Translation not up to date
Cloud Pak for Data as a Service poskytuje mechanismy zabezpečení sítě na ochranu infrastruktury, dat a aplikací před potenciálními hrozbami a neoprávněným přístupem. Mechanismy zabezpečení sítě poskytují zabezpečená připojení ke zdrojům dat a řídí provoz v rámci veřejných internetových i interních sítí.
| Mechanismus | Účel | Odpovědnost | Konfigurováno v |
|---|---|---|---|
| Koncové body soukromých síťových služeb | Přístup ke službám prostřednictvím zabezpečených koncových bodů privátní sítě | zákazník | IBM Cloud |
| Přístup k soukromým zdrojům dat | Připojit se ke zdrojům dat, které jsou chráněny bránou firewall | zákazník | Cloud Pak for Data as a Service |
| Integrace | Zabezpečená připojení k cloudy třetích stran prostřednictvím brány firewall | Cloudy zákazníků a třetích stran | Cloud Pak for Data as a Service |
| connections, připojení | Zabezpečená připojení ke zdrojům dat | zákazník | Cloud Pak for Data as a Service |
| Připojení k datům za bránou firewall | Umístění Satellite konektor a Satellite poskytují zabezpečená připojení ke zdrojům dat v hybridním prostředí. | zákazník | IBM Cloud a Cloud Pak for Data as a Service |
| VPN | Bezpečně sdílet data ve veřejných sítích | zákazník | IBM Cloud |
| Povolit určité adresy IP | Chránit před přístupem neznámými adresami IP | zákazník | IBM Cloud |
| Povolit adresy URL jiných dodavatelů | Povolit adresy URL třetích stran v interní síti | zákazník | Brána firewall zákazníka |
| Víceklientská architektura | Zajištění izolace v prostředí SaaS . | IBM a cloudy třetích stran | IBM Cloud, poskytovatelé cloudu |
Koncové body soukromých síťových služeb
Používejte koncové body privátních síťových služeb k bezpečnému připojení ke koncovým bodům prostřednictvím privátního cloudu IBM namísto připojení k prostředkům prostřednictvím veřejné sítě. V případě koncových bodů služeb privátní sítě již nejsou služby obsluhovány na adrese IP směrovatelné přes Internet, a jsou tedy bezpečnější. Koncové body služeb vyžadují, aby bylo na vašem účtu povoleno virtuální směrování a předávání (VRF). VRF je automaticky povoleno pro virtuální privátní cloudy (VPC).
Další informace o koncových bodech služeb viz:
- Zabezpečení připojení ke službám pomocí soukromých koncových bodů služeb
- Blog: Představení koncových bodů soukromých služeb v produktu IBM Cloud Databases
- IBM Cloud docs: Zabezpečený přístup ke službám pomocí koncových bodů služeb
- IBM Cloud dokumenty: Povolení VRF a koncových bodů služeb
- IBM Cloud dokumenty: Koncové body veřejné a soukromé sítě
Přístup k soukromým zdrojům dat
Soukromé zdroje dat jsou lokální zdroje dat, které jsou chráněny bránou firewall. Cloud Pak for Data as a Service vyžaduje přístup přes bránu firewall k dosažení zdrojů dat. Chcete-li poskytnout zabezpečený přístup, vytvořte pravidla příchozí brány firewall, která umožní přístup pro rozsahy adres IP pro produkt Cloud Pak for Data as a Service. Příchozí pravidla jsou vytvořena v konfiguračním nástroji pro vaši bránu firewall.
Integrace
Můžete konfigurovat integrace s cloudovými platformami třetích stran, abyste uživatelům produktu Cloud Pak for Data as a Service umožnili přístup ke zdrojům dat hostovaným na těchto cloudech. Následující mechanizmy zabezpečení se vztahují na integrace s cloudy třetích stran:
- Autorizovaný účet v cloudu třetí strany s příslušnými oprávněními k zobrazení pověření účtu.
- Oprávnění pro povolení zabezpečených připojení prostřednictvím brány firewall poskytovatele cloudu (pro specifické rozsahy IP)
Máte například zdroj dat v systému AWS , na kterém spouštíte zápisníky. Je třeba provést integraci s produktem AWS a poté vygenerovat připojení k databázi. Integrace a připojení jsou zabezpečené. Po konfiguraci přístupu přes bránu firewall můžete uživatelům udělit příslušná oprávnění a poskytnout jim pověření pro přístup k datům.
Připojení
Připojení vyžadují platná pověření pro přístup k datům. Vlastník účtu nebo administrátor konfiguruje typ pověření, která jsou povinná, sdílená nebo osobní, na úrovni účtu. Sdílená pověření zpřístupní zdroj dat a jeho pověření všem spolupracovníkům v projektu. Osobní pověření vyžadují, aby každý spolupracovník poskytoval vlastní pověření pro použití zdroje dat.
Připojení vyžadují platná pověření pro přístup k datům. Vlastník účtu nebo administrátor konfiguruje typ pověření, která jsou požadována na úrovni účtu. Tvůrce připojení zadá platné pověření. Možné volby jsou:
- Sdílené nebo osobní umožňuje uživatelům zadat osobní nebo sdílená pověření při vytváření nového připojení výběrem přepínače a zadáním správného pověření.
- Osobní pověření vyžadují, aby každý spolupracovník poskytoval svá vlastní pověření pro použití zdroje dat.
- Sdílená pověření zpřístupní zdroj dat a jeho pověření všem spolupracovníkům v projektu. Uživatelé zadávají společné pověření, které bylo vytvořeno tvůrcem připojení.
Další informace o připojeních viz:
Připojení k datům za bránou firewall
Zabezpečená připojení poskytují zabezpečenou komunikaci mezi prostředky v implementaci hybridního cloudu, z nichž některé mohou být umístěny za bránou firewall. Pro zabezpečená připojení mezi vaším prostředím a cloudem máte následující možnosti:
Satellite konektor
Satellite konektor používá odlehčenou komunikaci založenou na Docker, která vytváří zabezpečenou a auditovatelnou komunikaci z vašeho prostředí on-prem, cloud nebo Edge zpět do produktu IBM Cloud. Vaše infrastruktura potřebuje pouze hostitele kontejneru, například Docker. Další informace viz Satellite Přehled konektoru.
Pokyny ke konfiguraci konektoru Satellite naleznete v tématu Připojení k datům za bránou firewall .
Satellite konektor je náhradou za zamítnutou bránu Secure Gateway. Oznámení o zamítnutí služby Secure Gateway viz dokumenty IBM Cloud : Secure Gateway Přehled zamítnutí
Satellite umístění
Satellite umístění poskytuje stejnou zabezpečenou komunikaci s produktem IBM Cloud jako konektor Satellite Connector, ale standardně přidává přístup s vysokou dostupností plus schopnost komunikovat z produktu IBM Cloud do vašeho lokalizace on-prem. Satellite vyžaduje alespoň tři hostitele x86 ve vaší infrastruktuře pro řídicí rovinu vysoké dostupnosti. Satellite umístění je nadřízenou sadou schopností Satellite konektoru. Potřebujete-li pouze datovou komunikaci klienta, nastavte konektor Satellite .
Pokyny ke konfiguraci umístění Satellite naleznete v tématu Připojení k datům za bránou firewall .
VPN
Virtuální privátní sítě (VPN) vytvářejí virtuální dvoubodová připojení pomocí protokolů tunelového propojení a šifrovacích a vyhrazených připojení. Poskytují zabezpečenou metodu sdílení dat ve veřejných sítích.
Níže jsou uvedeny technologie VPN na IBM Cloud:
IPSec VPN: VPN usnadňuje konektivitu z vaší zabezpečené sítě do soukromé sítě platformy IBM IaaS . Přístup k síti VPN může být udělen libovolnému uživateli na účtu.
VPN for VPC: Pomocí VPC (Virtual Private Cloud) můžete zajistit instance virtuálního serveru generace 2 pro VPC s vysokým výkonem sítě.
Oznámení o zamítnutí služby Secure Gateway poskytuje informace a scénáře pro použití VPN jako alternativy. Viz IBM Cloud dokumenty: Volby migrace.
Povolit určité adresy IP
Pomocí tohoto mechanizmu můžete řídit přístup ke konzole cloudu IBM a k produktu Cloud Pak for Data as a Service. Přístup je povolen pouze z uvedených adres IP; přístup ze všech ostatních adres IP je odepřen. Můžete uvést povolené adresy IP pro jednotlivého uživatele nebo pro účet.
Při povolování specifických adres IP pro produkt Watson Studiomusíte zahrnout rozsahy CIDR pro uzly Watson Studio v každém regionu (stejně jako povolené individuální adresy IP systému klienta). Rozsahy CIDR můžete zahrnout do Cloud Pak for Data as a Service následujícím postupem:
- V hlavní nabídce vyberte volbu Administrace > Integrace cloudu.
- Chcete-li zobrazit adresy IP pro aktuální oblast, klepněte na volbu Konfigurace brány firewall . Použijte notaci CIDR.
- Zkopírujte každý rozsah CIDR do omezení adresy IP pro uživatele nebo účet. Nezapomeňte také zadat povolené adresy IP jednotlivých klientů. Zadejte adresy IP jako seznam oddělený čárkami. Poté klepněte na tlačítko Použít.
- Opakujte pro každou oblast, abyste povolili přístup pro produkt Watson Studio.
Podrobné pokyny pro omezení uživatelů i účtů viz IBM Cloud docs: Povolení specifických adres IP
Povolit adresy URL třetích stran v interní síti
Pokud spouštíte produkt Cloud Pak for Data as a Service za bránou firewall, musíte povolit seznam adres URL třetích stran pro poskytnutí odchozího přístupu k prohlížeči. Adresy URL zahrnují prostředky z produktu IBM Cloud a dalších domén. Cloud Pak for Data as a Service vyžaduje přístup k těmto doménám pro odchozí provoz prohlížeče přes bránu firewall.
Tento seznam poskytuje přístup pouze pro funkce jádra Cloud Pak for Data as a Service . Specifické služby mohou vyžadovat další adresy URL. Seznam nepokrývá adresy URL požadované konzolou IBM Cloud a jejími odchozími požadavky.
| Doména | Popis |
|---|---|
| *.bluemix.net | IBM -stále se používá v některých tocích |
| *.appdomain.cloud | Doména aplikace IBM Cloud |
| cloud.ibm.com | Globální doména IBM Cloud |
| *.cloud.ibm.com | Různé poddomény IBM Cloud |
| dataplatform.cloud.ibm.com | Cloud Pak for Data as a Service Oblast Dallasu |
| *.dataplatform.cloud.ibm.com | Poddomény CCloud Pak for Data as a Service |
| eum.instana.io | Příprava nástrojů na straně klienta na instanci |
| eum-orange-saas.instana.io | Příprava nástrojů na straně klienta na instanci |
| cdnjs.cloudflare.com | Cloudflare CDN pro některé statické prostředky |
| nebula-cdn.kampyle.com | Medallia NPS |
| resources.digital-cloud-ibm.medallia.eu | Medallia NPS |
| udc-neb.kampyle.com | Medallia NPS |
| ubt.digital-cloud-ibm.medallia.eu | Medallia NPS |
| cdn.segment.com | JS segmentu |
| api.segment.io | Rozhraní API segmentu |
| cdn.walkme.com | Statické prostředky WalkMe |
| papi.walkme.com | Rozhraní API WalkMe |
| ec.walkme.com | Rozhraní API WalkMe |
| playerserver.walkme.com | WalkMe server přehrávače |
| s3.walkmeusercontent.com | Statické prostředky WalkMe |
Víceklientská architektura
Cloud Pak for Data as a Service je hostován jako zabezpečené a vyhovující řešení pro více klientů na platformě IBM Cloud. Viz Více nájemců
Nadřízené téma: Zabezpečení