf Spaltenebene Enterprise unterstützt eine größere Anzahl von Modulen und MAPs.

Unterstützte Feldinformationen

Anhangsverschlüsselung

Standardmäßige Anhangsverschlüsselung

Bei Kunden, die die Verschlüsselung auf Spaltenebene verwenden, werden Anhänge standardmäßig in Tabellen verschlüsselt, die über den aktiven EFC-Typ (Encrypted Field Configuration) Attachmentverfügen.

Diese von der EFC-Konfiguration definierte Standardverschlüsselung bedeutet, dass Administratoren nicht manuell deklarieren müssen, dass ein Anhang beim Hochladen für diese Tabellen verschlüsselt werden soll.

Administratoren können Anwendern das Anhängen unverschlüsselter Dateien verbieten

Details finden Sie unter Verhindern, dass Anwender unverschlüsselte Dateien anhängen.

Standardverschlüsselung deaktivieren

Wenn Sie nicht möchten, dass Anhänge basierend auf der EFC-Konfiguration standardmäßig verschlüsselt werden, können Sie diese Option deaktivieren, indem Sie sich an den ServiceNow -Support wenden.

Um diese Funktion zu deaktivieren, erstellen Sie eine Supportanfrage beim Support ServiceNow, und fügen Sie die folgende Anweisung in einen Kommentar zum Falldatensatz ein:

„Ich [Kundenname] verstehe, dass ich ServiceNow bitte, eine empfohlene Best Practice für die Sicherheit von Anhängen zu deaktivieren, und dass [Kundenunternehmen] jedes zusätzliche Risiko im Zusammenhang mit der Konfiguration und Verwendung unverschlüsselter Anhänge in der Anwendung ServiceNow ] übernimmt. “

API-Unterstützung

Verschlüsselung auf Spaltenebene Enterprise aktualisiert die APIs „ setDisplayValue() “ und „setValue()“, damit verschlüsselte Daten für verschlüsselte Felder eingefügt werden können. Außerdem können getDisplayValue() und getValue() Klartextwerte zurückgeben.

Das folgende Skript veranschaulicht diese API-Änderungen, wenn die Kurzbeschreibung des Incident verschlüsselt wird:

var gr = new GlideRecord('incident'); //creates a new incident
gr.setValue('short_description','test123'); //sets the value to test123
var sys_ID = gr.insert(); //inserts the record in the Incident table.
gs.info(gr.getValue('short_description')); //displays the unencrypted value

Wenn Sie getValue() zum Abrufen von verschlüsseltem Text verwenden, gibt das Skript keinen Geheimtext mehr zurück. Ihr Skript gibt den Nur-Text zurück und geht davon aus, dass der Benutzer Zugriff auf das kryptografische Modul hat. getValue() gibt den Geheimtext für Benutzer zurück, die keinen Zugriff auf das kryptografische Modul haben.