Cloud Pak for Data as a Service bietet Netzsicherheitsmechanismen, um Infrastruktur, Daten und Anwendungen vor potenziellen Bedrohungen und unbefugtem Zugriff zu schützen. Netzsicherheitsmechanismen bieten sichere Verbindungen zu Datenquellen und steuern den Datenverkehr sowohl über das öffentliche Internet als auch über interne Netze.
| Mechanismus | Zweck | Zuständigkeit | Konfiguriert unter |
|---|---|---|---|
| Private Netzserviceendpunkte | Zugriff auf Services über sichere private Netzendpunkte | Kunde | IBM Cloud |
| Zugriff auf private Datenquellen | Verbindung zu Datenquellen herstellen, die durch eine Firewall geschützt sind | Kunde | Cloud Pak for Data as a Service |
| Integrationen | Sichere Verbindungen zu Clouds anderer Anbieter durch eine Firewall | Kunde und Clouds anderer Anbieter | Cloud Pak for Data as a Service |
| Verbindungen | Sichere Verbindungen zu Datenquellen | Kunde | Cloud Pak for Data as a Service |
| Verbindungen zu Daten hinter einer Firewall | Der Satellite -Connector und die Satellite -Position stellen sichere Verbindungen zu Datenquellen in einer Hybridumgebung bereit | Kunde | IBM Cloud und Cloud Pak for Data as a Service |
| VPNs | Sichere gemeinsame Nutzung von Daten in öffentlichen Netzen | Kunde | IBM Cloud |
| Zulassen bestimmter IP-Adressen | Schutz vor Zugriff durch unbekannte IP-Adressen | Kunde | IBM Cloud |
| URLs anderer Anbieter zulassen | URLs anderer Anbieter in einem internen Netz zulassen | Kunde | Kundenfirewall |
| Multi-Tenant-Funktionalität | Isolation in einer SaaS-Umgebung | IBM und Clouds anderer Anbieter | IBM Cloud, Cloud-Provider |
Private Netzserviceendpunkte
Verwenden Sie private Netzserviceendpunkte, um eine sichere Verbindung zu Endpunkten über die IBM Private Cloud herzustellen, anstatt eine Verbindung zu Ressourcen über das öffentliche Netz herzustellen. Bei privaten Netzserviceendpunkten werden Services nicht über eine vom Internet aus erreichbare IP-Adresse zur Verfügung gestellt und sie sind somit sicherer. Für Serviceendpunkte muss Virtual Routing and Forwarding (VRF) auf Ihrem Konto aktiviert sein. VRF wird automatisch für Virtual Private Clouds (VPCs) aktiviert.
Weitere Informationen zu Serviceendpunkten finden Sie in folgenden Abschnitten:
- Verbindungen zu Services mit privaten Serviceendpunkten sichern
- Blog: Einführung von privaten Serviceendpunkten in IBM Cloud-Datenbanken
- IBM Cloud-Dokumention: Sicherer Zugriff auf Services mithilfe von Serviceendpunkten
- IBM Cloud-Dokumentation: VRF und Serviceendpunkte aktivieren
- IBM Cloud-Dokumentation: Öffentliche und private Netzendpunkte
Zugriff auf private Datenquellen
Private Datenquellen sind lokale Datenquellen, die durch eine Firewall geschützt werden. Cloud Pak for Data as a Service erfordert Zugriff über die Firewall, um die Datenquellen zu erreichen. Um sicheren Zugriff zu ermöglichen, erstellen Sie Firewallregeln für eingehende Daten, um den Zugriff für die IP-Adressbereiche für Cloud Pak for Data as a Servicezuzulassen. Die Eingangsregeln werden im Konfigurationstool für Ihre Firewall erstellt.
Siehe Firewallzugriff konfigurieren .
Integrationen
Sie können Integrationen mit Cloudplattformen anderer Anbieter konfigurieren, um Cloud Pak for Data as a Service-Benutzern die Möglichkeit zu geben, auf Datenquellen zuzugreifen, die in diesen Clouds gehostet werden. Die folgenden Sicherheitsmechanismen gelten für Integrationen mit Clouds anderer Anbieter:
- Ein autorisiertes Konto in der Cloud eines anderen Anbieters, mit den entsprechenden Berechtigungen zum Anzeigen von Kontoberechtigungsnachweisen
- Berechtigungen, die sichere Verbindungen über die Firewall des Cloud-Providers ermöglichen (für bestimmte IP-Bereiche)
Beispiel: Sie nutzen eine Datenquelle in AWS, auf der Sie Notebooks ausführen. Sie müssen die Integration mit AWS vornehmen und dann eine Verbindung zur Datenbank generieren. Die Integration und die Verbindung sind sicher. Wenn Sie den Firewallzugriff konfiguriert haben, können Sie Benutzern die entsprechenden Berechtigungen erteilen und ihnen die Berechtigungsnachweise für den Zugriff auf Daten bereitstellen.
Weitere Informationen finden Sie im Abschnitt zu Integrationen mit anderen Cloudplattformen.
Verbindungen
Für Verbindungen sind gültige Berechtigungsnachweise für den Zugriff auf Daten erforderlich. Der Kontoeigner oder Administrator konfiguriert den Typ der Berechtigungsnachweise (gemeinsam genutzt oder persönlich), die auf Kontenebene erforderlich sind. Gemeinsam genutzte Berechtigungsnachweise machen die Datenquelle und ihre Berechtigungsnachweise für alle Mitarbeiter im Projekt zugänglich. Bei persönlichen Berechtigungsnachweisen muss jeder Mitarbeiter seine eigenen Berechtigungsnachweise angeben, um die Datenquelle verwenden zu können.
Für Verbindungen sind gültige Berechtigungsnachweise für den Zugriff auf Daten erforderlich. Der Kontoeigner oder Administrator konfiguriert den Typ der Berechtigungsnachweise, die auf Accountebene erforderlich sind. Der Ersteller der Verbindung gibt einen gültigen Berechtigungsnachweis ein. Optionen:
- Gemeinsam oder persönlich ermöglicht es Benutzern, beim Erstellen einer neuen Verbindung persönliche oder gemeinsam genutzte Berechtigungsnachweise anzugeben, indem sie ein Optionsfeld auswählen und den richtigen Berechtigungsnachweis eingeben.
- Für persönliche Berechtigungsnachweise muss jeder Mitarbeiter seine eigenen Berechtigungsnachweise angeben, um die Datenquelle verwenden zu können.
- Gemeinsam genutzte Berechtigungsnachweise machen die Datenquelle und ihre Berechtigungsnachweise für alle Mitarbeiter im Projekt zugänglich. Benutzer geben einen allgemeinen Berechtigungsnachweis ein, der vom Ersteller der Verbindung erstellt wurde.
Weitere Informationen zu Verbindungen finden Sie in folgenden Abschnitten:
Verbindungen zu Daten hinter einer Firewall
Sichere Verbindungen bieten eine sichere Kommunikation zwischen Ressourcen in einer Hybrid-Cloud-Implementierung, von denen sich einige hinter einer Firewall befinden können. Sie haben die folgenden Optionen für sichere Verbindungen zwischen Ihrer Umgebung und der Cloud:
Satellite-Connector
Ein Satellite -Connector verwendet eine einfache Docker-basierte Kommunikation, die eine sichere und überprüfbare Kommunikation von Ihrer lokalen Umgebung, Cloud-Umgebung oder Edge-Umgebung zurück zu IBM Clouderstellt. Ihre Infrastruktur benötigt nur einen Container-Host, z. B. Docker. Weitere Informationen finden Sie unter Übersicht über denSatellite Connector.
Anweisungen zur Konfiguration eines Satellite -Connectors finden Sie unter Verbindung zu Daten hinter einer Firewall herstellen .
Der Satellite -Connector ist der Ersatz für das veraltete Secure Gateway. Die Ankündigung zur Ablehnung von Secure Gateway finden Sie in den IBM Cloud: Übersicht über die Ablehnung von Secure Gateway
Satellite-Standort
Ein Satellite -Standort bietet dieselbe sichere Kommunikation zu IBM Cloud wie ein Satellite -Connector, fügt aber standardmäßig Hochverfügbarkeitszugriff und die Möglichkeit zur Kommunikation von IBM Cloud zu Ihrem lokalen Standort hinzu. Ein Satellite -Standort erfordert mindestens drei x86 -Hosts in Ihrer Infrastruktur für die HA-Steuerebene. Ein Satellite -Standort ist ein Superset der Funktionen des Satellite -Connectors. Wenn Sie nur Clientdatenkommunikation benötigen, konfigurieren Sie einen Satellite -Connector.
Anweisungen zum Konfigurieren einer Satellite -Position finden Sie unter Verbindung zu Daten hinter einer Firewall herstellen .
VPNs
Virtuelle private Netze (VPNs) erstellen virtuelle Punkt-zu-Punkt-Verbindungen mithilfe von Tunnelungsprotokollen sowie Verschlüsselung und dedizierten Verbindungen. Sie bieten ein sicheres Verfahren für die gemeinsame Nutzung von Daten in öffentlichen Netzen.
Im Folgenden sind die VPN-Technologien in IBM Cloudaufgeführt:
IPSec VPN: Das VPN stellt die Verbindung von Ihrem sicheren Netz zum privaten Netz der IBM IaaS-Plattform her. Jedem Benutzer im Konto kann VPN-Zugriff erteilt werden.
VPN for VPC: Mit Virtual Private Cloud (VPC) können Sie virtuelle Serverinstanzen der 2. Generation für VPC mit hoher Netzleistung bereitstellen.
Die Ankündigung der Einstellung der Unterstützung für Secure Gateway enthält Informationen und Szenarios für die Verwendung von VPNs als Alternative. Siehe IBM Cloud: Migrationsoptionen.
Zulassen bestimmter IP-Adressen
Verwenden Sie diesen Mechanismus, um den Zugriff auf die IBM Cloud Console und auf Cloud Pak for Data as a Servicezu steuern. Der Zugriff ist nur von den angegebenen IP-Adressen zulässig; von allen anderen IP-Adressen wird der Zugriff verweigert. Sie können die zulässigen IP-Adressen für einen einzelnen Benutzer oder für ein Konto angeben.
Wenn Sie bestimmte IP-Adressen für watsonx.ai Studio zulassen, müssen Sie die CIDR-Bereiche für die watsonx.ai Studio-Knoten in jeder Region angeben (sowie die einzelnen Client-System-IPs, die zugelassen sind). Sie können die CIDR-Bereiche in Cloud Pak for Data as a Service einbeziehen, indem Sie die folgenden Schritte ausführen:
- Wählen Sie im Hauptmenü Verwaltung > Cloud-Integrationen aus.
- Klicken Sie auf Firewallkonfiguration, um die IP-Adressen für die aktuelle Region anzuzeigen. Verwenden Sie die CIDR-Notation.
- Kopieren Sie die einzelnen CIDR-Bereiche in die IP-Adresseinschränkungen für einen Benutzer oder ein Konto. Stellen Sie sicher, dass auch die zulässigen einzelnen Client-IP-Adressen eingegeben werden. Geben Sie die Liste der durch Kommas getrennten IP-Adressen ein. Klicken Sie anschließend auf Anwenden.
- Wiederholen Sie diesen Vorgang für jede Region, um den Zugriff für watsonx.ai Studio zu ermöglichen.
Schritt-für-Schritt-Anleitungen für Benutzer- und Kontoeinschränkungen finden Sie in der IBM Cloud-Dokumentation: Zulassen bestimmter IP-Adressen.
URLs anderer Anbieter in einem internen Netz zulassen
Wenn Sie Cloud Pak for Data as a Service hinter einer Firewall ausführen, müssen Sie URLs anderer Anbieter auf Zulassungsliste setzen, um ausgehenden Browserzugriff bereitzustellen. Die URLs enthalten Ressourcen aus IBM Cloud und anderen Domänen. Cloud Pak for Data as a Service erfordert Zugriff auf diese Domänen für abgehenden Browserdatenverkehr über die Firewall.
Diese Liste bietet nur Zugriff auf die zentralen Funktionen von Cloud Pak for Data as a Service . Bestimmte Services erfordern möglicherweise zusätzliche URLs. Die Liste enthält keine URLs, die für die IBM Cloud -Konsole und ihre abgehenden Anforderungen erforderlich sind.
| Domäne | Beschreibung |
|---|---|
| *.bluemix.net | IBM Legacy Cloud-Domäne-wird weiterhin in einigen Datenflüssen verwendet |
| *.appdomain.cloud | IBM Cloud -App-Domäne |
| cloud.ibm.com | Globale IBM Cloud -Domäne |
| *.cloud.ibm.com | Verschiedene IBM Cloud -Unterdomänen |
| dataplatform.cloud.ibm.com | Cloud Pak for Data as a Service Region Dallas |
| *.dataplatform.cloud.ibm.com | CCloud Pak for Data as a Service-Unterdomänen |
| eum.instana.io | Clientseitige Instana-Instrumentierung |
| eum-orange-saas.instana.io | Clientseitige Instana-Instrumentierung |
| cdnjs.cloudflare.com | Cloudflare-CDN für einige statische Ressourcen |
| nebula-cdn.kampyle.com | Medallia NPS |
| resources.digital-cloud-ibm.medallia.eu | Medallia NPS |
| udc-neb.kampyle.com | Medallia NPS |
| ubt.digital-cloud-ibm.medallia.eu | Medallia NPS |
| cdn.segment.com | Segment-JS |
| api.segment.io | Segment-API |
| cdn.walkme.com | WalkMe -statische Ressourcen |
| papi.walkme.com | API WalkMe |
| ec.walkme.com | API WalkMe |
| playerserver.walkme.com | WalkMe Player-Server |
| s3.walkmeusercontent.com | WalkMe -statische Ressourcen |
Multi-Tenant-Funktionalität
Cloud Pak for Data as a Service wird als sichere und konforme Multi-Tenant-Lösung in der IBM Cloud gehostet. Weitere Informationen finden Sie im Abschnitt zur Multi-Tenant-Funktionalität.
Übergeordnetes Thema: Security